Après la séparation de privilèges, implémentée par Niels Provos juste avant la grosse faille d'OpenSSH, l'équipe d'OpenBSD implément cette fois ci la ... "élévation de privilège".
Se basant sur systrace(1), on peut maintenant se débarrasser de tous ces programmes s{u,g}id, comme par exemple /usr/bin/login :
"Les applications peuvent s'exécuter entièrement en mode non privilegié. Systrace donne les autorisations nécessaires le temps d'un appel système selon la configuration voulue".
D'après un mail sur la liste de freebsd-security, le tarball de la dernier version d'openssh portable (openssh-3.4-p1) contient un shell code dans openbsd-compat/bf-test.c, qui sera lancé via Makefile.in si on fait un make.
Une petite faille (buffer overflow) vient d'être annoncée sur securityfocus (ex bugtraq) concernant apache 1.x.
Il s'agit d'une erreur d'entier signé/non-signé pour allocation d'un tampon mémoire, qui peut-être exploitée, selon X-Force, découvreur du bug, sur les plate-formes WIN32 mais pas (pour l'instant ?) sur *n*x (NdM: il semblerait qu'on ait une erreur de segmentation du processus apache concerné si on a un Unix 32 bits et peut être plus embétant en 64 bits).
Note du modérateur: J'ai supprimmé le patch qui était inclus dans la news, vous pouvez le trouver sur le premier lien mais l'annonce d'apache indique qu'il ne corrige pas vraiment le problème.
Vous vous souvenez de flash worm et de warhol worm [1] ? Mais si, ceux qui prétendent pouvoir éventuellement infecter le ternet entre 30 secondes et 15 minutes.
Et ben il nous le remet, avec comme question "Et si je contrôlais 10 millions de machines ?".
Ca parle de CodeRed I, II et Nimda, ça utilise des jolis formules mathématiques et des beaux graphiques. C'est un peu longuet à lire, mais je ne vous en dis pas plus
[1] voir liens proposés dans la dépêche précédente
[1 bis] merci ./ via deadly.org
Sur OpenBSD, l'authpf introduite (le 1er avril ;-) la notion d'authentification dans son module de filtrage. En gros :
On se connecte (en ssh) sur le firewall. Le pare-feu rajoute des règles, par système et/ou par utilisateur. Si l'utilisateur se déconnecte, le pare-feu lui retire les règles ajoutées.
Imaginons les applications possibles en combinant avec :
* Un serveur Samba/Netatalk
* Un AP pour un réseau en 802b11
Et le top du top serait remplacer l'authentification SSH pour SSL, des volontaires ?