Les logiciels occupent une position privilégiée dans notre monde en ce qui concerne leurs défauts : si votre chaîne HiFi explose lorsque vous écoutez un album de Celine Dion, vous pouvez poursuivre le fabriquant et éventuellement obtenir des dommages et intérêts. Or cette cause ne s'applique pas aux éditeurs de logiciels qui, dans la plupart des cas, ne peuvent pas être poursuivis pour malfaçon grâce aux clauses de décharge contenues dans l'accord de licence que l'utilisateur doit accepter pour installer le produit.
Mais les choses vont peut-être changer et certains commencent à se poser des questions sur le statut des logiciels, produit ou service ?
Si cela est une bonne chose pour le consommateur, qu'en est-il des logiciels libres, pourrez-vous un jour être attaqués pour avoir laissé le code d'un de vos Hello World ayant fait exploser le nouveau Windows de M. DURAND ?
Note du modérateur : sur le même sujet, une dépêche de Boursorama proposée par modr12 (les deux dépêches étant issues de Reuters à la base)
Billou laisse les fenêtres ouvertes
Voici un nouveau problème dans les serveurs IIS de Microsoft qui fait préférer l'OpenSource...
Le fait que l'on puisse executer du code à distance sur le serveur IIS grâce à ce bug dans la gestion des requetes HTR n'est probablement pas le plus grave !
En effet, comme le dévoile un article de Wired, Microsoft avait passé un accord avec Eeye, à l'origine de la découverte du problème, et a pris tout son temps (plusieurs mois) pour sortir un patch...
Il est assez simple de voir en faisant une recherche dans Google avec "iis htr" comme mots clé que Eeye ne devaient pas etre les seuls à chercher ce genre de bugs ;-)
Donc MS à préféré cacher pendant des mois le problème plutot que de sortir un correctif rapidement.
La NSA, apparemment au courant aurait conseillé pendant plusieurs mois d'enlever la fonctionnalité la plupart du temps inutile mais activée par défaut... No comment.
Le fait que l'on puisse executer du code à distance sur le serveur IIS grâce à ce bug dans la gestion des requetes HTR n'est probablement pas le plus grave !
En effet, comme le dévoile un article de Wired, Microsoft avait passé un accord avec Eeye, à l'origine de la découverte du problème, et a pris tout son temps (plusieurs mois) pour sortir un patch...
Il est assez simple de voir en faisant une recherche dans Google avec "iis htr" comme mots clé que Eeye ne devaient pas etre les seuls à chercher ce genre de bugs ;-)
Donc MS à préféré cacher pendant des mois le problème plutot que de sortir un correctif rapidement.
La NSA, apparemment au courant aurait conseillé pendant plusieurs mois d'enlever la fonctionnalité la plupart du temps inutile mais activée par défaut... No comment.
Déni de service dans x-window
Lors d'utilisation de fontes anormalement grandes, il est possible de geler un PC utilisant X-window...
L'expérience peut etre tentée avec Gimp, mais le plus dangereux reste encore le deni de service à distance grace à Mozilla, lorsque les fontes se voient assignées une valeur trop grande dans les CSS (Cascading Style Sheets).
Le travail est en cours pour résoudre le problème mais il n'y a pas encore de solution pour éviter le bogue...
L'expérience peut etre tentée avec Gimp, mais le plus dangereux reste encore le deni de service à distance grace à Mozilla, lorsque les fontes se voient assignées une valeur trop grande dans les CSS (Cascading Style Sheets).
Le travail est en cours pour résoudre le problème mais il n'y a pas encore de solution pour éviter le bogue...
Vulnérabilité de type DoS sur BIND 9
Une vulnérabilité de type DoS (déni de service) a été découverte sur BIND 9. L'exploitation de cette vulnérabilité se fait grâce à la construction d'un paquet malformé qui aura pour effet d'arrêter le service BIND. L'impact d'une telle attaque peut être grave dans la mesure où beaucoup de services importants tels que la messagerie dépendent du DNS pour fonctionner correctement.
Il est recommandé de mettre à jour BIND à la version 9.2.1. Il est à noter que les versions 8 et 4 ne sont pas concernées par cette vulnérabilité.
Il est recommandé de mettre à jour BIND à la version 9.2.1. Il est à noter que les versions 8 et 4 ne sont pas concernées par cette vulnérabilité.
Virus multiplate-formes Linux et Windows
Ca y est le premier "vrai" virus qui affecte à la fois Windows et Linux est arrivé. Il s'appelle "Simile.D" et est polymorphe.
Petites précisions :
- il n'affecte que les machines Linux qui sont en mode super-utilisateur (ndm : huh ?)
- il affiche une boite de dialogue sous windows et écrit dans un terminal sous GNU/Linux.
Petites précisions :
- il n'affecte que les machines Linux qui sont en mode super-utilisateur (ndm : huh ?)
