Pages

 

Présentation

 

Catégories

 

Commentaires

 

W3C

  • Feed RSS 2.0
  • Feed ATOM 1.0
  • Feed RSS 2.0

 

Texte Libre

Bienvenue à toi sur mon (si si, mon :p) blog.
Avant tout, un grand attention : sur ce blog, je traite de ce qui m'amuse, me plait ... Alors désolé pour les sujets divers et variés <-- :) De même, articles très IRréguliers prévus, comme peuvent le voir ceux qui regarderont l'historique ! Ecrire des articles (et pas de posts, hein) ça prend tu temps !

Enfin, en guise d'encouragement : n'hésite pas à mettre des commentaires, c'est le but ! Suit les initiatives des 2 commentaires à l'heure ou je rédige ce message ;)


Pour plus d'infos, http://www.julienthomas.eu
                                                                                                      ça, c'est moi en vrai !

Bon, après plein d'erreurs de ma part, il est enfin mis ce message d'accueil :D
Vendredi 18 juillet 2008

Vulnerabilité CVE-2008-3671


Vulnerabilité CVE-2008-3671
MyReview, http://myreview.intellagence.eu/



Bonjour à tous.

Cela fait plusieurs jours que c'est en cours, mais j'ai décidé de la publier aujourd'hui,  vu que je pars en vacances ce soir.

Enjoy !

Le numéro CVE est en cours de validation donc c'est un candidate pour le moment.

The MyReview access control system is flawed and can be bypassed to retrieve sensitive information

Overview

Incorrect management of the submission and camera ready versions of submitted papers to the MyReview system lets unintended users download these documents. This information leakage can be used to illegally retrieve sensitive or licensed documents.

I. Description

The MyReview web application is an open-source web application used in the research community To manage the paper submission and paper review phases of conferences. Based on the well known PHP+MySQL framework and distributed under the GNU General Public License, it has been used by thousands of conferences worldwide.

Incorrect management of the submission and camera ready versions of submitted papers to the MyReview system lets unintended users download these documents. This flaw bypass all the access controls implemented by the MyReview developers. This information leakage is critical as the documents submitted to the conferences, and mostly at the submission phase, contain sensitives information researchers may not want to be publicized.

Besides, this flaw can be used by attackers to retrieve at will the final version of the documents, after the conferences is done. However, these final versions may be not free, as it is often the case for conferences.

More information about this flaw will be publicized later on, as it could be used to attack existing deployment of the MyReview system.

II. Impact

Exploitation of this vulnerability could lead to the lost of the sensitive information managed by MyReview: submission and camera ready version of the submitted paper may be downloaded

III. Solution

The Laboratoire de Recherche en Informatique (LRI), which provide MyReview has been contacted and they receive a patch I made for this vulnerability. However, to avoid unpatched website attacks (which are very easy to do), the author decided to let the LRI making the decision about how to efficiently performed the update. Please see your vendor's advisory for updates and mitigation capabilities. A good point would be to subscribe to MyReview newsletter, if not done yet.

 

Version and platform Affected

Affected Platforms

Any

Affected Software

MyReview, http://myreview.intellagence.eu/

Affected Versions

Any (prior or equal to 1.9.9, as 2.0 is still in beta)

Severity

High

Requirements

Authentication

None

Access

Distant (Internet)

References

<to be upgraded later on>

Credit

This vulnerability was reported by Julien A. Thomas.

TELECOM Bretagne homepage: http://perso.telecom-bretagne.eu/julienthomas/

Personal homepage: http://www.julienthomas.eu/

Other Information

Date Discovered

16/07/2008

Date Public

18/07/2008

Date First Published

18/07/2008

Date Last Updated

18/07/2008

CERT Advisory

 

CVE Name (candidate)

CVE-2008-3671



par AiSpirit publié dans : these
ajouter un commentaire commentaires (0)    créer un trackback recommander
Dimanche 13 juillet 2008

conférences autour du monde !

Après quelques jours de désespoirs suite à plusieurs semaines de travail acharnés (50h par semaine :d) sans en voir la fin, je viens d'apprendre une petite nouvelle qui n'est pas si anodnine que ça :
la possiblité de faire 3 conférences fin 2008, début 2009 en Inde, Corée du sud et Australie !!!!!!!

Donc un bon coup de bourre pour encore qq jours avant les congés (ie le 18 juillet au soir :d).

Inde
(image de 2007)
 Il s'agit de la conférence ICISS, Fourth International Conference on Information Systems Security
http://seclab.cs.sunysb.edu/iciss08/

deadline : 18 juillet, jour de mes vacances. Mais ... l'article sera uploadé ce soir car ma dernière version vient dêtre validée par mes encadrants, modulo quelques corrections.

article prévu :
Etant donné les retours que j'ai eu pour SETOP (http://setop2008.no-ip.fr), je pense avoir de fortes chances d'e^tre accepté.
Une petite balade en Inde, à Hyderabad ??? J'aimerai trop :d

EDIT : article uploadé à 15h00 le 13/07 sous EasyChair !! paper 6


Séoul

Il s'agit de la conférence ICISC, International Conference on Information Security and Cryptololgy
http://www.icisc.org/icisc08/asp/04.asp

deadline : Aug. 28(Thu), 2008, 18:00 KST (GMT + 9 hr)
soit après les vacances, encore du boulot en perspective ;d

