tag:blogger.com,1999:blog-16926911.post9196211171267421569..comments2024-01-07T10:33:46.825+01:00Comments on newsoft's fun blog: Ceci n'est pas du sport ...newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.comBlogger13125tag:blogger.com,1999:blog-16926911.post-20013929540548426352009-12-28T16:33:27.264+01:002009-12-28T16:33:27.264+01:00Ah cette fois c'est la bonne:
Multiple remote...Ah cette fois c'est la bonne:<br /><br /><i><a href="http://pear.php.net/advisory20091114-01.txt" rel="nofollow">Multiple remote arbitrary command injections have been found in the Net_Ping and Net_Traceroute</a></i>newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-86780372413629720602009-11-27T13:42:32.029+01:002009-11-27T13:42:32.029+01:00Injection de commandes dans PEAR Net::Traceroute
...Injection de commandes dans PEAR Net::Traceroute<br /><br /><a href="http://www.gentoo.org/security/en/glsa/glsa-200911-06.xml" rel="nofollow">http://www.gentoo.org/security/en/glsa/glsa-200911-06.xml</a><br /><br />"Ca, c'est fait"newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-44889473300783390812009-06-29T16:38:01.924+02:002009-06-29T16:38:01.924+02:00Tiens mais il semblerait que Nagios fixe des injec...Tiens mais <a href="http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-249/index.html" rel="nofollow">il semblerait que Nagios fixe des injections de ';' dans la commande PING</a> (!)newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-9386343829921970232008-12-09T22:02:00.000+01:002008-12-09T22:02:00.000+01:00Attention, le seul, l'unique Hervé S. m'a confirmé...Attention, le seul, l'unique Hervé S. m'a confirmé de vive voix ne pas être à l'origine des commentaires signés "Hervé S."<BR/><BR/>A prendre au second degré, donc.newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-44362628523981791682008-12-07T08:46:00.000+01:002008-12-07T08:46:00.000+01:00On me souffle que les commentaires du rapport sont...On me souffle que les commentaires du rapport sont disponibles sur le blog de Sogeti:<BR/><BR/>http://esec.fr.sogeti.com/blog/dotclear/?2008/12/05/44-cspn-truecrypt<BR/><BR/>Donc pour résumer, la version 6.0 est certifiée, et la version 6.1 corrige une partie des bogues trouvés :)newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-37493797402953764222008-12-05T22:04:00.000+01:002008-12-05T22:04:00.000+01:00@Hervé: merci pour l'info, j'espère que le PDF n'e...@Hervé: merci pour l'info, j'espère que le PDF n'est pas "malicieux" ;)<BR/><BR/>En tout cas le document a l'air très complet (je lirai ça à tête reposée). Je me demande ce qu'il en est des "vulnérabilités" trouvées.<BR/><BR/>Est-ce qu'elles ont été signalées aux développeurs ? La DCSSI fournit-elle un patch ? Faut-il attendre la version 6.0b ? Les futures versions devront-elles être recertifiées ?newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-81330096257806777272008-12-05T19:34:00.000+01:002008-12-05T19:34:00.000+01:00Le rapport de Sogeti est en ligne depuis 2 jours à...Le rapport de Sogeti est en ligne depuis 2 jours à l'adresse :<BR/>http://www.ssi.gouv.fr/fr/confiance/cspn/2008-03.pdf. Hervé S (92)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-48390440765327976932008-12-05T18:56:00.000+01:002008-12-05T18:56:00.000+01:00Nico: effectivement, tu avais vu juste à propos de...Nico: effectivement, tu avais vu juste à propos de la mise à jour et je suis tout à fait conscient de l'intérêt marketing. Une interview d'EW qui détaille les retombées positives de la première certif est d'ailleurs disponible en ligne.<BR/>Mais je reste sceptique sur l'impartialité du jugement. C'est assez délicat d'être juge et partie dans ce contexte.<BR/><BR/>Pour finir sur un note un peu plus légère on voit dans le rapport que hping2 a été utilisé. Ah. Et pourquoi pas hping3 ? Serait-ce un malencontreux copié/collé du document de la première certif ? ;) <BR/>Un petit scapy aurait été le bienvenu aussi.<BR/>Quoique après le coup de pub qu'il s'est pris avec l'interview de Kaminsky dans Wired je ne pense pas que scapy en ai vraiment besoin.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-44705587496959534062008-12-05T09:05:00.000+01:002008-12-05T09:05:00.000+01:00funkinessflavor: il faudrait demander a EW chez OB...funkinessflavor: il faudrait demander a EW chez OBS, mais je suis presque sur que c'est une "mise a jour" d'une evaluation precedente (qui date d'il y a 2-3 ans au moins).<BR/><BR/>L'utilite est vraiment au niveau marketing (et comme je le disais a EW c'est bien joue), car quand tu regardes le document tu vois des versions specifiques d'IOS. Ca veut dire que FT ne peut pas mettre a jour ses routeurs en cas de faille de securite ? :)<BR/><BR/>Et puis pour pello: je te laisse regarder quelles sont les failles dans ces versions d'IOS ;-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-4249851866802609422008-12-05T06:35:00.000+01:002008-12-05T06:35:00.000+01:00@H.S. du 92: mon commentaire visait plus les fanbo...@H.S. du 92: mon commentaire visait plus les fanboys de Latex que les chercheurs de Sogeti.<BR/><BR/>Je suis sûr que leur rendu sera d'excellente qualité, compte-tenu de la vitrine que leur offre le CSPN.newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-14313750957586055022008-12-04T22:07:00.000+01:002008-12-04T22:07:00.000+01:00Ton commentaire sur le rapport de Sogeti n'est...Ton commentaire sur le rapport de Sogeti n'est pas sympa pour eux. Je pense que la DCSSI hésite à le publier. Il n’y a plus beaucoup d’équipe R&D en France : EADS, Sogeti/ESEC, … Je pense que vous devriez être solidaire et ne pas vous affronter. Hervé S (Levallois 92)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-3687260838330117562008-12-04T14:29:00.000+01:002008-12-04T14:29:00.000+01:00On peut effectivement se demander comment sont obt...On peut effectivement se demander comment sont obtenues certaines certifications.<BR/>Je cite la <A HREF="http://www.ssi.gouv.fr/fr/confiance/cesti.html" REL="nofollow">DCSSI</A>: <I>"Un CESTI doit être impartial et indépendant de toute pression extérieure. Il ne doit en aucun cas être impliqué dans le développement (y compris à titre de conseil) et l'évaluation d'un même produit."</I><BR/>Bien, très bien.<BR/>Comme par exemple cette offre de <A HREF="http://www.ssi.gouv.fr/fr/confiance/certificats/certificat2008_20.html" REL="nofollow">France Telecom</A> évaluée par le CESTI... France Telecom (Silicomp AQL) ?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-10306090517667017092008-12-03T11:16:00.000+01:002008-12-03T11:16:00.000+01:00Ces certifications ne sont t'elles pas un justific...Ces certifications ne sont t'elles pas un justificatif de "non-disclose public voir la sortie un jour de correctif" pour certains constructeurs/éditeurs si une faille trouvée ne remet pas en question la certification ?<BR/>Perso on m'a déjà dit "on s'en fout c'est pas FIPS"<BR/><BR/>Même juniper a notifié l'overflow dans dns2tcp (severity=HIGH), c'est choquant :)Anonymousnoreply@blogger.com