Les risques du copier coller depuis le web
http://thejh.net/misc/website-terminal-copy-paste
La nimage qui va bien :) (SFW)
Les risques du copier coller depuis le web
http://thejh.net/misc/website-terminal-copy-paste
La nimage qui va bien :) (SFW)
C'est le syndrome OpenSSH de Debian qui frappe une nouvelle fois.
Du fait d'une parenthèse mal placée dans le code du fichier /src/sys/kern/subr_cprng.c, il s'avère que le générateur pseudo-aléatoire de NetBSD 6.0 est bien moins solide que ce qui était attendu.
C'est une manière polie de dire que sa sortie n'est pas assez aléatoire et qu'il faut d'urgence changer les clés SSH qui ont été générés avec ce noyau !
L'alerte de sécurité : http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2013-003.txt.asc
Un article de h-online : http://www.h-online.com/open/news/item/Weak-keys-in-NetBSD-1829336.html
Hello tous,
Je tenais à partager avec vous un petit problème que j'ai eu avec mon registrar récemment.
J'ai reçu plusieurs mails m'incitant à acheter un nom de domaine proche du mien (le singulier de mon pluriel).
Voilà, cependant, j'ai été surpris de recevoir ces mails sur une adresse que je n'utilise quasiment pas sur le web et surtout que j'utilise chez le registrar qui gère à ce domaine (aie).
Du coup, je tente un whois sur le domaine en (...)
Cher journal,
Je viens récemment de commander une Yubikey, une puce cryptographique avec interface USB vendue pour le grand public. Souvent, les puces cryptographiques sont vendues aux professionnels et sont difficiles à utiliser, surtout avec des postes sur lesquels on n'a pas de compte administrateur. D'où l'intérêt d'un produit qui a été conçu pour fonctionner partout.
Bien que les spécifications soient publiées, il n'est pas évident de comprendre ce que la puce sait faire à partir du (...)
De nos jours, le courrier électronique est devenu l'un des principaux moyens de communication à travers le monde. La plupart des gens possèdent au moins une adresse e-mail qu'ils utilisent aussi bien dans le cadre personnel que professionnel.
Des données sensibles transitent ainsi chaque jour sur le réseau par l'intermédiaire de nos boîtes mails, sans que nous ne mettions quoi que ce soit en œuvre afin de sécuriser ces échanges. La plupart des utilisateurs ont toute confiance dans leur messagerie instantanée.
Pourtant, l'e-mail repose sur des protocoles anciens, et il est extrêmement simple de se faire passer pour un autre. Qui n'a jamais reçu de message de la part d'un de ses amis qui contenait en réalité un virus ? De même, il est possible d'intercepter un e-mail avant son arrivée et d'en renvoyer une version légèrement modifiée.
Ce nouveau jeudi du libre sera l'occasion de vous présenter des solutions libres permettant de continuer à utiliser ce moyen de communication indispensable, tout en garantissant la sécurité et la confidentialité de vos échanges.
Vacances scolaires obligent, la conférence n'aura pas lieu le premier mais le second jeudi du mois, soit le 14 mars 2013 à 19h30.
Comme d'habitude, cela se passe à la Maison pour tous, Salle des Rancy, 249 rue Vendôme, 69003 Lyon (Métro Saxe Gambetta).
Bonjour,
DefenseCode a découvert une faille dans le firmware d'origine des routeurs Linksys (Cisco), qui permet un accès root à distance. Cette vulnérabilité a été testée sur le WRT54GL, qui est plutôt bien connu ici, mais les autres routeurs Linksys seraient aussi touchés.
La société a prévenu Cisco, qui aurait patché la faille dans leur dernier firmware (4.30.14), mais cette faille serait toujours présente.
DefenseCode publiera les détails de cette faille dans 2 semaines sur leur site et Full Disclosure, (...)
The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov
Une excellente étude sur les vulnérabilités des applications utilisant TLS (autrefois nommé SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait (...)
