Le créateur de PGP aimerait le voir en Open Source

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
3
juil.
2002
Sécurité
Philippe Zimmermann nous apprend sur NewsForge qu'il préfèrerait voir PGP (pretty good privacy) passer sous une licence Open Source plutot que de voir son "bébé" dépérir ainsi...

En effet, Zimmermann avait vendu les droits sur PGP en 1997 mais depuis plusieurs mois déjà, Network Associates, à qui ils appartiennent maintenant, ne maintient plus la suite de programmes de crypto et ne le propose même plus à la vente (à part la version E-Business Serveur qui ne comprend qu'une infine partie de PGP).

Zimmermann dit même qu'il racheterait PGP à Network Associates si il en avait les moyens !

C'est peu être dommage pour PGP mais on peu se rattrapper sur GPG (Gnu Privacy Guard) qui lui est bel est bien libre (et maintenu correctement ! ;-)
Et après ca on osera dire que les logiciels libres n'ont pas un modèle de développement pérenne !

news sur les problèmes de OpenSSH

Posté par  . Modéré par Manuel Menal.
Étiquettes :
0
2
juil.
2002
Sécurité
La grande nouvelle est la mise à disposition de l'exploit de Gobbles, qui après s'etre illustré avec son exploit pour Apache remet ca avec OpenSSH.
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).

Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).

Comparaison Linux - MS - Unix

Posté par  . Modéré par Benoît Sibaud.
Étiquettes : aucune
0
2
juil.
2002
Linux
Un article de The Register compare les positions actuelles de Linux, Microsoft Windows et des Unix propriétaires sur différents marchés.

Bien sûr, il relate le fait que Linux est de plus en plus utilisé (surtout sur le marché des serveur), mais pas autant dans les applications critiques que dans les serveurs de fichiers/impression...

La tendance a cependant l'air de changer avec le portage d'applications comme SAP, Veritas, ou BEA.

On peut aussi y trouver une analyse discutable des effets du passage à des processeurs 64 bits comme l'Itanium ou l'Opteron.

NdM: Bon, connaissant la médiocrité habituelle des articles de The Register, à prendre avec des pincettes à long manche. Cependant, cela peut être intéressant pour avoir un aperçu de l'image courante de GNU/Linux après des entreprises très orientées propriétaire.

Sun apprend à partager

Posté par  . Modéré par Franck Yvonnet.
Étiquettes : aucune
0
27
juin
2002
Commercial
Dans la foulée de l'annonce d'un nouveau serveur sous "Sun Linux", Sun Microsystems avance dans le même sens en annoncant qu'ils vont « donner » (reste encore à voir la licence !) les sources de leur serveur d'application.

Bien que je ne doute pas que Sun soit très charitable, la manoeuvre semble surtout être faite contre IBM qui prend de plus en plus de parts de marché en mettant en avant ses offres sous Linux !

D'autre part, même si leur serveur d'application deviendra « libre » et gratuit, les services ou options supplémentaires qui gravitent autour resteront payants (ils sont quand meme pas fous, chez Sun...) et, bien sûr, propriétaires !

Note du modérateur : (résumé de 3 dépêches de l'auteur) Sun sort donc un serveur sous GNU/Linux, avec sa propre distribution, vient d'acheter une start-up, Afara, qui travaille avec la version SPARC des packages Debian, et libérerait le code d'un serveur d'applications.

Les détails de la faille d'OpenSSH

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
26
juin
2002
Sécurité
ISS vient de publier sur Bugtraq les détails de la faille d'OpenSSH.
Il s'agit d'un problème dans le mécanisme d'authentification "challenge-response".

Apparemment si OpenSSH est compilé sans les options SKEY ni BSD_AUTH, la vulnérabilité n'est pas exploitable.
De meme, utiliser la ligne suivante dans /etc/ssh/sshd_config résoudrait d'après eux le problème :
ChallengeResponseAuthentication no

Ben maintenant il reste plus qu'à tester tout ça, régler les quelques problèmes de conf engendrés.
Ca a quand même l'air moins dangereux que ce qui était annoncé précédemment et surtout moins difficile à règler (c'est pas une raison pour pas mettre a jour !).

Remarque : ISS met a disposition un outil pour tester si OpenSSH est vulnérable.

Note du modérateur : OpenSSH 3.4 est sorti (merci à falbala pour l'info)

Vulnérabilité OpenSSH

Posté par  . Modéré par Benoît Sibaud.
0
25
juin
2002
Sécurité
ISS, peu après avoir dévoilé le problème sur Apache, avait annoncé qu'ils travaillaient sur une faille d'un autre logiciel libre (en annonçant cette fois-ci que la démarche serait un peu différente !).
Encore Bind ? Sendmail ? Squid ?
Et bien non, OpenSSH... :-(

Les détails sur la faille ne sont pas encore connus mais on sait d'ors et déjà de la bouche de Théo de Raadt lui-même qu'elle sera exploitable à distance, sauf si la séparation de privilège récemment apparue est activée (« UsePrivilegeSeparation yes » dans sshd_config). Peu de distributions Linux proposent cette option pour le moment mais j'espère sincèrement qu'ils vont tous s'atteler pour que ce soit le cas avant la semaine prochaine, date fatidique à laquelle seront dévoilés les détails de l'exploit (et je pense qu'un exploit pas forcèment de Gobbles ne tardera pas à suivre...)

Plus de détails sur LinuxSecurity.com

Note d'un autre modérateur : voir sur debianplanet.org la source apt Debian pour avoir les paquets ssh et apache corrigés pour Woody, ainsi que Mozilla 1.0

Bloquer le SPAM avec Postfix

Posté par  . Modéré par Amaury.
Étiquettes : aucune
0
19
juin
2002
Sécurité
Voici un très bon article de Security Focus montrant différentes façons de bloquer avec Postfix les mails indésirables envoyés par les spammers qui polluent nos boites aux lettres tous les jours !!!

