l'IETF déclare que SSH est un terme générique

Posté par  . Modéré par Yann Hirou.
Étiquettes : aucune
0
23
mar.
2001
Sécurité
le 21 mars dernier, l'IETF Secure Shell Working Group a rejeté la demande de Tatu Ylonen pour la reconnaissance de sa marque déposée "SSH" par un vote de 3 contre 1.

En effet, les membres du Working Group ont décidé que "Secure Shell" et "SSH" sont des termes génériques qui ne peuvent être protégés par des dépôts de marque.

Apparemment, Tatu était très déçu par cette décision qu'il a considéré comme injuste vu que c'est lui qui a inventé le terme et le protocole. La différentiation de ses produits à travers sa société SSH.com coûterait trop cher. Il va donc consulter ses avocats.

Allons-nous éviter le 'mv /usr/bin/ssh /usr/bin/secsh' ?

Faille dans PGP ?

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
22
mar.
2001
Sécurité
Un article du N.Y. Times d'hier indique qu'une société Tchèque, ICZ, aurait trouvé une faille de sécurité dans PGP. Il ont déjà prevenu << P.G.P. engineering >> et publieront sur leur page le problème dès demain.

Mais pas de panique : la faille résiderait dans le cassage de la protection de la clef privée : il faut déjà y accéder !

GPG aurait-il le même genre de soucis ? Peut-être pas... plus d'infos demain, donc.

Note: pour lire l'article du NY Times, c'est gratuit, mais il faut s'inscrire.

Vulnerabilite ProFTPd/BSD FTPd

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
15
mar.
2001
Sécurité
Tous les serveurs sous ProFTPd sont vulnérables à un déni de service. Il suffit de se connecter normalement puis de lancer la commande
ls */../*/../*/../*/../*/../* (etc.) pour que le démon prenne subitement toutes les ressources (cpu et mémoire) de la machine qui finit par s'écrouler.
Le serveur FTP de NetBSD semble avoir le meme problème et il est possible que d'autres logiciels soient concernés par la meme faille.
L'équipe de ProFTPd tente de résoudre le bug, classé critique.

update: PureFTPd, qui n'aurait pas avoir avoir ce bug (mais qui l'a quand même). L'auteur s'est fait avoir à son propre jeu, hihihi :-)

Une distribution d'espion

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
8
mar.
2001
Sécurité
Vu dans Login Mars 2001: la NSA (l'espionnage made in USA, fort connu grâce au projet Echelon) sortirait une distribution entièrement GPL où elle aurait ajouté des sytèmes de sécurité. On la soupçonnait d'avoir fait mettre dans Windows des backdoors, maintenant elle voudrait renforcer la sécurité d'un système déjà mieux sécurisé que ce dernier ?
Update: le précédent modérateur n'a pas fait son travail, la nouvelle est déjà passée au moins 1 fois. Désolé.

OpenSSH 2.5.1 dispo

Posté par  . Modéré par Yann Hirou.
Étiquettes :
0
22
fév.
2001
Sécurité
La version 2.5.1 d'OpenSSH est disponible. Cette version intégre maintenant un client sftp (Secure FTP) en standard ainsi que bien sur le sftp server qui est maintenant activé par défaut dans le fichier de conf. Parmi les goodies:
-support en natif des protocoles 1.3, 1.5 et 2.0
-code cleaning de SSH2
-agent forwarding
-misc. bugs.
Il est conseillé d'upgrader à cette version. Pour celles/ceux qui veulent la sécurité, il n'y a plus qu'à !

Zimmerman se consacre à OpenPGP !

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
20
fév.
2001
Sécurité
On en parlait depuis un moment, la rumeur est confirmée : Zimmerman quitte Network Associates, dont il dénonce la décision de fermer l'accès au source des futurs développement du logiciel.
Le site openPGP s'en réjouit et pose la question cruciale: "Un programme informatique aussi révolutionnaire que PGP, le logiciel du secret absolu, est-il soluble dans une compagnie commerciale ?". Il dénonce notamment l'ajout de "gadgets inutiles voir dangereux" et la "windozerie" excessive" de Network Associates... A lire absolument :)

Un nouveau clone de SSH libre

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
12
fév.
2001
Sécurité
FreSSH est une nouvelle implémentation libre du protocole SSH (version 1.5 pour le moment). Contrairement à OpenSSH, le code source a été entierement réécrit. Il propose également de nouvelles options de sécurité lorsque le client et le serveur tournent sous FreSSH.

