Rechercher  
Les flux RSS d'Indexel.net    
 AccèsRapide
 Applications
Gestion
Communication
Commerce
 Sécurité
 Réseaux
 Logiciels libres
 Internet
 Management
 Administration et architecture
 Dossiers
 Télécharger
 Internet
 Utilitaires
 Sécurité
 Multimédia
 Pratique
 Emploi
 Formations
 Prestataires
 Glossaire
publicité
publicité

Par
Lemaire Eric

10/12/2003

Nouvelle version du patch Openwall pour le noyau Linux
Destiné au noyau Linux, Openwall est un patch qui permet d´améliorer la sécurité du système et apporte de nouvelles fonctionnalités non disponibles par défaut. Une nouvelle version de ce patch dédié aux noyaux Linux 2.4.23 est désormais disponible.

 

Les vulnérabilités dans le noyau Linux sont d´actualité... Et il est fort probable qu´une machine équipée d´un tel patch n´aurait pas été touchée par les dernières failles découvertes. Il est conseillé d´utiliser ce type patch sur vos machines d´autant que le délai entre la découverte d´une vulnérabilité et l´annonce publique de son existence peut varier de quelques jours à plusieurs semaines. Les équipes de Gentoo et Debian en ont fait l´expérience très récemment à leurs dépens. Les pirates qui se sont introduits sur leurs serveurs en production ont utilisé des failles qui jusqu´alors n´étaient pas connues du public : aucun correctif n´était donc disponible.

L´exploitation de ces vulnérabilités n´aurait sans doute pas été possible si les machines avaient utilisé des patchs comme Openwall ou Grsecurity qui les protégent des attaques standard... par exemple les dépassements de mémoire tampon - et réduisent les risques d´exploitation de failles dans le noyau.

Openwall kesako ?

Openwall permet de protéger les systèmes d´exploitation Linux contre les vulnérabilités de type "buffer overflow", "format string" et leurs variantes (malloc, heap). Il offre en outre un meilleur cloisonnement des utilisateurs et une plus grande discrétion quant aux informations sensibles qu´un utilisateur peut récolter sur une machine notamment en réglementant l´accès au répertoire /proc. Openwall détruit enfin de manière automatique les segments de mémoire partagée orphelins (c´est-à-dire qui ne sont plus attachés à un process).Par défaut sous Linux, il est possible de limiter le nombre de process pour un utilisateur donné via setrlimit. Cependant cette limite n´est vérifiée que lors de la création d´un process. Si le process change son UID et fork, il n´est pas vérifié et il est donc possible de dépasser la limite fixée. Openwall corrige également ce problème.

Des améliorations sont aussi apportées au niveau de la gestion des file handler en vérifiant que les file handler 0,1 et 2 sont toujours ouverts lors de l´appel d´un binaire SUID/SGID.

En bref, Openwall est une alternative au patch Grsec, certes moins complet, mais tout aussi efficace.

 

 

 

 

 

 

Yann S., isecurelabs.com

Envoyer
à un ami
Ecrire à la
rédaction
Imprimer
l'article
publicité
Lire aussi

Dossier sécurité :
les procédures, ou comment éviter les ennuis

Panorama des solutions de détection de vulnérabilités en mode ASP

  L'actualité
Newsletter
Abonnez-vous gratuitement à notre newsletter hebdomadaire
  >> valider <<
Glossaire

Un terme technique, une interrogation, l'informatique de A comme adresse IP à Z comme zip, découvrez notre glossaire.

>> cliquez ICI <<
  Appel à témoignage

Pour partager votre expérience avec nous
>> cliquez ICI <<
Toutes les actualités

VMware virtualise les téléphones portables

ERP et CRM : Microsoft propose un prêt à 0 %

Antivirus : AVG plante Windows XP... et s'excuse

Processeurs : AMD revient dans la course avec Shanghai

SAP muscle son offre de maintenance

Bureautique : ODF reçoit à nouveau le soutien des poids lourds de l'informatique

|  Contact  || Qui sommes nous ?  || Conditions d'utilisation  || Publicité | | Indexel.com |