Article prévu :  version approfondie de l'article pour SARSSI 2008 (eh oui, j'ai aussi soumis pour SARSSI'08 dont je suis le webmaster, http://aispirit.over-blog.com/article-21056145.html) : Environmental Constraints Management in Digital Right Licences
Australie, Sydney, Australia

Il s'agit de la conférence ASIACCS, ACM Symposium on Information, Computer and Communications Security
http://www.comp.mq.edu.au/conferences/asiaccs2009/

dates : 17 - 19 March 2009

Article prévu : sujet en cours :d
par AiSpirit publié dans : these
ajouter un commentaire commentaires (0)    créer un trackback recommander
Mercredi 9 juillet 2008

Naheulbeuk, clips Youtube


Pen of Chaos - Donjon de Naheulbeuk
Clips Youtube



Vous connaissez Naheulbeuk ?

Oui, passez directement au paragraphe suivant :d
Non ... c'est possible ? :d
Il s'agit de l'histoire d'un groupe d'aventuriers, assez spéciaux :d
Histoire en mp3 comique... donc téléchargez téléchargez et si vous le souhaitez, achetez les goodies :d
http://www.penofchaos.com/warham/donjon.htm

Cela faisait un petit moment que j'étais tombé sur le "clip" de "A l'aventure, compagnons!"
.Après m'en être rappelé, voici une petite liste (non complète, par contre), des pubs de Naheulbeuk

Have fun ! Et si vous  avez d'autres, faites moi signe pour que je les rajoute :d







Donjon Facile
http://www.youtube.com/watch?v=JXRGQzmPHYE&feature=related

Les Chiantos de wow
http://www.youtube.com/watch?v=blvbUketNDQ&feature=related

"Pub Gorzyne" de Naheulbeuk (wow)
http://www.youtube.com/watch?v=R1Pe9gx0-Sg&feature=related

Donjon de Naheulbeuk: A l'aventure, compagnons!
http://www.youtube.com/watch?v=j4iHWo1xryo
par AiSpirit publié dans : vrac
ajouter un commentaire commentaires (0)    créer un trackback recommander
Lundi 7 juillet 2008

Conférence SARSSI 2008 et workshop SETOP 2008: inscriptions


Conférence SARSSI 2008 et workshop SETOP 2008
SARSSI 2008 : organisé TELECOM Bretagne & Supelec
SETOP 2008 : organisé/sponsorisé par Institut TELECOM


Dans la continuité de l'article Conférence SARSSI 2008 et workshop SETOP 2008 (http://aispirit.over-blog.com/article-17865410.html), j'ai le plaisir de signaler que les inscriptions à la conférence sont désormais ouvertes.

N'hésitez donc pas à faire un tour sur les sites de SARSSI et SETOP (inscriptions partagées) :
http://sarssi2008.no-ip.fr
http://setop2008.no-ip.fr/

Enfin un travail de terminé :d
par AiSpirit publié dans : these
ajouter un commentaire commentaires (0)    créer un trackback recommander
Lundi 16 juin 2008

Fix Access Control and Protect Your Data 80% Faster


Fix Access Control and Protect Your Data 80% Faster
TechRepublic Webacst
Lundi 16/06 18h


Sujets de la présentation - plan

Une présentation assez simple :
2 minutes de problèmes
Le reste de présentation du produit de Varonis

Bref, assez "nous, on fait ça". Mais la problématique est intéressante et vraie :
L'administration centralisées de la sécurité - http://www.varonis.com/

Contenu de la présentation
  • Présentation de l'outil : asspects généraux
Dommage que la présentation soit très générale : diversification des contrôles d'accès. Moyens (outils, ...) peu robustes. Mais leur présentation est très générale et donc peu claire sur ces points.

 --> comment est-ce implémenté ? type DRM (i.e. chiffrement +licences pour contrôle d'accès) ?
  • Présentation des besoins : 
    •  contrôle d'accès rafiné - "minimum privilèges" ou plutôt restreindre les accès à ceux autorisés... logique mais jamais simple (et ce ne seront pas les banques françaises qui diront le contraire :d) : à quoi à accès un utilisateur
> révocation des privilèges :



--> comment est-ce implémenté concrètement ? contrôles au niveau OS, NAS, ...  
  •  
    •  contrôle d'accès : qui a accès à un document
    • contrôle : access / read / write / rename
Problèmes restants à mon opinion
Bien que l'outil soit à mon avis très intéressant, certains points assez précis me surprennent un peu ... problème de la présentation ou absence réel dans le logiciel ?
  • contrôle des opérations permettant de "contourner les protections" : contrôle seulement à l'accès à la source ?
    • quid de la redistribution
  • contrôle du suivi (tracking)
  • activity tracking :
    • statistics
    •  " When behavior is not normal, we generate alerts". Comment sont calculés les "comportement normaux", problème très très théorique ...
    • là encore, contrôle suelement lors de l'accès à la source ? ou DRM like
A voir avec les 3 white papers associés :
par AiSpirit
ajouter un commentaire commentaires (0)    créer un trackback recommander
Créer un blog sur over-blog.com - Contact - C.G.U. - Rémunération en droits d'auteur avec TF1 Network - Signaler un abus