Trou de sécurité dans SSH1

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
9
fév.
2001
Sécurité
L'équipe Razor de BindView vient de découvrir un débordement de pile dans SSH1, impactant toutes les versions courrament utilisées (cf advisory).
Il s'agit d'un bug dans la détection d'attaque cryptographique... codée avec un entier 16 bits à la place d'un 32 bits.

Risque : élevé, même si l'exploitation est difficile
Solution : appliquer le patch fourni à la fin de l'advisory.

Encore un trou dans BIND

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
31
jan.
2001
Sécurité
Un trou de sécurité dans BIND 8.* a encore été trouvé. Le journal "Le Monde" a été l'un des premiers à relayer cette nouvelle... Mais que faisons-nous ?

Extrait de l'article du monde:

"Par chance, le bogue a été découvert à temps et le Computer Emergency Response Team (CERT) de l'université américaine de Carnegie Mellon a publié, lundi 29 janvier, une « rustine » et vérifié que la dernière version du logiciel, Bind 9, ne présente pas ce défaut."

Mettez à jour :)

Pouvez-vous faire confiance aux produits de PGP Security?

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
30
jan.
2001
Sécurité
Ce mémo est destiné à éclaircir les propos tenus par un des responsables commerciaux de McAfee en France lors d'une émission télévisée sur Canal+ , diffusée en France le 15 janvier, et à dissiper la confusion qui en a résulté. il a été annoncé, à tort, que les produits de PGP Security permettaient à certains gouvernements de décrypter en secret les messages. Ces propos ont suscité une mauvaise interprétation des choses, impliquant l'existence d'une "back door" dans des produits de PGP Security.
Il n'y a pas, il n'y a d'ailleurs jamais eu de back door dans les produits de PGP Security...

Note du modérateur: N'oubliez pas qu'il faut désormais utiliser GnuPG, l'équivalent de PGP de la FSF, qui a l'avantage lui d'etre libre. Bref jetez PGP :)

Une backdoor dans Interbase 6

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
15
jan.
2001
Sécurité
L'évanescent SGBD d'Inprise, Interbase, dont on pensait qu'il allait vite s'éteindre sans plus d'histoires, refait parler de lui. Une backdoor (destinée à permettre l'authentification des utilisateurs suite à un bug) a été découverte suite à son passage en Open Source. Toute personne se connectant au serveur Interbase avec le login `politically' et le mot de passe `correct' (arf, quel humour), pouvait accéder au SGBD et même parait-il exécuter du code sur la machine. Ce « bug » n'aura guère perduré que... six ans !
[source Vakooler.com qui reprend Transfert.net qui reprend Interbase2000.org ;-]

Premier virus en PHP

Posté par  . Modéré par Yann Hirou.
Étiquettes :
0
9
jan.
2001
Sécurité
Un virus "pas dangereux" appellé PHP.NewWorld par Central Command, et en PHP serait apparu. Il modifie tous les fichiers php, html etc du répertoire c:\windows (hum...). Il ne peut pas s'exporter vers d'autres systèmes que celui sur lequel il est installé.
Bon tout cela n'est pas bien grave. L'article du site précise bien la popularité de php, qui conduit les hébergeurs à l'utiliser, et à laisser les internautes/créateurs de sites, libre cours à leur imagination... sous entendu les risques encourus...
Cela m'étonnerait beaucoup que de tels "virus" nous menacent vraiment un jour.

La NSA sécurise Linux

Posté par  . Modéré par Yann Hirou.
Étiquettes : aucune
0
9
jan.
2001
Sécurité
Sur le site "The Register" on apprends que la NSA a fait une contribution sous GPL pour ajouter des fonctionnalités visant à sécuriser le noyau Linux.
Cette news est déjà passée ici, mais ce qui n'avait pas encore été dit est que RedHat a déjà commencé à tester ces nouvelles fonctions.
Moi ça me ferait peur de savoir que j'ai un noyau NSA/Linux...

Bonne chance aux utilisateurs de RedHat.

Apparemment cela ne fonctionnerait que sur les architectures 386 pour le moment.

Vive le flash propriétaire !

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
4
jan.
2001
Sécurité
Et voila .. un buffer overflow en plus dans ce monde cruel ..

Le bug concerne tous les systèmes d'exploitation avec un navigateur supportant Shockwave.

