Graves problèmes de sécurité dans x.org

Posté par  . Modéré par rootix.
0
15
mai
2006
Serveurs d’affichage
Un chercheur français du DCSSI, Loïc Duflot, a récemment publié un article sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour contourner les protections habituelles (type SELinux, GRsecurity, etc).

La description du problème est assez complexe mais securityfocus a publié une interview de M. Duflot très éclairante : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter du code à l'insu du noyau (et de ses éventuelles couches de protections).

NdA : Merci à herodiade pour son journal. Je vous invite à lire les commentaires intéressants qui ont été faits.

Journal Graves problèmes de sécurité dans x.org

Posté par  .
0
13
mai
2006
Un chercheur français du DCSSI, Loïc Duflot, à récemment publié un papier[1] sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour circonvenir les protections habituelles (type SELinux, GRsecurity etc).

La description du problème est assez complexe mais securityfocus a publié une interview de Duflot très éclairante[2] : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter (…)

Forum Linux.debian/ubuntu Appliquer patch grsecurity

Posté par  .
Étiquettes :
0
8
avr.
2006
Bonjour,

J'ai suivi la marche à suivre pour installer le patch grsecurity.

J'ai téléchargé les sources du noyau 2.6.16.2 et le dernier patch grsecurity pour le noyau 2.6. Et je le ai décompressées dans le rep /usr/src
Je dezippe donc le patch dans ce même rep et j'éxécute la commande

patch -p0 < grsecurityXXX.XXX.XXX.patch


Le patch me retourne l'érreur suivante

can't find file to patch at input line 4
Perhaps you used the wrong -p or --strip option?
The text (…)

Sortie de RSBAC 1.2.5

Posté par  . Modéré par Jaimé Ragnagna.
0
29
sept.
2005
Sécurité
Rule Set Based Access Control (RSBAC) 1.2.5 vient de sortir !

Le noyau 2.6 propose un module de modèles de sécurité qui permet ainsi de s'affranchir du modèle de sécurité classique d'Unix basé sur le triplet (user, group, other). Par exemple, des modèles de sécurité basés sur les ACL (Access Control List), et MAC (Mandatory Access Control) sont déjà disponibles via le module SELinux développé par la NSA (National Security Agency aux Etats Unis).

RSBAC se positionne comme une alternative aux solutions telles que SELinux. De par sa structure, RSBAC permettra d'utiliser les règles et le modèle de sécurité SELinux et GrSecurity dans un futur proche.

Afin de tester la chose, un Live CD basé sur Debian à été concocté, il est disponible sur le site.

Tout test ou commentaire est le bien venu :-)

Journal "Improved Memory Allocation" dans OpenBSD 3.8

Posté par  (site web personnel) .
0
24
août
2005
La prochaine release d'OpenBSD (la 3.8) contiendra une nouvelle façon de gérer les allocations de mémoire. En gros ce sera plus sécurisé et plus strict qu'avant.
Theo de Raadt a lancé un appel aux tests car cette nouveauté risque de casser les logiciels qui sont mal codés.

Questions pour ceux qui savent :
1) En quoi cette "amélioration de l'allocation mémoire" est elle différente des patchs PaX ou GRSecurity qui existent déja pour Linux (et qui sont je crois inclus (…)

Journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,...

Posté par  .
Étiquettes :
0
10
août
2005
Ce journal s'agit en fait d'une sorte de sondage, ou plutôt d'une demande de retour d'expériences.

Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).

dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd

Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin (…)

Le projet PaX compromis

Posté par  (site web personnel) . Modéré par rootix.
Étiquettes :
0
7
mar.
2005
Sécurité
PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

Forum Linux.débutant apache virtualhost readhat grsec

Posté par  .
Étiquettes :
0
17
sept.
2004
Bonjour,

Nous avons pris un serveur OVH au boulot, je souhaite configurer dans apache un virtualhost pour rediriger different domaine vers différent repertoire.

Je configure mon virtualhost comme c'est indiqué dans la doc.
J'obiens

"The requested URL /test.html was not found on this server."

lorsque je lance ma page .

J'ai a priori bien configuré apache ...


Voilà la version du noyau 2.4.26-grsec

On m'a dit que cela pouvait venir du fait d'avoir grsecurity d'installé.

Quelqu'un peut-il me donner plus (…)

Journal 2.6.8 dans les bacs

Posté par  (site web personnel) .
Étiquettes :
0
14
août
2004
Ah mon beau journal, quelle belle journée ensoleillée pour profiter du 2.6.8 final a recompiler sur sa belle station :) Bref, que du bon. Nouveau site pour grsecurity mais pas encore de patch en téléchargement, attendons lundi ou mardi.

LE changelog : http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.8(...)

Journal httpd + grsecutity

Posté par  .
Étiquettes :
0
9
juin
2004
bonjour à tous,

je suis stagiaire et répand la bonne parole dans mon entreprise mais j'ai besoin de vous pour impressionner mon patron demain (ou à défaut ne pas me faire taper ;-/ ).

j'ai fait des procédures d'installation de serveurs, le problème :
- si je recompile avec ma doc en patchant le noyau avec grsecurity (mode medium dans le xconfig), ça marche
- si j'installe avec ma doc sur un linux "tout frais" apache 2 et que je (…)

Journal grsecurity va fermer ?

Posté par  (site web personnel) .
Étiquettes :
0
1
juin
2004
5/31/04 Important Announcement Regarding the grsecurity Project Beginning today, May 31, 2004, development of grsecurity will cease. On June 7, the website, forums, mailing list, and CVS will be shut down. Due to a sponsor unexpectedly dropping sponsorship of grsecurity while continually promising payment, I began the summer in debt and had to borrow money from family to pay for food. If none of the companies that depend on grsecurity, some of them being very large, are able to sponsor (…)

Journal Qui va sauver grsecurity ?

Posté par  (site web personnel) .
Étiquettes :
0
31
mai
2004
Le projet grsecurity n'a plus de sponsor et le développement est arrêté. Il est prévu de fermer le site le 7 Juin.

http://www.grsecurity.org/(...)

Pour ceux qui ne connaissent pas il s'agit d'un projet visant à augmenter fortement la sécurité et permettant en particulier d'ajouter de nombreuses restriction à ce que l'on a droit de faire sur la machine

Journal Debian, noyau 2.4.23 et grsecurity

Posté par  .
Étiquettes :
0
4
jan.
2004
En cette période post-bacchanale, v'là-t-y pas que l'envie me prend de compiler ma kernel avec la rustine de sécurité qui va bien : grsecurity-1.9.13-2.4.13.
Or donc, en utilisant :
make-kpkg --append-to-version=-grsec --revision=.`date %y%m%d`kernel_image
Je me retrouve devant un paquet qui bégaie !
Jugez plutôt : kernel-image-2.4.23-grsec-grsec_040104_i386.deb
Diante, m'exclame-je ! Je vois double, je suis encore bourré !
Après moultes alkaselzer pour mézigue et M. Propre pour Debian, force est de constater que le sus-dit paquet continue à bégayer alors même (…)

ASLR pour le noyau 2.6

Posté par  . Modéré par Nÿco.
Étiquettes :
0
29
oct.
2003
Sécurité
Le premier patch de sécurité (qui ne soit pas un système de contrôle d'accès à la SELinux ou à la RSBAC) pour le noyau 2.6 a vu le jour, il s'agit d'un port basique de la partie du patch PaX (patch utilisé pour la protection de l'espace d'adressage dans grsecurity) concernant la randomization de l'espace d'adressage.