Différentes approches sont abordées parmi les Black Lists (utilisation de listes de spammers connus), le refus de mails venant d'hotes inconnus ou encore de mails non conformes aux RFC...

L'article montre donc que Postfix n'est pas seulement securisé, rapide et facilement configurable (bon, on va éviter le troll avec Sendmail !) mais qu'il propose aussi quelques fonctionnalités sympa et faciles à mettre en oeuvre ;-)

Version corrigée d'Apache

Posté par  . Modéré par Pascal Terjan.
Étiquettes :
0
19
juin
2002
Sécurité
Une nouvelle version du serveur Web Apache vient de sortir, corrigeant les récents problèmes de sécurité. (NdM: 1.3.26)
Dans un même temps, la société ISS subit un retour de flamme du à sa "mauvaise conduite" lorsqu'elle a commencé le thread sur les problèmes de sécurité d'Apache.
En effet, la procédure (non-formelle) de rapport de bug prévoit que le fabricant d'un logiciel (ou le "groupe" qui développe un logiciel libre) soit mis au courant avant la publication...
ISS n'avait pas jugé nécessaire de le faire mais avait en plus proposé un patch qui ne résolvait pas complètement le problème !

Une nouvelle version pour apache 2.0 devrait apparaitre dans peu de temps...

Billou laisse les fenêtres ouvertes

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
13
juin
2002
Microsoft
Voici un nouveau problème dans les serveurs IIS de Microsoft qui fait préférer l'OpenSource...

Le fait que l'on puisse executer du code à distance sur le serveur IIS grâce à ce bug dans la gestion des requetes HTR n'est probablement pas le plus grave !

En effet, comme le dévoile un article de Wired, Microsoft avait passé un accord avec Eeye, à l'origine de la découverte du problème, et a pris tout son temps (plusieurs mois) pour sortir un patch...
Il est assez simple de voir en faisant une recherche dans Google avec "iis htr" comme mots clé que Eeye ne devaient pas etre les seuls à chercher ce genre de bugs ;-)

Donc MS à préféré cacher pendant des mois le problème plutot que de sortir un correctif rapidement.

La NSA, apparemment au courant aurait conseillé pendant plusieurs mois d'enlever la fonctionnalité la plupart du temps inutile mais activée par défaut... No comment.

Déni de service dans x-window

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
13
juin
2002
Serveurs d’affichage
Lors d'utilisation de fontes anormalement grandes, il est possible de geler un PC utilisant X-window...

L'expérience peut etre tentée avec Gimp, mais le plus dangereux reste encore le deni de service à distance grace à Mozilla, lorsque les fontes se voient assignées une valeur trop grande dans les CSS (Cascading Style Sheets).

Le travail est en cours pour résoudre le problème mais il n'y a pas encore de solution pour éviter le bogue...

Gentoo Linux 1.2

Posté par  . Modéré par Pascal Terjan.
Étiquettes :
0
11
juin
2002
Linux
Voila aujourd'hui la nouvelle version 1.2 de Gentoo Linux.
Dans les nouveautés, on notera la présence de KDE 3 ou encore Gnome 2 beta...
Alors pour ces qui veulent utiliser des ports comme sous BSD, mais avec Linux, à vos graveurs !

Un nouvel OS pour Palm: version 5

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
10
juin
2002
PDA
Voila un peu plus de concurrence pour Windows CE (mais aussi malheureusement pour les versions de Linux Embarqué comme pour le Zaurus)... puisque Palm annonce un nouvel OS pour ses machines de poches. On peut noter également qu'ils passent de leur processeur Dragonball à une architecture ARM.
Bon, de là à savoir s'ils se sont servis du code de Be Inc qu'ils ont racheté récemment...

Nouveau forum sur les différents BSD

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
6
juin
2002
OpenBSD
Pour tous les mordus de BSD, voici un nouveau site plutot sympa... Il a un peu l'allure de LinuxFR mais parle de OpenBSD, FreeBSD, NetBSD, Darwin et BSDi. C'est en anglais, donc désolé pour les franco-français allergiques à la langue de Shakespeare...

Au menu, on trouvera des tas de news, des liens vers les site des différents BSD, vers de la doc, des discussions, etc...

Une chose amusante : les differentes adresses (openbsd|freebsd|netbsd)forums.org pointent toutes vers bsdforums.org

Bug dans NetFilter

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
10
mai
2002
Sécurité
Un bug a été trouvé dans l'implémentation de la translation d'adresse dans NetFilter... Lorsqu'une régle de NAT s'applique à un packet qui cause un message d'erreur ICMP, celui-ci est renvoyé avec l'adresse locale de la machine natée ! Ceci peut montrer quels ports d'un firewall sont translatés et vers quel hote d'un réseau local ou d'une DMZ... On peut trouver une version de nmap modifiée permettant ceci sur la page de Philippe Biondi, l'auteur (francais) de la découverte.

encore une faille dans sshd

Posté par  . Modéré par Amaury.
Étiquettes :
0
22
avr.
2002
Sécurité
Les versions de SSHd compilées avec le support Kerberos et AFS souffrent d'un nouveau problème de sécurité. Les conséquences peuvent être dangereuses puisque la faille permet un exploit distant pour les versions inférieures à 2.9.9 et un local pour les autres (jusqu'a 3.3).

Il est à noter que si la séparation de privilèges (à laquelle Niels Provos travaille) est activée, aucun accès privilégié n'est possible...