Bonjour à tous!

En ce moment je n'ai pas le temps de rédiger des articles mais rassurez-vous, ça devrait redémarrer dés le mois prochain

En attendant je vous propose ici une nouvelle classe PHP permettant de gérer les sessions utilisateurs et de les stocker de façon sécurisée en base de données.
Cette classe se chargera également de chiffrer les données de session qui seront ajoutées en base de données avec la méthode PBKDF2 via la classe PHP CwsCrypto.

Lire la suite...

Oracle a décidé ne pas fournir de patch pour une vulnérabilité critique dans ses bases de données 10g et 11g. Au lieu de cela, les utilisateurs sont censés corriger le problème avec un workaround.

Selon Oracle, une grande quantité de code aurait besoin d'être changé et il y aurait un risque important de régressions possibles. Ils citent également l'impossibilité d'automatiser l'installation d'un patch pour le problème. Les utilisateurs d'Oracle ont donc une seul option, utiliser une méthode de contournement qui consiste essentiellement à assurer l'administration du cluster en utilisant la "Class of Secure Transport" (COST). Ils n'ont donc pas l'intention de corriger cette vulnérabilité avant la sortie de la version 12.

Le serveur de base de données est vulnérable à une attaque connue sous le nom de TNS listener poisoning, avec laquelle un pirate est en mesure d'écouter la communication d'un serveur de base de données via un nœud de cluster injecté. Des détails de l'attaque ont d'abord été publié en Avril par Oracle. La personne ayant découvert cette vulnérabilité l'avait déjà reportée il y a 4 ans et depuis Oracle a publié une nouvelle version majeure dans laquelle cette faille a été tout simplement ignorée...

Pour ceux qui me lisent assez régulièrement, vous allez me dire : "Mais quelle rigolade!".
Pour mes nouveaux/récents lecteurs qui n'ont pas tout compris, Oracle a connu récemment une vulnérabilité sur son système de bases de données et suite à ça, Oracle a fait une annonce dans laquelle il offre le support SSL pour ses clients.

Un article sur leur blog explique pourquoi la société a fait cette annonce, Oracle Security Alert for CVE-2012-1675 distingue deux types supports. L'un pour les clients sans Oracle Real Application Clusters et un pour ceux avec Oracle RAC.

Pour ceux sans RAC, Oracle recommande de limiter les inscriptions de nouveaux listeners et des protocoles IPC. Toutes les instructions sont fournies dans l'annonce d'Oracle : Using Class of Secure Transport (COST) to Restrict Instance Registration.

Pour ceux avec RAC ou Exadata, le problème est un peu plus complexe et l'utilisation de COST signifie dans ce cas la mise en place du SSL/TLS comme indiqué dans Using Class of Secure Transport (COST) to Restrict Instance Registration in Oracle RAC. Le problème est que l'utilisation de SSL/TLS est vendu pour un coût supplémentaire non négligeable. Mais maintenant (et ça aurait dû être le cas dés le début...), Oracle a mis à jour sa licence afin que les clients puissent utiliser le SSL/TLS afin de se protéger contre cette vulnérabilité.

Avec le changement de licence et la disponibilité du workaround (solution de contournement) efficace, il est peu probable qu'Oracle mette en place un patch pour ses base de données d'ici peu de temps. Le problème affecte actuellement les base de données Oracle 11gR2 11.2.0.2 et 11.2.0.3, 11.1.0.7 11gR1, et 10g 10.2.0.3, 10.2.0.4 et 10.2.0.5. Les utilisateurs de Oracle Fusion Middleware, Enterprise Manager ou E-Business Suite devraient également prendre note de cette vulnérabilité, car ces produits incluent le système de base de données d'Oracle.

Lors de la publication de son dernier patch, Oracle a déclaré qu'une faille de sécurité critique de sa base de données avait été corrigée. La personne qui a découvert cette vulnérabilité a mis en avant la procédure et a publié les détails de cette vulnérabilité. Bien que la vulnérabilité affecte presque toutes les installations en production d'Oracle en cours d'utilisation, il n'y a pas réellement de patch pour ces versions. Les administrateurs de base de données Oracle devront donc prendre des mesures immédiates pour protéger leurs systèmes...

Dans son Credit Statement, qui apparaît dans le Critical Patch Update du mois d'Avril 2012 (CPU), Oracle nous parle de Joxean Koret. Quand cet expert en sécurité a demandé à la compagnie pourquoi il avait été cité, celle-ci a répondu que c'était en rapport avec une faille qu'il avait découvert en 2008 et que celle-ci avait dorénavant été corrigée. Koret a donc publié les détails au sujet de cette vulnérabilité, a expliqué comment l'exploiter et a recommandé aux utilisateurs d'installer les derniers correctifs du CPU pour protéger leurs systèmes.