Bonjour,
J'ai développé un ensemble d'exercices libre sur le thème de l'intrusion d'application web et de la sécurité (audit de système Linux) que quelqu'un ici pourrait être intéressé. J'ai donc pensé que je devrais poster un lien ici. Le tout est uniquement (malheureusement) disponible en Anglais pour le moment.
https://pentesterlab.com/exercises
https://twitter.com/pentesterlab
Louis
La domotique, d’après Wikipédia, est l’ensemble des techniques de l’électronique, de physique du bâtiment, d’automatisme, de l’informatique et des télécommunications utilisées dans les bâtiments et permettant de centraliser le contrôle des différents applicatifs de la maison (système de chauffage, volets roulants, porte de garage, portail d’entrée, prises électriques, etc.). La domotique vise à apporter des fonctions de confort (gestion d’énergie, optimisation de l’éclairage et du chauffage), de sécurité (alarme) et de communication (commandes à distance, signaux visuels ou sonores, etc.) que l’on peut retrouver dans les maisons, les hôtels, les lieux publics, etc.
La domotique est également très proche de la gestion technique du bâtiment (GTB) et de la gestion technique centralisée (GTC), cet ensemble de techniques est régulièrement mis en avant pour atteindre les buts de ville intelligente et de réseau de distribution d’électricité « intelligent », et est perçu comme un moyen incontournable pour atteindre une meilleure efficacité énergétique.
Les plus curieux quant aux possibilités offertes se référeront au très bon article de Wikipédia : Domotique.
Cette dépêche est une introduction à la pratique de la domotique avec des logiciels libres pour un public ayant de bonnes connaissances en informatique et réseau. La première partie contient un résumé des protocoles couramment utilisés dans le domaine, et permettra au lecteur de prendre connaissance des principes sous‐jacents et de l’empilement protocolaire mis en œuvre. La seconde partie traite des logiciels libres qui peuvent être utilisés pour contrôler une installation domotique. Elle traite également des briques logicielles libres permettant de réaliser une telle application pour un développeur.
N.D.A. : Merci à baud123, Benoît, detail_pratique, Epy, jihele, kYc0o, Olivier Esver, patrick_g et Raoul Hecky pour leur participation à la rédaction de cette dépêche.
Dans la lignée de mon journal sur le sandboxing dans Chrome et surtout le troll sur le modèle de sécurité de l'Apple Store, je pense que les lecteurs et lectrices de LinuxFR qui aiment les questions de conception sécurisée des applications seront intéressé-e-s par cet article de Linux Weekly News:
XDC2012: Graphics Stack Security
Martin Peres and Timothée Ravier's session on day one of XDC2012 looked at security in the graphics stack. They considered user expectations around security in (...)
http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php
Une backdoor a été trouvée dans le package PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net.
Il est probable que d'autres packages présents sur ce miroir ait été modifiés pour inclure des backdoors, je vous suggères donc de vérifier et revérifier la source de vos différents packages si vous avez téléchargé des packages de SourceForge dernièrement.
NdM : journal promu en dépêche.
En ce moment, le principe de moindre privilège pour sécuriser les applications UNIX, c'est un peu mon dada. J'en ai parlé dans une dépêche sur Capsicum, qui est un modèle de sécurité très riche et très intéressant mais pas encore porté sous Linux (il est maintenant disponible dans FreeBSD par contre), une dépêche sur seccomp-filter, une autre technologie pour Linux beaucoup plus bas niveau mais (secrètement) reliée, et indirectement dans le troll sur le modèle de sécurité de (...)
Finalement j'ai l'impression que c'était inéluctable, que ça devait arriver un jour ou l'autre…
public void init()
{
try
{
disableSecurity();
Alors là évidemment quand ça commence comme ça…
Bon, pour ceusses qui l'ignorent encore ou ont toujours leur plugin Java d'activé dans leur navigateur, il y a un 0Day qui circule depuis au moins 2 jours:
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://eromang.zataz.com/2012/08/27/java-7-applet-rce-0day-gondvv-cve-2012-4681-metasploit-demo/
A priori Linux serait également impacté, mais je n'ai pas pu le vérifier : je n'ai pas le JRE (...)
Kernel Recipes aura lieu le vendredi 21 septembre 2012, de 9h30 à 18h40, au Carrefour Numérique de la Cité des Sciences de La Villette, à Paris.
Kernel Recipes est la première journée de conférences dédiée au noyau Linux. La journée se veut un moment privilégié pour échanger avec ceux qui font le noyau au quotidien, ceux qui l'utilisent dans des projets professionnels ou non.
Une journée de conférences et d'échanges, avec une possibilité pour les participants d'inscrire un projet, une réflexion aux lightning talks (conférences éclair).
Il est prévu de prolonger les discussions durant le déjeuner proposé sur place, ainsi que le soir pour ceux qui se joindront au dîner.
Pour y participer, merci de vous enregistrer.