Des failles impactant SPIP sont sorties hier soir. Pour les
sites supportant les forums, la sanction est sans appel : affichage du mot
de passe d'admin, utilisation de OUTFILE pour exécuter du code PHP, ...
http://www.zone-h.org/en/advisories/read/id=8650/
Et vu que *beaucoup* de sites francophones (même parmi ceux de l'Etat)
tournent sous ce framework, cela risque de causer des problèmes. Donc,
patchez, et faites patchez ...
2) Pishing Crédit Lyonnais
Une tentative de pishing visant le site interactif.creditlyonnais.com est
en cours, avec un nom de domaine "proche" (interactlf.credltlyonnals.com),
càd avec des L minuscules à la place des I. Les IP pointées par ce nom
changent constamment, sont situées aux USA sur des Windows connectés à
l'ADSL, avec une bannière identique et apparemment fausse :
Apache/2.0.55 (Debian) PHP/4.4.0-4
3) Nmap
La version 4.0 est sortie. Au menu, gain en performances, diminution des
ressources utilisées, ... :
http://www.insecure.org/nmap/download.html
4) Boulot
Je cherche actuellement du boulot dans le domaine de la sécurité,
principalement du côté offensif (pentests, audits, recherche de
vulnérabilités). CV disponible sur demande ...
Le 06 Feb 2006 09:54:05 GMT, Nicolas Krebs écrivait:
Un volontaire pour tester dans SPIP l'absence de faille, pour faire un audit de sécurité (sans parler d'audit de performance http, html, javascript et autres car ce n'est pas en-charte) ?
Je ne sait pas si vous avez déjà jetté un oeil dans le code de SPIP, mais c'est vraiment monstrueux (voir préhistorique). D'autant que l'essentiel a été conçu a une époque où les paradigmes élémentaires de programation (sécurité, conception, ...) en php étaient encore peu connus.
C'est justement pour cela que je demande un volontaire (1).
Bref ce n'est vraiment pas une tache gratifiante (et il s'agit tout de même de 130 000 lignes de php); tant qu'à faire je préfèrerai auditer un CMS plus moderne.
Bah forcément un audit serait plus facile ainsi.
Mais lequel ? SPIP-agora (dont le code semble, à première vue, un poil plus propre) ?
Pour comparer spip et spip agora, il vaut mieux avoir lu deux-trois textes, dont http://article.gmane.org/gmane.comp.web.spip.devel/16607 http://www.neokraft.net/post/2004/06/17/515-comparaison-spip-spip-agora . Mais vous pouvez vous faire votre avis en regardant les codes source des deux : http://www.spip.net/download et http://agora.gouv.fr/ .
Connaissez vous des CMS dont les developpeur ont considéré les problématiques sécurité dès le départ ?
Bah forcément un audit serait plus facile ainsi (bis).
Notes: 1 : Un aspect positif, les développeurs utilisent un système de gestion de version, les diff standards peuvent y entrer.
Benjamin Pineau écrivit dans l'article
news:slrndujkpi.tpr.ben-removethisifyourehuman@oshima.zouh.org
Le 06 Feb 2006 09:54:05 GMT,
Nicolas Krebs <nicolas1.krebs3@netcourrier.com> écrivait:
Un volontaire pour tester dans SPIP l'absence de faille, pour faire un
audit de sécurité (sans parler d'audit de performance http, html,
javascript et autres car ce n'est pas en-charte) ?
Je ne sait pas si vous avez déjà jetté un oeil dans le code de SPIP, mais
c'est vraiment monstrueux (voir préhistorique). D'autant que l'essentiel
a été conçu a une époque où les paradigmes élémentaires de programation
(sécurité, conception, ...) en php étaient encore peu connus.
C'est justement pour cela que je demande un volontaire (1).
Bref ce n'est vraiment pas une tache gratifiante (et il s'agit tout de même
de 130 000 lignes de php); tant qu'à faire je préfèrerai auditer un CMS plus
moderne.
Bah forcément un audit serait plus facile ainsi.
Mais lequel ? SPIP-agora (dont le code semble, à première vue,
un poil plus propre) ?