Le buffer overflow concerne l'execution de code malicieux contenu dans le .swf ( fichier flash ) . Cela peut aller du crash du browser à l'execution d'un programme dans le but de propager des virus par exemple ..

Vive le closed-source :)

CPRM : Content Protection for Recordable Media

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
2
jan.
2001
Sécurité
« CPRM (Content Protection for Recordable Media - Protection des contenus sur media enregistrable) est un mécanisme pour contrôler la copie, reproduction et suppression d'un média numérique sur un disque d'ordinateur ou d'un quelconque lecteur numérique. »

Traduction de la première phrase de l'article, à lire.

Compte-rendu SANS Network Security 2000

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
21
déc.
2000
Sécurité
HSC (consultants sécurité) publient sur leur site un compte-rendu de la conférence System Administration, Networking & Security qui s'est déroulée en Octobre dernier. Plusieurs infos intéressantes sur l'évolution de la conférence avec le temps, les DDOS et les initiatives visant à améliorer la sécurité en entreprise.

Il y a de moins en moins de Français à SANS alors si vous êtes passionés de sécurité et que vous avez été gentil, demandez un billet au Père Noël pour le prochain meeting SANS ;-)

OpenWall Project patch pour 2.2.18 disponible

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
15
déc.
2000
Sécurité
Juste pour signaler que le patch openwall pour le noyau 2.2.18 est sorti. Comme d'habitude :
- la pile est non exécutable, ce qui limite les risques de buffer overflows ;
- des restrictions sur les liens dans /tmp (cool avec les récents problèmes de csh et bash) et les FIFOs
- limitations sur le /proc
- protection des file descriptors 0, 1, 2 pour les programmes SUID/SGID
...

[Note du modérateur : ce patch est utilisé pour augmenter la sécurité du noyau]

digi quoi ?

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
14
déc.
2000
Sécurité
Un procédé « révolutionnaire » et « bête comme chou ». C'est en ces termes que Dominique Guatelli et Victor Victor Maillard décrivent le procédé anti-piratage, Digiprotect, qui devrait aller du CD audio au CD-ROM...

Une bonne ou une mauvaise blague à votre avis ?

J'ai comme idée que ce sera pas en GPL...

Convention sur le Cybercrime : le Conseil de l'Europe se moque des droits de l'homme

Posté par  . Modéré par Yann Hirou.
Étiquettes : aucune
0
13
déc.
2000
Sécurité
Un projet de Convention européenne sur le Cybercrime est en préparation depuis plusieurs mois. Ca avait été tenu secret, mais il y a deux mois la coaltion GILC qui regroupe des associations comme l'EFF ou l'ACLU (et en France IRIS) a mis à jour le texte et publié une lettre ouverte demandant à ce qu'il soit réécrit. Le Conseil de l'Europe a dit "Oops, on est désolé, on s'excuse, on le refera plus". La nouvelle version du projet de Convention vient de sortir, mais visiblement ils n'ont pas écouté la GILC. Résultat : celle-ci publie une seconde lettre ouverte dénonçant la seconde version du projet. Mais on se demande à quoi ça sert puisque le Conseil de l'Europe s'en moque...

Plus de bulletins de sécurité Microsoft sur BugTraq

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
11
déc.
2000
Sécurité
Microsoft a changé dernièrement le format de ses bulletins de sécurité qui étaient auparavant repris par BugTraq (mailing-list d'annonces de sécurité la plus connue et suivie...). Il faut maintenant visiter une page Web chez Microsoft pour avoir l'annonce en entier.

Elias Levy (administrateur de Bugtraq) a alors décidé de reprendre un de ces bulletins dans son intégralité sur Bugtraq la semaine dernière, ce qui n'a pas du tout plu à M$.

Les administrateurs de Bugtraq ont donc décidé en conséquence de ne plus publier d'annonces de sécurité de M$ tant qu'ils ne reviendront pas à leur ancien format.

Un Os crypté avec sauvegarde distante !

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
10
déc.
2000
Sécurité
Si vous êtes recherché par la NSA, la DST, le FSB et le FBI, et que voulez pouvoir bosser tranquille quand même, utilisez ce système !
Moot est un Os dont le noyau est crypté. Typiquement vous avez un CD-ROM sur lequel est l'OS et vos fichiers persos sont sur Internet. Cela vous permet un maximum de confidentialité.