Articles Taggés ‘Sécurité’

DNS/SPF – Spam : limitez l’usurpation de vos domaines

1 mars 2010

De nos jours, les pirates n’hésitent pas à usurper des noms de domaine pour envoyer du spam. Outre le fait d’embêter les filtres cela amène parfois à un blocage pur et simple du domaine incriminé, ce qui n’est pas négligeable dans un contexte professionnel : altération et blocage des communications … Une norme expérimentale existe depuis 2006 pour limiter cet impact : Sender Policy Framework (SPF), RFC 4408.

Cette norme n’est autre qu’une entrée DNS qui va permettre de dresser une liste des adresses IP autorisées ou non à envoyer du courriel pour un domaine donné.

De manière plus détaillées, du type TXT (pour la rétrocompatibilité) ou SPF, cette entrée se présente sous cette forme (exemple avec devaproxis.fr) :

devaproxis.fr.          86400   IN      TXT     "v=spf1 +a +mx ~all"

Un ensemble (exemple : +mx:192.168.23.12) comprend une action (ici, +), un sélecteur (ici, mx) et une valeur facultative (ici, 192.168.23.12).

Selon la norme, nous retrouvons 4 actions :

+ : autorisé (pass)
? : neutre (neutral)
~ : suspect (soft fail)
- : interdit (fail)

Ces actions sont à utiliser avec une liste de sélecteurs. En voici quelques uns :

a : se réfère aux enregistrements DNS de type A
mx : se réfère aux enregistrements DNS de type MX
ip4 : se réfère à une adresse IPv4
ip6 : idem, pour une adresse IPv6
all : désigne tout

La valeur est facultative pour les sélecteurs a et mx, auquel cas le domaine courant est sélectionné de manière implicite.

Ce n’est pas clair ? Petite traduction de l’exemple :

+a : autorise toutes les entrées DNS de type A du domaine devaproxis.fr (utile pour les serveurs web)
+mx : autorise toutes les entrées DNS de type MX du domaine devaproxis.fr (utile, non ? )
~all : n’autorise pas (soft fail) les autres adresses IP envoyant du courriel au nom de devaproxis.fr

Vous pouvez, bien entendu, mélanger les sélécteurs à votre guise. Autre exemple :

domaine1.org IN v=spf1 +a +a:domaine2.com +mx +ip4:1.1.1.1 ~ip4:8.4.4.8 -all

Dans ce cas, nous autorisons toutes les entrées DNS de type A des domaines domaine1.org et domaine2.com ainsi que les entrées DNS de type MX et l’adresse IP 1.1.1.1 à envoyer du courriel au nom de domaine1.org. Cependant, nous n’autorisons pas (soft fail) l’adresse IP 8.4.4.8 et nous rejetons toutes les autres adresses IPs.

Tout comme pour le spam, la norme SPF en action se présente sous la forme d’un marquage dans l’en-tête d’un email, calculé par le serveur à la réception. Ainsi, libre à l’administrateur d’appliquer différentes règles : tout marquer mais laisser passer, rejeter le ‘fail‘ ou encore rejeter tout ce qui ne passe pas … Pour exemple, Gmail marque les mails mais ne semble pas filtrer.

Si je n’ai pas été assez (ou pas du tout …) clair ou si vous souhaitez de plus amples informations, visitez cette page.

Rating: 0 (from 0 votes)

Pas de commentaires »

Posté dans Articles

Tags: Sécurité

Sunday Security Summary #5

24 janvier 2010

Cette semaine s’est placée sous le signe d’une faille de sécurité très critiquée sur Internet Explorer ce qui a valu à Microsoft de sortir un patch plus tôt que prévu. Flash, BIND, Linux et PHPMyAdmin l’accompagnent.

