Lien Analyse complète de la faille de sécurité XZ réalisée par Kaspersky
13
avr.
2024
Lien Sympa de garder ça pour soi (Faille Postfix : smuggling) Heureusement Postfix assure.
25
déc.
2023
Journal des vulns des vulns des vulns! libc, curl, tout ça!!
4
oct.
2023
Bon, bin bimbamboum après exim, voilà que la libc est dangereuse!!
Vous avez pas le temps de lire c'est trop long: en résumé, s'il y a un binaire SUID (bon, pas n'importe lequel non plus) sur votre distribution, un attaquant ayant un shell sur votre machine peut passer root! BIM! So much for the security.
Comment savoir si je suis impacté? C'est turbo-easy:
$ env -i "GLIBC_TUNABLES=glibc.malloc.mxfast=glibc.malloc.mxfast=A" "Z=`printf '%08192x' 1`" /usr/bin/su --help
Erreur de segmentation
$
Là, vous êtes (…)
Journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?
6
sept.
2023
Un débat (assez récurrent) agite en ce moment le monde de la sécurité informatique à propos de deux choses, les CVE et les CVSS. Commençons par expliquer. Un CVE (« Common Vulnerabilities and Exposures ») est juste un identificateur (par exemple, CVE-2022-4269 désigne une faille de sécurité du noyau Linux permettant à un utilisateur de planter le système). Ce sont juste des identificateurs. Ils permettent de référencer une faille de manière non ambigue et facilitent donc la communication. (« As-tu (…)
Lien [curl] CVE-2020-19909 is everything that is wrong with CVEs
27
août
2023
Lien Faille Downfall sur des processeurs Intel
9
août
2023
Lien CVE-2023-38408: Remote Code Execution in OpenSSH’s forwarded ssh-agent
20
juil.
2023
Journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !
10
juil.
2023
Si vous avez un serveur Mastodon qui traine quelque part, vous devez le mettre à jour au plus vite, en version 3.5.9, 4.0.5 ou 4.1.3 selon votre branche.
Ces versions corrigent quatre failles :
- https://nvd.nist.gov/vuln/detail/CVE-2023-36462 de sévérité 5.4 (ça va encore) ;
- https://nvd.nist.gov/vuln/detail/CVE-2023-36461 de sévérité 7.5 (ça commence à pouvoir poser problème) ;
- https://nvd.nist.gov/vuln/detail/CVE-2023-36459 de sévérité 9.3 (argh) ;
- Mais surtout https://nvd.nist.gov/vuln/detail/CVE-2023-36460 de sévérité 9.9 qui permet de faire du déni de service ou de l’exécution de code arbitraire, à (…)
Lien Alors askip le mode Fission est actif dans Firefox depuis la version 97
28
oct.
2022
Lien cve-2022-42889 : text4shell fait suite à log4shell
23
oct.
2022
Journal Dix ans après : acheter un CPU Intel Ivy Bridge, était-ce judicieux ?
16
juil.
2022
Un peu d'histoire (la mienne)
En octobre 2011 je publiais, avec l’enthousiasme de la jeunesse, ce journal vantant les processeurs Sandy Bridge pour une utilisation sous Linux : Intel Sandy Bridge et Linux : état des lieux.
Le rendement du processeur et l'excellence de la prise en charge de la partie graphique sous Linux par l'Intel Open Source Technology Center me séduisaient alors. Je n'avais pas en tête alors le problème des firmware non-libres nécessaires au fonctionnement du (…)
Lien Benchmarking The Linux Mitigated Performance For Retbleed: It's Painful
13
juil.
2022
Lien Faille 0-day Spring CVE-2022-22965
1
avr.
2022
Lien Nouvelle faille critique : Branch History Injection, nouvelle variante de Spectre
9
mar.
2022
Lien Local Privilege Escalation avec polkit - patchez vos machines
25
jan.
2022
