Gestion de LetsEncrypt sous FreeBSD avec nginx et une jail

LetsEncypt est une autorité de certification utilisant une API basée sur des appels HTTP et un client côté serveur qui va générer des tokens lus par les serveurs LetsEncrypt.

Nous allons ici voir une architecture LetsEncrypt typique dans laquelle nous allons utiliser le client acme-client d’OpenBSD disponible dans les ports et les packages FreeBSD.

Installation

Dans un premier temps installez le client sur votre machine hôte (et pas votre jail web):

Continuer à lire

Sécurité: dpkg

Jakub Wilk a découvert que dpkg n’analysait pas correctement la citation des noms de fichiers dans le style de C, permettant la traversée de répertoires lors du dépaquetage d’un paquet source – menant à la création de fichiers à l’extérieur du répertoire de la source dépaquetée.

Nous vous recommandons de mettre le paquet à jour

Source

Sécurité: wordpress

Plusieurs vulnérabilités ont été découvertes dans WordPress, un outil de blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-0165
    Un utilisateur avec un rôle de contributeur, utilisant une requête contrefaite pour l’occasion, peut publier des articles, ce qui est réservé à des utilisateurs dotés d’un rôle supérieur.
  • CVE-2014-0166
    Jon Cave de l’équipe de sécurité de WordPress a découvert que la fonction wp_validate_auth_cookie dans wp-includes/pluggable.php ne détermine pas correctement la validité des cookies d’authentification, permettant à un attaquant distant d’obtenir un accès à l’aide d’un cookie falsifié.

Nous vous recommandons fortement de mettre WordPress à jour.

Source

Sécurité: tomcat7

Plusieurs problèmes de sécurité ont été découverts dans le servlet Tomcat et le moteur JSP  :

  • CVE-2013-2067L’authentification par formulaire associe la requête la plus récente exigeant une authentification à la session actuelle. En envoyant une requête de façon répétée pour une ressource authentifiée pendant que la victime remplit le formulaire d’identification, un attaquant pourrait injecter une requête qui pourrait être exécutée avec les certificats de la victime.
  • CVE-2013-2071Une exception à l’exécution dans AsyncListener.onComplete() empêche la requête d’être recyclée. Cela peut dévoiler des éléments de la requête précédente dans la requête actuelle.
  • CVE-2013-4286Rejet des requêtes avec de multiples en-têtes de longueur de contenu ou avec un en-tête de longueur de contenu quand l’encodage en bloc est utilisé.
  • CVE-2013-4322Lors du traitement d’une requête soumise en utilisant l’encodage de transfert en bloc, Tomcat ignore mais ne limite pas les extensions incluses. Cela permet à un client de réaliser un déni de service limité en envoyant une quantité illimitée de données au serveur.
  • CVE-2014-0050Les requêtes à parties multiples (Multipart) avec un en-tête de type de contenu malformé pourrait déclencher une boucle infinie provoquant un déni de service.

Nous vous recommandons de mettre le paquet à jour.

Source

Sécurité: openssh

Deux vulnérabilités ont été découvertes dans OpenSSH, une implémentation du protocole SSH. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-2532Jann Horn a découvert que OpenSSH traitait incorrectement les caractères de remplacement dans les lignes AcceptEnv. Un attaquant distant pourrait utiliser ce problème pour tromper OpenSSH et le mener à accepter toute variable d’environnement qui contient des caractères avant le caractère de remplacement.
  • CVE-2014-2653Matthew Vernon a signalé que si un serveur SSH propose un HostCertificate que le client ssh n’accepte pas, alors le client ne vérifie pas les enregistrements de DNS pour SSHFP. Comme conséquence, un serveur malveillant peut désactiver la vérification de SSHFP en présentant un certificat.

    Notez qu’une invite de vérification d’hôte est encore affichée avant la connexion.

Nous vous recommandons de mettre le paquet à jour si vous utilisez l’une de ces fonctionnalités.

Source

Sécurité: openssl

Une vulnérabilité a été découverte dans la prise en charge par OpenSSL de l’extension TLS/DTLS Heartbeat. Jusqu’à 64 ko de mémoire peuvent être récupérés sur un client ou un serveur par un attaquant. Cette vulnérabilité peut permettre à un attaquant de compromettre les clefs privées et d’autres données sensibles en mémoire.

Tous les utilisateurs sont vivement encouragés à mettre à niveau leurs paquets openssl (particulièrement libssl1.0.0) et à redémarrer leurs applications dès que possible.