Système et applicatif

CVE	Application	Version(s)	Détail
CVE-2010-0007	Linux kernel	< 2.6.33-rc4	Détournement de privilèges permettant la libre modification des règles de filtrage d’ebtables
CVE-2009-4141	Linux kernel	< 2.6.33-rc4-git1	Gain de privilège
CVE-2010-0244, CVE-2010-0245, CVE-2010-0246, CVE-2010-0247, CVE-2010-0248	Internet Explorer	5.01 SP4, 6, 6 SP1, 7, 8	Exécution de code arbitraire et corruption de mémoire
CVE-2010-0027	Internet Explorer	7, 8	Exécution de programme local via l’outil de validation des URLs
CVE-2010-0097	ISC BIND	9.0.x à 9.3.x, < 9.4.3-P5, < 9.5.2-P2, < 9.6.1-P3, 9.7.0b	Injection de données (AD flag) sur des réponses valides
CVE-2010-0290	ISC BIND	9.0.x à 9.3.x, < 9.4.3-P5, < 9.5.2-P2, < 9.6.1-P3, 9.7.0b	DNS cache poisoning
CVE-2010-0382	ISC BIND	9.0.x à 9.3.x, < 9.4.3-P5, < 9.5.2-P2, < 9.6.1-P3, 9.7.0b	Faille de sécurité générée par la correction de CVE-2009-4022, impact inconnu
CVE-2010-0379	Flash Player	6	Exécution de code arbitraire Note : ActiveX distribué avec Windows XP SP2 et SP3
CVE-2010-0378	Flash Player	6.0.79	Exécution de code arbitraire Note : ActiveX distribué avec Windows XP SP2 et SP3
CVE-2010-0037	Apple Mac OS X	10.5.8, 10.6.2	Exécution de code arbitraire ou déni de service via l’application Image RAW
CVE-2010-0036	Apple Mac OS X	10.5.8, 10.6.2	Exécution de code arbitraire ou déni de service via l’application CoreAudio

Applications web

CVE	Application	Version(s)	Détail
CVE-2009-4605, CVE-2008-7252, CVE-2010-7251	phpMyAdmin	2.11.x < 2.11.10	Attaque CSRF et failles de sécurité à impact inconnu

Rating: 0 (from 0 votes)

Pas de commentaires »

Posté dans Sécurité

Tags: Sécurité

Sunday Security Summary #4

18 janvier 2010

Petit point habituel de la semaine passée en matière de sécurité, nous avons eu le droit à un Patch Day très court chez Microsoft tandis que la glibc s’invite exceptionnellement avec Windows Live Messenger aux côtés de Joomla et nginx. Ceci étant, je vous épargne le Patch day Oracle ainsi que celui de TYPO3.

Système et applicatif

CVE	Application	Version(s)	Détail
CVE-2009-4536, CVE-2009-4538	Linux kernel	<= 2.6.32.3	Détournement de filtre par un paquet surchargé (driver e1000)
CVE-2009-4537	Linux kernel	<= 2.6.32.3	Faille de sécurité permettant un déni de service (driver r8169)
CVE-2009-4355	OpenSSL	<= 0.9.8l, <= 1.0.0b4	Fuite mémoire permettant un déni de service
CVE-2009-4489	Cherokee	< 0.99.32	Exécution de code à distance via une requête HTTP mal formée
CVE-2009-4487	nginx	0.7.64	Exécution de code à distance via une requête HTTP mal formée
CVE-2009-3953, CVE-2009-3954, CVE-2009-3955, CVE-2009-3956, CVE-2009-3957, CVE-2009-3958, CVE-2009-3959	Adobe Reader, Acrobar	< 8.2, < 9.3	Exécution de code arbitraire et déni de service
CVE-2010-0278	Windows Live Messenger	14.0.8089.726	Faille de sécurité permettant un déni de service (crash applicatif)
CVE-2010-0015	GNU C Library (glibc, libc6)	2.7	Détournement d’informations des comptes NIS (mots de passe chiffrés)
CVE-2010-0310	Solaris	10	Gain de privilège via Trusted Extensions
CVE-2010-0314	Apple Safari		Accès à des données sensibles via la balise <link> dans un contexte d’appel CSS
CVE-2010-0315	Google Chrome		Accès à des données sensibles via la balise <link> dans un contexte d’appel CSS
CVE-2010-0249	Microsoft Internet Explorer	6 – 8	Exécution de code arbitraire, faille 0-day exploitée courant Janvier
CVE-2010-0318	FreeBSD	7.1, 7.2 et 8.0	Possibilité de lire ou modifier des fichiers sans autorisation dans un contexte particulier (ZFS)
CVE-2010-0018	Microsoft Windows	2000 SP4, XP SP2-SP3, 2003 SP2, Vista, 2008, 2008 R2 et 7	Patch Day - Exécution de code arbitraire via le moteur de polices de caractères Embedded OpenType (EOT)

Web

CVE	Application / Module	Version(s)	Détail
CVE-2009-4598	Joomla / JPhoto	1.0	Injection SQL via le paramètre id
CVE-2009-4599	Joomla / JS Jobs	1.0.5.6	Injections SQL multiples via les paramètres md et oi
CVE-2009-4604	Joomla / Fernando Soares Mamboleto	2.0 RC3	Injection de fichiers PHP via une faille include

Voilà pour le 4ème volume du 3S … Have a nice week.