- il affiche une boite de dialogue sous windows et écrit dans un terminal sous GNU/Linux.
CBS / Enfin un outil qui nous facilite la vie.
CBS est un systeme client-serveur qui permet aux utilisateurs de lier les ports TCP/UDP en dessous de 1024.
Un simple fichier de configuration permet d'autoriser tel ou tel utilisateur a ouvrir tel ou tel port.
Dans la pratique, un utilisateur particulier pourra donc etre autorisé à lancer un service réseau tel que sshd, ftp, httpd sans être root.
Pour moi, deux avantages à utiliser cet outil :
- sécurité : le service réseau est lancé avec les droits de cet utilisateur. Un pirate pourra bien s'amuser a exécuté un shell via un bogue de sécurité de ce service, il se retrouvera confiner sur le système, car il ne sera pas root.
- délégation des droits de l'administrateur : on peut sans danger donner à un utilisateur spécialisé (par exemple le webmaster), le droit de recompiler, d'exécuter et de relancer son apache sans qu'il nous casse les pieds.
Pour l'instant, CBS tourne sur GNU/linux et NetBSD.
Note du modérateur : le pirate ne sera confiné que si le service est chrooté. Dans le cas contraire, il va chercher une faille locale.
Un simple fichier de configuration permet d'autoriser tel ou tel utilisateur a ouvrir tel ou tel port.
Dans la pratique, un utilisateur particulier pourra donc etre autorisé à lancer un service réseau tel que sshd, ftp, httpd sans être root.
Pour moi, deux avantages à utiliser cet outil :
- sécurité : le service réseau est lancé avec les droits de cet utilisateur. Un pirate pourra bien s'amuser a exécuté un shell via un bogue de sécurité de ce service, il se retrouvera confiner sur le système, car il ne sera pas root.
- délégation des droits de l'administrateur : on peut sans danger donner à un utilisateur spécialisé (par exemple le webmaster), le droit de recompiler, d'exécuter et de relancer son apache sans qu'il nous casse les pieds.
Pour l'instant, CBS tourne sur GNU/linux et NetBSD.
Note du modérateur : le pirate ne sera confiné que si le service est chrooté. Dans le cas contraire, il va chercher une faille locale.
Trop Carnivore ?
L'EPIC (Electronic Privacy Information Center) a mis à jour un disfonctionnement du programme du FBI (sniffer) qui analyse les communications Internet chez les fournisseurs d'accès.
En effet, celui-ci aurait analysé des courriels n'entrant pas dans le cadre de personnes sous mandat d'écoute (donc faisant l'objet d'une enquête).
Je crois que la liberté vient encore de se prendre un coup de 12.7 dans l'aile...
Note du modérateur : c'est la fête en ce moment niveau respect de la vie privée.
En effet, celui-ci aurait analysé des courriels n'entrant pas dans le cadre de personnes sous mandat d'écoute (donc faisant l'objet d'une enquête).
Je crois que la liberté vient encore de se prendre un coup de 12.7 dans l'aile...
Note du modérateur : c'est la fête en ce moment niveau respect de la vie privée.
L'Europe dit oui à la rétention des données
Pas de surprise à Bruxelles : les eurodéputés ont voté en faveur de la rétention de données, à 340 pour et 150 contre, soit une grande majorité. Le principe de «la rétention des données» privées est donc adopté.
Ce vote ouvre la voie à la surveillance générale et exploratoire des communications électroniques.
Ce vote ouvre la voie à la surveillance générale et exploratoire des communications électroniques.
wu-imapd
RedHat, Mandrake, Eridani et sûrement d'autres (Debian ?) viennent de sortir des patches pour leur packages... En effet, un buffer overflow vient d'être découvert dans les serveurs IMAP utilisés dans ces distributions.
Ce problème engendre la possibilité de lancer des commandes sur le serveur IMAP en utilisant le nom de l'utilisateur connecté sur sa messagerie. Heureusement qu'il faille être déjà logué sur le serveur IMAP pour pouvoir exploiter ce trou de sécu... ça limite la portée de ce dernier. En espérant que vous ne vous fassiez pas écouter votre réseau si vous avez des clients fonctionnant avec imap sans sous-couche SSL...
Ce problème engendre la possibilité de lancer des commandes sur le serveur IMAP en utilisant le nom de l'utilisateur connecté sur sa messagerie. Heureusement qu'il faille être déjà logué sur le serveur IMAP pour pouvoir exploiter ce trou de sécu... ça limite la portée de ce dernier. En espérant que vous ne vous fassiez pas écouter votre réseau si vous avez des clients fonctionnant avec imap sans sous-couche SSL...
Backdoor dans irssi
Il semblerait qu'un petit malin ait trouvé le moyen de modifier les sources d'irssi (client irc).
