Journal Security quotes of the (past) week

Posté par  .
Étiquettes :
12
6
avr.
2012

Lu sur LWN :
“We wouldn’t share this with Google for even $1 million,” says [Vupen's Chaouki] Bekrar. “We don’t want to give them any knowledge that can help them in fixing this exploit or other similar exploits. We want to keep this for our customers.”

Those customers, after all, don’t aim to fix Google’s security bugs or those of any other commercial software vendor. They’re government agencies who ­purchase such “zero-day” exploits, or hacking techniques that use undisclosed flaws (…)

Journal Httpd 2.2.20

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
11
2
sept.
2011

Cher journal,

Je t'ecris aujourd'hui en cette belle journee de vendredi pour t'annoncer que le fameux bug DOS de apache (concernant le support de range cf https://linuxfr.org/users/spack/journaux/apache-nappr%C3%A9cie-pas-le-http-range ) parait enfin etre corrige.

Pour rappel, ce bug concernait l'ensemble des version apache (1 et 2) et permettait en theorie de DOSer un serveur avec un simple heade
r http.

Changelog de la version 2.2.20 : http://www.apache.org/dist/httpd/CHANGES_2.2.20
Telecharger cette nouvelle version: http://httpd.apache.org/download.cgi#apache22

Journal defense.gouv.fr

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
10
30
juil.
2013

Ah Nal !
Voilà un petit bookmark intéressant pour ceux qui ont confiance en les compétences informatiques de notre gouvernement : Le réseau du musée de l'homme

Oui, c'est bien le site du ministère de la défense, et oui, la page se termine bien par:
Note
Remember to disable this verbose error page when in production !

Journal demain soir on finit tard

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
10
16
oct.
2018

Le CVE 2018-10933 concernant la libssh est limpide : demain on reporte tout à après demain et à la place on fait les mises à jour (si si, même pour toi le petit serveur du fond de la classe qui ne fait jamais ses mises à jour à cause de /place ici une mauvaise excuse/ )

bonjour server
bonjour 
je voudrais avoir un accès
vous avez besoin d'un mot de passe, $user
mais je n'en ai aucun !
(…)

Journal [~Signet] Failles de sécurité dans les CPU : AMD revient dans la course !

Posté par  (site web personnel, Mastodon) .
Étiquettes :
9
13
mar.
2018

Les processeurs Ryzen/EPYC d'AMD (et leurs chipsets) ont aussi leurs failles de sécurité – il n'y a pas qu'Intel dans ce petit jeu. Ah, et les chipsets sont concernés aussi.

Ce qui est vraiment dommage, c'est qu'AMD avait beaucoup communiqué sur la sécurité de ses solutions au moment des failles Spectre et Meltdown…

Liens :

Billet sous licence CC-0.