Rating: +1 (from 1 vote)

Pas de commentaires »

Posté dans Sécurité

Tags: Sécurité

RSA : 768 bits c’est has been, passe à 1024

17 janvier 2010

Il fallait s’y attendre, le 12 décembre dernier une équipe de chercheurs dirigée par T. Kleinjung a réussi à factoriser une clé RSA de 768 bits, le projet aura duré un an et demi.

Pour ceux qui ne connaissent pas, l’algorithme RSA (Rivest Shamir Adleman) est un algorithme de chiffrement asymétrique à clé publique. Cet algorithme a été introduit en 1977 par Ron Rivest, Adi Shamir et Len Adleman.

Je ne vais pas m’étendre sur la présentation de cet algorithme, Wikipedia le fait très bien. Si vous voulez en savoir plus sur le mechanisme de fonctionnement, vous pouvez toujours vous référer à l’article du Site du Zéro.

Partant de ce principe, nous ne pouvons pas parler de "casser" l’algorithme mais de factorisation de clé. La consommation en ressources dépend directement de la taille de clé, sachant que pour une clé 768 bits il faut approximativement 1 500 ans pour la factoriser à l’aide un Opteron 2.20 Ghz. Le résultat final occupe pas moins de 5 To et a demandé plusieurs centaines de machines. Vous trouverez le PDF du projet ici.

Jusqu’en mai 2007, les laboratoires RSA organisaient le concours de factorisation RSA avec un bon prix selon la taille de clé factorisée. Si le concours était encore d’actualité, T. Kleinjung et son équipe auraient touché 50 000 dollars.

Le NIST recommande donc de passer sur des clés d’une taille minimale de 1024 bits. Une hypothèse très controversée indique que les clés de 1024 bits pourraient être factorisées d’ici la fin de l’année étant donné que le rapport puissance de calcul / machine augmente sensiblement. La taille la plus répandue reste 2048 bits, et pour les paranos vive les clés de 4096 bits

Petite information à part pour les personnes qui se posent des questions au regard de la loi française : sachez que depuis le 21 juin 2004, la Loi pour la Confiance dans l’Economie Numérique a totalement libéralisé l’utilisation des algorithmes de chiffrement à l’intérieur du pays (l’import / export est soumis à certaines règles). Pour plus d’informations sur les règlementations en matière de sécurité des données en France, visitez le site de l’Agence Nationale de la Sécurité des Systèmes d’Information.

Rating: +1 (from 1 vote)

1 commentaire »

Posté dans Actualité, Sécurité

Tags: Sécurité

PatchDay : Microsoft commence l’année doucement

12 janvier 2010

Les failles seraient-elles en vacances chez Microsoft ? En tout cas, c’est ce qu’on pourrait croire à la vue de cette première compilation mensuelle de bulletins de sécurité de l’année qui ne comprend … qu’un seul bulletin.

Bien que noté comme critique, ce bulletin reste en sévérité faible pour toutes les versions de Windows sauf Windows 2000 SP4 :

MS10-001 – Critique : Vulnérabilité dans le moteur de rendu des polices Embedded OpenType (EOT) permettant l’exécution de code à distance. Cette faille concerne des applications telles qu’Internet Explorer, Office PowerPoint ou encore Word. Ce bulletin remplace le précédant bulletin MS09-029.

Bon patch day

Source : Microsoft Security Response Center

Rating: 0 (from 0 votes)

Pas de commentaires »

Posté dans Sécurité

Tags: microsoft patchday Sécurité

Sunday Security Summary #3

11 janvier 2010

Ce rapport devrait plutôt être le Monday Security Summary, encore un dimanche chargé qui m’a empêché de sortir le 3S à temps. Cette semaine est principalement dédiée à Joomla qui se fait un petit patch week. Drupal, Firefox, Cherokee et Pidgim l’accompagnent.