La modification porterait sur le script configure d'irssi. Ce dernier ouvrirait une connexion entre votre box et une machine distance, par le biais de laquelle il serait possible de s'infiltrer dans votre babasse.
La malversation serait en place depuis plus d'un mois. Si vous avez compilé irssi durant cette periode, il est recommandé de rechercher "SOCK_STREAM" dans le script, afin de vérifier si vous en avez été victime.
Le site d'irssi semble confirmer la chose.
La modification porterait sur le script configure d'irssi. Ce dernier ouvrirait une connexion entre votre box et une machine distance, par le biais de laquelle il serait possible de s'infiltrer dans votre babasse.
La malversation serait en place depuis plus d'un mois. Si vous avez compilé irssi durant cette periode, il est recommandé de rechercher "SOCK_STREAM" dans le script, afin de vérifier si vous en avez été victime.
Le site d'irssi semble confirmer la chose.
CanSecWest/core02
Les présentations de CSW/core02 sont en ligne :
- Immunix
- Owl GNU/Linux
- honeyd et pots de miel
- Outils taranis, radiate, etc.
Ainsi que des photos !
Note du modérateur : la CanSecWest Core02 est une convention sur la sécurité informatique qui s'est déroulée du 1er au 3 mai à Vancouver (Canada)
- Immunix
- Owl GNU/Linux
- honeyd et pots de miel
- Outils taranis, radiate, etc.
Ainsi que des photos !
Note du modérateur : la CanSecWest Core02 est une convention sur la sécurité informatique qui s'est déroulée du 1er au 3 mai à Vancouver (Canada)
Astuces de base pour sécuriser un serveur Linux
George Rushmore sur le site de Help Net Security, nous propose un article qui donne quelques conseils de base pour sécuriser un serveur Apache sous Linux.
« Si vous venez de mettre un serveur web Apache en ligne, et que vous pensez à la sécurité, ce bref article pourra vous y aider.
Par le fait d'avoir votre propre serveur, vous devez comprendre les responsabilités qui en découlent.
Bien que le serveur lui même ne soit pas un réel problème (du point de vue de la sécurité), il y a certaines choses auxquelles vous devez faire attention sur votre système. »
NdR: cela ne se veut pas un article de fond, mais les conseils qu'on y trouve sont toujours bon à prendre ou à revoir.
« Si vous venez de mettre un serveur web Apache en ligne, et que vous pensez à la sécurité, ce bref article pourra vous y aider.
Par le fait d'avoir votre propre serveur, vous devez comprendre les responsabilités qui en découlent.
Bien que le serveur lui même ne soit pas un réel problème (du point de vue de la sécurité), il y a certaines choses auxquelles vous devez faire attention sur votre système. »
NdR: cela ne se veut pas un article de fond, mais les conseils qu'on y trouve sont toujours bon à prendre ou à revoir.
Sortie de Steghide 0.4.6
La nouvelle version de steghide, un logiciel de stéganographie sous licence GPL, est sortie.
Plusieurs améliorations, dont une de taille: le support des fichiers JPEG, plus largement utilisés que les fichiers BMP.
Les messages d'aide/d'erreur du programme sont francisés, mais pour les pages man, il va falloir attendre encore un peu.
Pour mémoire, la stéganographie permet de "camoufler" des données confidentielles dans des fichiers anodins.
A noter: la version 0.4.6 ne compilait pas sur certains systèmes (RedHat en particulier). La version 0.4.6b corrige tout ça.
Plusieurs améliorations, dont une de taille: le support des fichiers JPEG, plus largement utilisés que les fichiers BMP.
Les messages d'aide/d'erreur du programme sont francisés, mais pour les pages man, il va falloir attendre encore un peu.
Pour mémoire, la stéganographie permet de "camoufler" des données confidentielles dans des fichiers anodins.
A noter: la version 0.4.6 ne compilait pas sur certains systèmes (RedHat en particulier). La version 0.4.6b corrige tout ça.
Bug dans NetFilter
Un bug a été trouvé dans l'implémentation de la translation d'adresse dans NetFilter... Lorsqu'une régle de NAT s'applique à un packet qui cause un message d'erreur ICMP, celui-ci est renvoyé avec l'adresse locale de la machine natée ! Ceci peut montrer quels ports d'un firewall sont translatés et vers quel hote d'un réseau local ou d'une DMZ... On peut trouver une version de nmap modifiée permettant ceci sur la page de Philippe Biondi, l'auteur (francais) de la découverte.
Faille dans certains noyaux : détournement de stdio/stderr
Une série de messages de Joost Pol (pine), James Youngman (FreeBSD) et Theo de Raadt (OpenBSD) fait état d'un grave problème dans plusieurs noyaux unix (testé et vérifié sur FreeBSD et Solaris) : les redirections standards (input, output et error) peuvent être détournées par un programme sans privilèges particuliers et ainsi permettre un élévation des droits.