Journal gestion de failles de sécurité bazardeuse

Posté par  (courriel, site web personnel) . Licence CC By‑SA.
Étiquettes :
18
16
mai
2026

le bazar a gagné

La typologie cathédrale/bazar pour décrire deux modes de développement du Logiciel Libre / Open Source a été établie par Eric S. Raymond il y a bientôt 30 ans. Depuis, les grands exemples de cathédrales se sont transformés en bazars et ce modèle a été largement adopté1 par la plupart des projets de Logiciel Libre. C'est à dire que les modification du code sont publiée en temps plus ou moins réel sans attendre qu'une nouvelle version (…)

Journal Nouvelle Faille Linux CVE-2026-46300 Fragnesia

Posté par  . Licence CC By‑SA.
Étiquettes :
10
15
mai
2026

Cela date du 13 mai, mais, n'ayant pas vu l'information ici, je partage :
https://app.opencve.io/cve/CVE-2026-46300
La faille dans le noyau Linux offre un accès root, sur les principales distributions.
Elle est distincte de "Copy Fail" et de "Dirty Frag".
L'information est aussi diffusée dans les médias FR.

Deming — un SMSI Open Source par et pour des RSSI

Posté par  . Édité par Benoît Sibaud. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
16
13
mai
2026
Sécurité

Deming est un outil Open Source (GPL 3.0) de gestion de Système de Management de la Sécurité de l'Information (SMSI). Conçu par un responsable de la sécurité des systèmes d'information (RSSI) pour des RSSI, il couvre la gestion des contrôles, le registre des risques, la gestion des exceptions et des plans d'action. Largement adopté par la communauté, il se distingue par sa simplicité d'utilisation et de mise en œuvre.

Logo Deming

Journal Et ça continue [DirtyFrag]

Posté par  . Licence CC By‑SA.
Étiquettes :
20
7
mai
2026

Après CopyFail, voilà DirtyFrag…https://github.com/V4bel/dirtyfrag

Et encore une fois, il y a eu un raté sur le NDA (sauf que là, le gars dit que ce serait d'une tierce partie).

Par contre, je serais bien incapable de dire si le module impacté est nécessaire ou non à quelque chose une machine standard. Et donc je ne peux pas dire si le workaround est à faire ou non…

Journal Exploit Linux local pour passer root : Copy Fail (CVE-2026-31431)

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
31
30
avr.
2026

La société Theori a publié un exploit (écrit avec Python 3.10) pour le noyau Linux x86-64 pour passer root en local. Il utilise un bug dans les sockets AF_ALG sur une opération AEAD qui existe depuis 2017 (commit). Depuis d'autres exploits ont été écrits tels quel copy-fail-c qui est écrit en C et supporte d'autres architectures CPU (comme AArch64); sous Fedora, il a besoin du paquet glibc-static.

Le correctif (commit) est disponible dans le noyau Linux (…)

Mercator — Cartographie de SI Open Source

Posté par  . Édité par Xavier Teyssier. Modéré par bobble bubble. Licence CC By‑SA.
Étiquettes :
22
29
avr.
2026
Sécurité

Si vous êtes RSSI, DSI ou architecte dans une entité concernée par NIS2, vous avez probablement reçu en 2024 ou 2025 une lettre de votre autorité de supervision vous rappelant poliment — mais fermement — que la cartographie de votre système d'information est désormais une obligation réglementaire. Pas une bonne pratique. Pas une recommandation. Une obligation.

NIS2 (transposée en droit national dans les pays membres de l'UE) impose aux entités essentielles et importantes de mettre en place des mesures de gestion du risque cyber, parmi lesquelles figure explicitement la connaissance et la documentation de son système d'information. L'ANSSI en France, le CSIRT Luxembourg, le BSI en Allemagne — tous y font référence. Sans cartographie, pas de gestion du risque sérieuse, pas d'analyse d'impact, pas de plan de continuité fiable.

C'est précisément le problème que Mercator tente de résoudre depuis plusieurs années, et le projet continue d'évoluer.