Lien 8 nouvelles failles semblables à Spectre, dont 4 majeures
Journal [~Signet] Failles de sécurité dans les CPU : AMD revient dans la course !
Les processeurs Ryzen/EPYC d'AMD (et leurs chipsets) ont aussi leurs failles de sécurité – il n'y a pas qu'Intel dans ce petit jeu. Ah, et les chipsets sont concernés aussi.
Ce qui est vraiment dommage, c'est qu'AMD avait beaucoup communiqué sur la sécurité de ses solutions au moment des failles Spectre et Meltdown…
Liens :
Billet sous licence CC-0.
Journal La bonne faille et la mauvaise faille
La bonne faille, le pirate il arrive, il l'exploite. La mauvaise faille, le pirate il arrive, il l'exploite aussi, mais c'est pas pareil! Après les failles terribles que sont Spectre et Meltdown, on voit poindre de nouveaux articles annonçant une nouvelle faille dans les processeurs intel.
Lors du démarrage des machines bénéficiant de Intel vPro, une combinaison de touche permet d'accéder au MEBx (Management Engine BIOS Extension). Le mot de passe par défaut, "admin", permet ensuite de contrôler la (…)
Journal CVE-2016-5195 Dirty COW
On va faire très court, il ne me semble pas avoir vu passer d’information sur LinuxFr.org au sujet de la très sérieuse faille du noyau Linux de la semaine, qui existe depuis 9 ans et qui a reçu le joli nom de Dirty COW. C’est la mode les petits noms pour les failles, un peu comme les noms pour les ouragans…
- http://arstechnica.com/security/2016/10/most-serious-linux-privilege-escalation-bug-ever-is-under-active-exploit/ ;
- http://www.nextinpact.com/news/101856-une-faille-dans-kernel-linux-vieille-9-ans-corrigee-mais-deja-exploitee.htm.
Mettez à jour votre distro, c’est le moment !
N. D. M. : voir les liens supplémentaires dans ce commentaire.
Revue de presse de l'April pour la semaine 42 de l'année 2015
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [Libération.fr] Plus de 140 000 votes pour la consultation en ligne sur la «République numérique»
- [Maghreb Emergent] Le logiciel libre une option encore méconnue dans l’administration algérienne
- [LeMagIT] PaaS Open Source: les principales difficultés rencontrées
- [Le Journal de Montréal] Le centre du libre éclate
- [Techniques de l'Ingénieur] Les avions à la merci des pirates?
- [Next INpact] L'EFF s'érige contre la possibilité d'inclure des DRM dans le format JPEG
- [Numerama] 260 experts exigent l'Open Source pour les firmwares importants
- [Le Monde.fr] Si vous n’avez rien suivi au Tafta, le grand traité qui effraie
Journal Stagefright, une faille Android qui va faire mal ?
C'est marrant de voir comment toute faille découverte doit avoir son petit nom maintenant. C'est à celui qui aura la plus grosse le plus de succès.
Il n'empêche que celle-ci à l'air pas mal. La société Zimperium a annoncée sur son blog la découverte d'une faille qui toucherait 95% des mobiles Android. Celle-ci permettrait d'exécuter du code à distance uniquement avec un numéro de téléphone, le votre, et un MMS.
La faille se situerait dans la bibliothèque de lecture (…)
Quoi de neuf côté LinuxFr.org
La dernière dépêche de cette catégorie LinuxFr.org qui ne soit pas une dépêche récurrente type « Les meilleurs journaux du mois » ou « Les prix du mois » ou « Les statistiques de l'année » remonte à mai 2014 pour une mise à jour du serveur. Voici donc, à l'aube de l'été, quelques actualités de type « en coulisses ».
Mises à jour ntp à faire suite à la faille CVE-2014-9295
De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :
- deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code avec les privilèges du processus ntpd lancé ;
- d'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.
Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)
Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.
NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.
Journal Mises à jour NTP
Bonjour,
Juste un petit journal bookmark très rapide pour signaler à ceux qui seraient passés à coté de l'info : de multiples failles de sécurité ont étés identifiées et comblées dans NTP ces derniers jours.
Il s'agit de plusieurs failles avec notamment :
- Deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code par un attaquant avec les privilèges de l'utilisateur NTP.
- D'une faiblesse dans la génération des clés, il est donc (…)
Vulnérabilité dans Git et Mercurial sur certains systèmes de fichiers (FAT, NTFS, HFS+, etc.)
Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.
Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.
NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :
- la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;
- l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;
- la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la correction chez Mercurial, qui a permis la correction côté Git).
Revue de presse de l'April pour la semaine 39 de l'année 2014
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [Slate.fr] Shellshock, la nouvelle faille qui inquiète Internet, est-elle pire qu'Heartbleed? Difficile de le savoir
- [Next INpact] La ministre de l’Éducation veut que les enfants soient initiés au code
- [Next INpact] Fleur Pellerin consacre la Hadopi en enterrant son transfert au CSA
- [ZDNet] Pratique: le guide du logiciel libre pour les TPE-PME
- [Framablog] Enercoop: libérer les énergies
- [WSJ.com] Hard Times for Software Patents
- [France Culture] Nous et nos données
- [Marianne] Traité transatlantique: le gouvernement demande enfin la transparence!
Revue de presse de l'April pour la semaine 32 de l'année 2014
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [01net.] Black Hat 2014: peut-on encore sauver le cyberespace de ses innombrables failles?
- [Next INpact] 687 000 euros de logiciels libres pour le ministère de l’Agriculture en 2013
- [Silicon.fr] Skype lâche les utilisateurs de Mac PowerPC
- [Developpez.com] Open source: nouvelle migration en Europe, Turin en Italie adopte Ubuntu et OpenOffice
- [ouest-france.fr] À Vannes, on sécurise la voiture de demain
- [Next INpact] Un début de détente dans la guerre acharnée entre Apple et Samsung
- [Numerama] Ne dites plus "crowdsourcing" mais "production participative"
- [Les Echos] Chine: après Microsoft, Pékin bannit les logiciels Symantec et Kaspersky de son administration
Revue de presse de l'April pour la semaine 30 de l'année 2014
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [Next INpact] Le Royaume-Uni impose des standards ouverts à ses administrations
- [JDN] Comment se repérer dans la jungle des licences open source
- [Mediapart] Profil de libriste: Goffi
- [Next INpact] La distribution Tails, spécialisée dans l'anonymat, comporte des failles 0-day
- [ZDNet] Alliage, solution aquitaine en logiciels libres pour personnes âgées
Revue de presse de l'April pour la semaine 28 de l'année 2014
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [Le Point] L'enseignement du langage informatique proposé en primaire dès la rentrée
- [Slate.fr] Tor, de plus en plus partagé
- [CitizenKane] Sécurité informatique: 4 bombes atomiques en 12 mois
- [Solutions-Logiciels.com] Linux: trois événement majeurs lui seront consacrés du 13 au 15 octobre
- [Next INpact] Suite au «fail» de la DILA, Regards Citoyens publie un guide sur l’Open Data
- [Wired] Out in the Open: The Crusade to Bring More Women to Open Source