Failles système

CVE-2009-4565 : Faille de sécurité dans sendmail avant 8.14.4 permettant du spoofing de serveurs SMTP utilisant SSL.
CVE-2009-4587 : Faille de sécurité dans Cherokee Web Server 0.5.4 permettant un Déni de Service distribué (DDoS).
CVE-2010-0220 : Faille de sécurité dans Mozilla Firefox avant 3.5.7 permettant un Déni de Service distribué (DDoS).
CVE-2010-0013 et CVE-2010-0277 : Failles de sécurité dans Pidgin 2.6.4 et Adium 1.3.8 permettant un accès en lecture aux fichiers et un Déni de Service distribué (DDoS).
CVE-2010-0221, CVE-2010-0222, CVE-2010-0223, CVE-2010-2024, CVE-2010-0225, CVE-2010-0226, CVE-2010-0227, CVE-2010-0228 et CVE-2010-0229 : Failles critiques de protection des clés USB sécurisées Kingston DataTraveler BlackBox, Kingston DataTraveler Secure Privacy Edition, Kingston DataTraveler Elite Privacy Edition, SanDisk Cruzer Enterprise, Verbatim Corporate Secure et Verbatim Corporate Secure FIPS Edition permettant un détournement de mots de passe.

Failles web

CVE-2009-4557 et CVE-2009-4558 : Failles de sécurité (Injection XSS) dans de multiples versions du module Image Assist pour Drupal.
CVE-2009-4559 : Faille de sécurité (Injection XSS) dans le module Submitted By pour Drupal.
CVE-2009-4573 : Faille de sécurité (Injection XSS) dans le composant Joomulus (com_joomulus) 2.0 pour Joomla permettant l’injection de données via des animations Flash.
CVE-2009-4575 : Faille de sécurité (Injection XSS) dans le composant Q-Personel (com_qpersonel) 1.0.2 RC2 pour Joomla.
CVE-2009-4576 : Faille de sécurité (Injection SQL) dans le composant BeeHeard (com_beeheard) 1.x pour Joomla.
CVE-2009-4578 : Faille de sécurité (Injection XSS) dans le composant Facileforms (com_facileforms) pour Joomla.
CVE-2009-4579 : Faille de sécurité (Injection XSS) dans le composant Artist Avenue (com_artistavenue) pour Joomla.
CVE-2009-4583 : Faille de sécurité (Injection SQL) dans le composant DhForum (com_dhforum) pour Joomla.
CVE-2010-0157 : Faille de sécurité dans le composant Bible Study (com_biblestudy) 6.1 pour Joomla permettant une traversée de répertoire.
CVE-2010-0158 : Faille de sécurité (Injection SQL) dans le composant JoomlaBambo Simpla pour Joomla.

Voilà pour le 3^ème 3S, rendez-vous demain pour le premier patch day Microsoft de l’année.

Rating: 0 (from 0 votes)

Pas de commentaires »

Posté dans Sécurité

Tags: Sécurité

Sunday Security Summary #2

4 janvier 2010

Tout d’abord, je vous souhaite une bonne année 2010 et tout ce qui va avec
Me revoilà pour le 2^ème 3S avec, cette semaine, un patch week massivement orienté Drupal. Kaspersky, IIS, Joomla et MySQL l’accompagnent.

Failles logicielles

CVE-2009-4484 : Buffer overflow dans MySQL 5.0.51a pour Linux.
CVE-2009-4452 : Gain de privilège via une injection de librairie sur Kaspersky Anti-Virus 5.0 (5.0.712), Antivirus Personal 5.0.x, Anti-Virus 6.0 (6.0.3.837), 7 (7.0.1.325), 2009 (8.0.0.x), 2010 (9.0.0.463), Internet Security 7 (7.0.1.325), 2009 (8.0.0.x) et 2010 (9.0.0.463).
CVE-2009-4444 et CVE-2009-4445 : Création de fichiers sans accès et détournement de vérification sur IIS 5 et 6 (et versions précédentes pour la création) combinés avec des applications tierces.
CVE-2009-4457 : Vulnérabilités diverses (impacts inconnus) sur le module Vsftpd (avant 1.3b) pour Webmin.