Toutefois, il s'est avéré ensuite qu'il n'y a pas réellement tous les correctifs pour les versions actuellement disponibles de base de données Oracle... Les mises à jour de sécurité qui ont été décrites par Oracle se réfèrent seulement au "main code line", qui est la version non publiée d'Oracle 12.
Et comme presque toutes les installations dans une utilisation en production sont touchées, la majorité des administrateurs d'Oracle ont été laissés sur la touche et doivent donc eux-même prendre des mesures pour protéger leur système... Merci Oracle...

Je vais maintenant vous expliquer comment fonctionne cette faille et comment tenter de la combler sur votre système. Le serveur de base de données Oracle dispose d'un processus de connexion réseau distinct qui opère habituellement sur le port TCP 1521. La base de données s'inscrit comme listener avec ce processus et ce processus met en avant les demandes des clients sur le système de base de données qui elle-même gère une instance de base de données.

Des pirates peuvent enregistrer leur propre proxy d'espionnage comme nœud de load balancing

Depuis la version 8i, ces processus de connexion au réseau peuvent enregistrer des listeners supplémentaires. Un tel listener peut même être enregistré pour une instance de base de données existante. Le listener actif interprète cela comme un nouveau nœud de type cluster (Oracle Real Application Clusters ou RAC) et utilise le nouveau listener pour mettre en œuvre l'équilibrage de charge (load balancing). En d'autres termes, chaque connexion secondaire sera routée vers le nouveau listener.

Alexander Kornbrust, un expert en sécurité Oracle de Red Database Security, pense que cette faille de sécurité est particulièrement grave car "elle permet à des pirates des attaques distantes et non-authentifiées pour rediriger le trafic réseau sur le serveur de base de données vers un serveur arbitraire...". Tout ce que les pirates ont besoin de savoir est le SID Oracle ou le nom du service si vous préférez.

Tout le monde espère un patch prochainement mais comme le dit Kornbrust, il ne faut pas s'attendre à un patch avant au moins 3 mois... La politique de publication des patchs chez Oracle stipule que le patch pour la version 11.2.0.4 qui n'ait pas encore publiée, le sera avant les correctifs de sécurité... Encore une fois bravo Oracle...
Et comme se plaint le plus grand spécialiste en sécurité Oracle : "Pour cette raison, il faut souvent attendre entre un et deux ans..."

Les administrateurs Oracle devraient dont prendre des mesures immédiates pour protéger leurs installations. Pour ceux qui n'utilisent pas de clustering, ce sera relativement facile. En allant dans le fichier de configuration listener.ora, il faudra désactiver cette fonctionnalité inutile :

dynamic_registration = off

Par contre pour ceux dans un environnement de clustering ça se complique. Une option consiste à restreindre l'accès au listener de telle façon que le listener est inaccessible à partir d'Internet et les réseaux locaux. Dans certaines configurations, l'option TCP.VALIDNODE_CHECKING peut être utilisée pour limiter les systèmes qui peuvent parler au listener à partir de ceux inclus dans la liste TCP.INVITED_NODE.
En ce qui concerne les SIDs et noms de services, vous mettez probablement en place des noms longs et aléatoires afin de limiter les attaques. Si c'est le cas c'est bien mais ça n'empêche généralement pas les attaques. Une protection plus efficace du SID peut être réalisée en faisant en sorte que les communications soient cryptées via SSL/TLS. Toutefois, et je comprends les administrateurs, cela n'est pas vraiment une option car Oracle facture une taxe significative supplémentaire pour cette fonctionnalité. Et comme il n'y a jamais deux sans trois : merci Oracle...

Voilà je pense avoir tout dit et pour ceux qui veulent des informations supplémentaires sur cette vulnérabilité, vous pouvez vous rendre sur l'article de Joxean Koret intitulé : "The history of a -probably- 13 years old Oracle bug: TNS Poison."

Si vous êtes développeur web, vous avez probablement déjà créé un système de connexion. Et si c'est le cas, vous avez dû utiliser une certaine forme de hachage pour protéger les mots de passe des utilisateurs en cas d'une violation de sécurité de votre application/plateforme.

Il y a beaucoup d'idées contradictoires sur la façon de créer correctement le hash d'un mot de passe. Le hachage d'un mot de passe est l'une des choses les plus simples mais la plupart des développeurs le font mal. Et c'est tout le fait de ce tutoriel dédié aux développeurs où je vais vous expliquer comment stocker en toute sécurité les mots de passes dans une base de données et pourquoi il doit être fait d'une certaine façon.

Bon bien sûr sur votre application/site vous devez "forcer" l'utilisateur à saisir un mot de passe avec un minimum de caractères et des caractères spéciaux car aujourd'hui un mot de passe trop simple peut être cracké/sniffé en un rien de temps.

Voici les différentes parties de ce tutoriel :

• Qu'est-ce que le hash d'un mot de passe ?
• Comment le hash d'un mot de passe est-il cracké ?
• Méthodes de hachage efficaces
• Quel algorithme de hachage utiliser ?
• Comment renforcer encore plus sa méthode de hachage ?
• Code PHP : Méthode de base
• Code PHP : Méthode level up
• Code PHP : Méthode shield
• Conclusion

Lire la suite...