Paramètrer son firewall Gnu/Linux avec Iptables et Netfilter

La plupart des nouveaux utilisateurs de systèmes Gnu/Linux partent du postulat qu’utiliser Linux est bien plus sûr qu’un Windows, et que de fait, il n’est pas forcément nécessaire d’avoir un firewall, ou encore de passer du temps à paramétrer son système. Ils ont évidement tort, considérer Linux comme plus secure que Windows est une erreur, et ne pas fine-tuner son OS en est une autre. Il existe pourtant un module qui fournit à Linux l’intégralité des fonctions de pare-feu: Netfilter. Il intercepte et manipule les paquets IP avant et après le routage. Pour configurer Netfilter en espace utilisateur, on utilise Iptables. Je dois souvent proposer aux administrateurs et utilisateurs une explication sommaire sur les configurations possibles d’un firewall que j’estime saines. Ce billet reprend quelques-une des informations que je met en avant dans certains rapports d’audit. Nous discutons souvent avec des administrateurs qui ne maîtrisent Iptables qu’à l’aide de tutos trouvés ça et là (forum / wiki) sur Internet et de vagues souvenirs d’école d’ingénieur ou de la faculté.

Lire la suite de l’article

IPB (Invision Power Board) all versions (1.x? / 2.x / 3.x) Admin account Takeover leading to code execution

Lire la suite de l’article

Facebook: Vers XSS/CSRF sur le réseau social

Lire la suite de l’article

Facebook: XSS / CSRF worms on the social network

Lire la suite de l’article

Tracer les requêtes MySQL en cours d’exécution

S’il est relativement aisé de débugger une application en cours de développement ou lors des phases de preprod, c’est une toute autre histoire lorsque celle-ci est en production, et que l’on doit continuer à servir les pages aux internautes sans (trop) dégrader l’applicatif. L’un des problèmes majeurs, si cela n’a pas été prévu en amont ou lors des tests unitaires, est de traquer ce que doit traiter MySQL à un instant T pour comprendre pourquoi mysqld utilise, par exemple, plus de 50% du CPU. En effet, les 3/4 des soucis de performance que nous rencontrons sur les développements sont dus à des requêtes mal pensées ou mal utilisées.

Lire la suite de l’article

Denial of service PHP sur toutes les versions inférieures à 5.3.1

Un advisory concernant les releases PHP antérieures à la version 5.3.1 a été publié ce vendredi. En effet, la 5.3.1 contient un patch pour un DoS ayant été reporté le 27 Octobre 2009. Le problème concerne le support de la RFC 1867 dans PHP (Formulaire d’upload HTML).

Lire la suite de l’article