Failles web

CVE-2009-4475 : Injection SQL dans le module Joomlub (com_joomlub) pour Joomla!
CVE-2009-4459 : Injection XSS via des données UTF-7 pouvant amener à l’exécution de scripts tiers (sous Internet Explorer 7 et 8) sur Redmine 0.8.7.
CVE-2009-4429 : Injection XSS dans le module Sections 5.x avant 5.13 et 6.x avant 6.13 pour Drupal.
CVE-2009-4513 : Injection XSS dans le module Workflow 5.x avant 5.x-2.4 et 6.x avant 6.x-1.2 pour Drupal.
CVE-2009-4514 : Injection XSS dans le module OpenSocial Shindig-Integrator 5.x and 6.x avant 6.x-2.1 pour Drupal.
CVE-2009-4515 : Faille inconnue donnant accès à des données sensibles dans le module Storm 6.x avant 6.x-1.25 pour Drupal.
CVE-2009-4517 et CVE-2009-4534 : Faille CSRF et redirection ouverte dans le module FAQ Ask 5.x et 6.x avant 6.x-2.0 pour Drupal.
CVE-2009-4518 : Injection XSS dans le module Insert Node 5.x avant 5.x-1.2 pour Drupal.
CVE-2009-4520 : Accès à des données sensibles via le module CCK Comment Reference 5.x avant 5.x-1.2 et 6.x avant 6.x-1.3 pour Drupal.
CVE-2009-4524 : Injection XSS dans le module RealName 6.x-1.x avant 6.x-1.3 pour Drupal.
CVE-2009-4527 : Gain de privilège par attaque de proximité dans le module Shibboleth 5.x avant 5.x-3.4 et 6.x avant 6.x-3.2 pour Drupal.
CVE-2009-4528 : Accès non autorisé au vocabulaire via le module Organic Groups (OG) Vocabulary 6.x avant 6.x-1.0 pour Drupal.
CVE-2009-4525 et CVE-2009-4526 : Accès à des données sensibles via le module Print 5.x avant 5.x-4.9 et 6.x avant 6.x-1.9 pour Drupal.
CVE-2009-4532 et CVE-2009-4533 : Injection XSS et accès à des données sensibles via le module Webform 5.x avant 5.x-2.8 et 6.x avant 6.x-2.8 pour Drupal.

Bon patching et à la semaine prochaine !

Rating: 0 (from 0 votes)

Pas de commentaires »

Posté dans Sécurité

Tags: Sécurité

Sunday Security Summary #1

27 décembre 2009

Premier épisode d’une série sans fin, le Sunday Security Summary (3S) est le rendez-vous de la semaine pour faire un petit point sur la sécurité. Bien sûr, ce n’est qu’une liste non exhaustive. Dans ce rapport, aujourd’hui : noyau Linux, PHP, Zend Fx, Drupal et APC.

Failles système

CVE-2009-4406 : Injection XSS dans le formulaire de login sur l’APC Switched Rack PDU AP7932 B2 avec rpdu 3.3.3 ou 3.7.0 sur AOS 3.3.4.
CVE-2009-4410 : Deni de service (Kernel panic) via le module FUSE sur les noyaux Linux 2.6.29-rc1 à 2.6.30.9.

Failles Web

CVE-2009-4369 : Injection XSS dans le module Contact pour Drupal 5.x avant 5.21 et 6.x avant 6.15.
CVE-2009-4370 : Injection XSS dans le module Menu pour Drupal 6.x avant 6.15.
CVE-2009-4371 : Injection XSS dans le module Locale pour Drupal 6.14.
CVE-2009-4142 : Faille de sécurité via les Sessions sur toutes les versions de PHP inférieures à 5.2.12.
CVE-2009-4418 : Deni de service via une sérialisation de variable dans PHP 5.
CVE-2009-4417 : Faille de sécurité permettant d’envoyer des emails via le module Zend_Log_Writer_Mail dans Zend Framework 1.9 et versions précédentes.

Vous pouvez retrouver, tous les jours ou presque, ces annonces sur la NVD ou via le hash-tag Twitter #NVD.

A l’année prochaine !

Rating: 0 (from 0 votes)

Pas de commentaires »

Posté dans Sécurité

Tags: Sécurité

PatchDay : 13 bulletins en ce 13 octobre pour Microsoft

13 octobre 2009

Ayant raté le PatchDay du mois dernier, je reviens en force ce mois-ci (et Microsoft aussi) avec 13 bulletins de sécurité.

PatchDay

» En lire plus:PatchDay : 13 bulletins en ce 13 octobre pour Microsoft

Rating: 0 (from 0 votes)

Pas de commentaires »

Posté dans Sécurité

Tags: microsoft patchday Sécurité

PatchDay Microsoft du mois d’Août : 9 correctifs

12 août 2009

Quelques jours après le PatchDay Apple, voici celui de Microsoft. 9 correctifs ce mois-ci dont 5 critiques alors tous à vos Windows Update et bon patchday

» En lire plus:PatchDay Microsoft du mois d’Août : 9 correctifs

Rating: 0 (from 0 votes)

Pas de commentaires »

Posté dans Sécurité

Tags: microsoft patchday Sécurité