Selon les informations actuellement disponibles, les clefs privées peuvent être considérées comme compromises et doivent être régénérées dès que possible. Plus de détails seront communiqués ultérieurement.

Vous devez impérativement mettre à jour tous les serveurs utilisant openssl, notamment ceux l’utilisant de manière publique (serveurs HTTPS, IMAPS, SMTPS…). La version 1.0.1g est désormais la version minimale (1.0.10 sous FreeBSD)

Source

Sécurité: openswan

Deux vulnérabilités ont été corrigées dans Openswan, une implémentation d’IKE/IPsec pour Linux.

  • CVE-2013-2053
    Pendant un audit de Libreswan (avec lequel Openswan partage une partie de son code), Florian Weimer a découvert un dépassement de tampon distant dans la fonction atodn(). Cette vulnérabilité peut être déclenchée quand Opportunistic Encryption (OE) est activé et qu’un attaquant contrôle l’enregistrement de résolution inverse (PTR) de l’adresse IP du pair. Aucune authentification n’est nécessaire pour déclencher la vulnérabilité.
  • CVE-2013-6466
    Iustina Melinte a découvert une vulnérabilité dans Libreswan qui s’applique aussi au code d’Openswan. En contrefaisant habilement des paquets IKEv2, un attaquant peut faire en sorte que le démon pluto déréférence la charge utile de paquets IKEv2 non-reçus, conduisant au plantage du démon. Aucune authentification n’est nécessaire pour déclencher la vulnérabilité.

À l’origine, des correctifs ont été écrits pour corriger ces vulnérabilités dans Libreswan, puis ils ont été portés sous Openswan par Paul Wouters du projet Libreswan.

Comme le paquet Openswan n’est plus maintenu dans la distribution Debian et n’est plus disponible dans les versions testing et unstable, il est recommandé aux utilisateurs d’IKE/IPsec de passer à une implémentation prise en charge telle que strongSwan.

Source

Sécurité: PHP5

file, un outil de classification de type de fichier, contient un défaut dans le traitement de règles magiques indirectes dans la bibliothèque libmagic, ce qui mène à une récursion infinie quand il essaie de déterminer le type de certains fichiers. Ce défaut est identifié par l’identifiant CVE-2014-1943 du projet « Common Vulnerabilities and Exposures ». Par ailleurs, d’autres fichiers habilement contrefaits pourraient entraîner de longs temps de calcul (avec une occupation à 100 % du processeur) et des résultats trop longs.

Cette mise à jour corrige ce défaut dans la copie embarquée dans le paquet php5.

Nous vous recommandons de mettre le paquet à jour

Source

Sécurité: postgresql91

Diverses vulnérabilités ont été découvertes dans PostgreSQL:

  • CVE-2014-0060 Consolider les restrictions de GRANT … WITH ADMIN OPTION (Noah Misch)
    Accorder un rôle sans l’option ADMIN OPTION est supposé empêcher le membre bénéficiaire d’octroyer à d’autres membres l’appartenance au rôle ou de la révoquer, mais cette restriction est aisément contournée en exécutant d’abord la commande SET ROLE. L’impact de sécurité est surtout qu’un membre du rôle peut révoquer l’accès à d’autres, contrairement aux souhaits de celui qui lui a accordé le rôle. L’ajout de membres non validés à un rôle est un moindre souci où un membre de rôle non coopératif pourrait accorder la plupart de ses droits à d’autres de toute façon en créant des vues ou des fonctions SECURITY DEFINER.
  • CVE-2014-0061 Prévenir l’augmentation de droits par des appels manuels à des fonctions de validation de langages procéduraux (PL) (Andres Freund)
    Le rôle principal des fonctions de validation est d’être appelées implicitement durant l’exécution de CREATE FUNCTION, mais ce sont aussi des fonctions SQL normales qu’un utilisateur peut appeler explicitement. Appeler un validateur sur une fonction écrite dans un autre langage pour lequel il n’est pas contrôlé, pourrait être exploité à des fins d’augmentation de droits. La correction implique l’ajout d’un appel à une fonction de vérification de droits dans chaque fonction de validation. Les langages procéduraux additionnels auront aussi besoin de procéder à cette modification pour leurs propres fonctions de validation, si elles existent.
  • CVE-2014-0062 Eviter de multiples résolutions de nom lors l’exécution des commandes DDL sur les tables et index (Robert Haas, Andres Freund)
    Si les résolutions de nom arrivent à des conclusions différentes en raison d’activités simultanées, on peut réaliser une partie des commandes DDL sur une table différente que d’autres parties. Au moins dans le cas de la commande CREATE INDEX, cela peut être utilisé pour faire en sorte que la vérification des permissions porte sur une autre table que la création d’index, permettant une attaque d’augmentation de droits.
  • CVE-2014-0063 Prévenir un dépassement de tampon avec de longues chaînes d’horodatage (Noah Misch)
    La constante MAXDATELEN est trop petite pour la plus grande valeur possible de type intervalle permettant un dépassement de tampon dans interval_out(). Bien que les fonctions d’entrée d’horodatage fassent davantage attention à éviter un dépassement de tampon, la limite est suffisamment courte pour provoquer le rejet d’entrées valides telles que celles contenant un très long nom de fuseau horaire. La bibliothèque ecpg contient ces vulnérabilités avec d’autres qui lui sont propres.
  • CVE-2014-0064 Prévenir un dépassement de tampon dû à un dépassement d’entier dans des calculs de taille (Noah Misch, Heikki Linnakangas)
    Plusieurs fonctions, essentiellement des fonctions de type entrée, calculent les tailles d’allocation sans vérification de dépassement. Si un dépassement survient, un tampon trop petit sera alloué et provoquera un dépassement d’écriture.
  • CVE-2014-0065 Prévenir les dépassements de tampons de taille fixe (Peter Eisentraut, Jozef Mlich)
    Utiliser strlcpy() et les fonctions liées pour fournir une garantie claire que les tampons de taille fixe ne sont pas dépassés. À la différence des points précédents, il n’est pas clair que ces cas représentent vraiment des problèmes réels, étant donné que, dans la plupart des cas, il apparaît qu’il y a des contraintes antérieures sur la taille des chaînes d’entrée. Néanmoins, il semble prudent de rendre silencieux tous les avertissements de Coverity de ce type.
  • CVE-2014-0066 Éviter un plantage si crypt() retourne NULL (Honza Horak, Bruce Momjian)
    Il y a relativement peu de scénarios dans lesquels crypt() pourrait retourner NULL, mais contrib/chkpass peuvent se planter si c’est le cas. Un cas pratique dans lequel cela pourrait être un problème est celui où libc est configuré pour refuser d’exécuter des algorithmes de hachage non-validés (par exemple, mode FIPS).
  • CVE-2014-0067 Documenter les risques de la commande make check dans les instructions de test de régression (Noah Misch, Tom Lane)
    Dans la mesure où le serveur temporaire lancé par make check utilise l’authentification trust, un autre utilisateur sur la même machine pourrait se connecter en tant que superutilisateur de la base de données, et ensuite éventuellement exploiter les privilèges de l’utilisateur du système d’exploitation qui a lancé les tests. Une version à venir introduira probablement des modifications dans les procédures de test pour prévenir ce risque, mais des discussions publiques sont nécessaires auparavant. Aussi pour le moment, il faut simplement prévenir les gens contre l’utilisation de make check quand il y a des utilisateurs non fiables sur la même machine.

Nous vous recommandons fortement de mettre le paquet à jour.

Source

Sécurité: drupal7

Plusieurs vulnérabilités ont été découvertes dans Drupal, une plateforme complète de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-1475
    Christian Mainka et Vladislav Mladenov ont signalé une vulnérabilité dans le module OpenID qui permet à un utilisateur malveillant de se connecter sur le site sous l’identité d’autres utilisateurs, y compris d’administrateurs, et de pirater leurs comptes.
  • CVE-2014-1476
    Matt Vance et Damien Tournoud ont signalé une vulnérabilité de contournement d’accès dans le module taxonomie. Dans certaines circonstances, un contenu non publié peut apparaître dans des pages de liste fournies par le module taxonomie et sera visible par des utilisateurs qui n’auraient pas l’autorisation de le voir.

Ces corrections réclament d’autres mises à jour de la base de données que l’on peut faire à partir des pages d’administration. Cette mise à jour introduit en outre un nouvel élément de renforcement de sécurité pour l’API des formulaires. Veuillez consulter l’avertissement des développeurs amont à la page drupal.org/SA-CORE-2014-001 pour plus d’informations.

Nous vous recommandons de mettre ce paquet à jour

Source