Pour comparer spip et spip agora, il vaut mieux avoir lu deux-trois
textes, dont http://article.gmane.org/gmane.comp.web.spip.devel/16607
http://www.neokraft.net/post/2004/06/17/515-comparaison-spip-spip-agora .
Mais vous pouvez vous faire votre avis en regardant les codes source des
deux : http://www.spip.net/download et http://agora.gouv.fr/ .
Connaissez vous des CMS dont les developpeur ont
considéré les problématiques sécurité dès le départ ?
Bah forcément un audit serait plus facile ainsi (bis).
Notes:
1 : Un aspect positif, les développeurs utilisent un système de gestion de
version, les diff standards peuvent y entrer.
Le 06 Feb 2006 09:54:05 GMT, Nicolas Krebs écrivait:
Un volontaire pour tester dans SPIP l'absence de faille, pour faire un audit de sécurité (sans parler d'audit de performance http, html, javascript et autres car ce n'est pas en-charte) ?
Je ne sait pas si vous avez déjà jetté un oeil dans le code de SPIP, mais c'est vraiment monstrueux (voir préhistorique). D'autant que l'essentiel a été conçu a une époque où les paradigmes élémentaires de programation (sécurité, conception, ...) en php étaient encore peu connus.
C'est justement pour cela que je demande un volontaire (1).
Bref ce n'est vraiment pas une tache gratifiante (et il s'agit tout de même de 130 000 lignes de php); tant qu'à faire je préfèrerai auditer un CMS plus moderne.
Bah forcément un audit serait plus facile ainsi.
Mais lequel ? SPIP-agora (dont le code semble, à première vue, un poil plus propre) ?
Pour comparer spip et spip agora, il vaut mieux avoir lu deux-trois textes, dont http://article.gmane.org/gmane.comp.web.spip.devel/16607 http://www.neokraft.net/post/2004/06/17/515-comparaison-spip-spip-agora . Mais vous pouvez vous faire votre avis en regardant les codes source des deux : http://www.spip.net/download et http://agora.gouv.fr/ .
Connaissez vous des CMS dont les developpeur ont considéré les problématiques sécurité dès le départ ?
Bah forcément un audit serait plus facile ainsi (bis).
Notes: 1 : Un aspect positif, les développeurs utilisent un système de gestion de version, les diff standards peuvent y entrer.
R12y
Benjamin Pineau :
Connaissez vous des CMS dont les developpeur ont considéré les problématiques sécurité dès le départ ?
Je pense que tout le monde considère cette problématique dès le départ, mais avec une importance différente, c'est tout. Je dis ça parceque je considére que de mettre en place une gestion de contenu implique traiter de la sécurité des documents. Je ne sais pas si tu connais CPS [1]. Moi je l'utilise et c'est relativement bien. Le temps d'apprentissage est très long mais une fois qu'on sait, on fait plein de chose (comme pour tout) Peut-être devrait-on faire suivre sur un groupe adapté, je propose un suivi sur fr.comp.applications.groupware (suivi déjà positionné).
-- My Debian/apt repo: My Fedora/yum Repo: http://www.locataire-serveur.info/sections/liens/fedora-core-yum
Benjamin Pineau :
Connaissez vous des CMS dont les developpeur ont
considéré les problématiques sécurité dès le départ ?
Je pense que tout le monde considère cette problématique dès le départ,
mais avec une importance différente, c'est tout.
Je dis ça parceque je considére que de mettre en place une gestion de
contenu implique traiter de la sécurité des documents.
Je ne sais pas si tu connais CPS [1]. Moi je l'utilise et c'est
relativement bien. Le temps d'apprentissage est très long mais une fois
qu'on sait, on fait plein de chose (comme pour tout)
Peut-être devrait-on faire suivre sur un groupe adapté, je propose un
suivi sur fr.comp.applications.groupware (suivi déjà positionné).
--
My Debian/apt repo:
My Fedora/yum Repo:
http://www.locataire-serveur.info/sections/liens/fedora-core-yum
Connaissez vous des CMS dont les developpeur ont considéré les problématiques sécurité dès le départ ?
