Journal Faille dans ImageMagick

36
4
mai
2016

Salut les gens!

Une faille a été découverte dans ImageMagick, permettant l’exécution de code caché dans une image mal-formée.
Ça concerne principalement les personnes qui babysit des serveurs accessibles au public et qui permettent l’upload d’images.
Et il semble que le bug soit déjà bien connu, voir peut être même déjà exploité!
Il y a une méthode pour contenir la chose, publiée par l’équipe d’ImageMagick, en attendant le correctif qui devrait venir en fin de semaine.

Journal Faille de sécurité glibc

Posté par . Licence CC by-sa
38
27
jan.
2015

Je me permets de faire un copier coller de l'annonce relayée sur le FRench SysAdmins Group (FRsAG):

**
/Cette vulnérabilité sévère détectée dans la bibliothèque C de GNU/Linux donne le contrôle aux attaquants sans nécessiter d’identifiants système.
- Patchs disponibles dès aujourd’hui - /

*
Le 27 janvier 2015 –– *Qualys, Inc.(NASDAQ : QLYS), le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, annonce que son équipe chargée de la recherche en sécurité (...)

Une faille nommée « shellshock »

82
28
sept.
2014
Sécurité

« ShellShock », une faille dans l'usage du shell Bash, est sous les projecteurs depuis quelques jours. Le terme est un jeu de mot entre la stupeur propre à l'obusite des combattants de la première guerre mondiale et l'interface système shell. Nous vous proposons des explications sur cet évènement particulier, son périmètre, les conditions de son exploitation, les surfaces d'attaques, et les solutions proposées, déjà mises en œuvre ou à venir. Enfin, une revue de presse sera dressée, cette faille s'étant transformée en évènement.

Journal Mets à jour ton bash. Maintenant.

55
24
sept.
2014

Bonjour, Nal

Un journal bookmark pour signaler : faut mettre à jour bash
Voilà, c'est tout. Vous pouvez reprendre une activité normale.

Pour les autres, qui ne vont pas reprendre une activité normale de suite, on pourra résumer cela en "c'est sérieux, urgent, et mérite peut être une campagne de patch au pied levé". Cette découverte, qui date d'une vingtaine de jours aujourd'hui, vient d'avoir ses correctifs validés, à priori (…).
Sans cela, il est possible de faire, par exemple (...)