Je pense que tout le monde considère cette problématique dès le départ, mais avec une importance différente, c'est tout. Je dis ça parceque je considére que de mettre en place une gestion de contenu implique traiter de la sécurité des documents. Je ne sais pas si tu connais CPS [1]. Moi je l'utilise et c'est relativement bien. Le temps d'apprentissage est très long mais une fois qu'on sait, on fait plein de chose (comme pour tout) Peut-être devrait-on faire suivre sur un groupe adapté, je propose un suivi sur fr.comp.applications.groupware (suivi déjà positionné).
-- My Debian/apt repo: My Fedora/yum Repo: http://www.locataire-serveur.info/sections/liens/fedora-core-yum
Nicob
On Mon, 06 Feb 2006 09:54:05 +0000, Nicolas Krebs wrote:
La liste de diffusion pour les annonces de sécurité ( http://listes.rezo.net/archives/spip-ann/ ) est elle suffisament indiquée lors du téléchargement, installation ou utilisation de SPIP (et dans le site web officiel http://www.spip.net/ ) ? Quelle est la visibilité habituelle pour ce type de source dans les autres logiciels ?
Tant qu'à faire qu'à vouloir bien faire, je renseignerais les entrées correspondantes du "Vendor Dictionary" de l'OSVDB :
On Mon, 06 Feb 2006 09:54:05 +0000, Nicolas Krebs wrote:
La liste de diffusion pour les annonces de sécurité ( spip-ann@rezo.net
http://listes.rezo.net/archives/spip-ann/ ) est elle suffisament indiquée
lors du téléchargement, installation ou utilisation de SPIP (et dans le
site web officiel http://www.spip.net/ ) ? Quelle est la visibilité
habituelle pour ce type de source dans les autres logiciels ?
Tant qu'à faire qu'à vouloir bien faire, je renseignerais les entrées
correspondantes du "Vendor Dictionary" de l'OSVDB :
On Mon, 06 Feb 2006 09:54:05 +0000, Nicolas Krebs wrote:
La liste de diffusion pour les annonces de sécurité ( http://listes.rezo.net/archives/spip-ann/ ) est elle suffisament indiquée lors du téléchargement, installation ou utilisation de SPIP (et dans le site web officiel http://www.spip.net/ ) ? Quelle est la visibilité habituelle pour ce type de source dans les autres logiciels ?
Tant qu'à faire qu'à vouloir bien faire, je renseignerais les entrées correspondantes du "Vendor Dictionary" de l'OSVDB :
(Si vous ne savez pas répondre à cette question volontairement ouverte, dites simplement ce que vous savez de l'OSVDB.)
(Surtout que, pour SPIP, la seule chose que je pourrais ajouter c'est le champs URL, trouvable avec google très très facilement --première réponse--)
Nicob
On Sat, 18 Feb 2006 14:59:01 +0000, Nicolas Krebs wrote:
Tant qu'à faire qu'à vouloir bien faire, je renseignerais les entrées correspondantes du "Vendor Dictionary" de l'OSVDB
Pourquoi ?
Pour éviter au chercheur de failles (qui te fait une fleur en étudiant ton soft) d'avoir à se donner du mal pour trouver le contact "sécurité" du produit en question. Tout simplement ...
Nicob
On Sat, 18 Feb 2006 14:59:01 +0000, Nicolas Krebs wrote:
Tant qu'à faire qu'à vouloir bien faire, je renseignerais les entrées
correspondantes du "Vendor Dictionary" de l'OSVDB
Pourquoi ?
Pour éviter au chercheur de failles (qui te fait une fleur en étudiant
ton soft) d'avoir à se donner du mal pour trouver le contact
"sécurité" du produit en question. Tout simplement ...
On Sat, 18 Feb 2006 14:59:01 +0000, Nicolas Krebs wrote:
Tant qu'à faire qu'à vouloir bien faire, je renseignerais les entrées correspondantes du "Vendor Dictionary" de l'OSVDB
Pourquoi ?
Pour éviter au chercheur de failles (qui te fait une fleur en étudiant ton soft) d'avoir à se donner du mal pour trouver le contact "sécurité" du produit en question. Tout simplement ...
