Journal De la supériorité des choix éthiques — une brève histoire de TPM, UEFI, et failles incontrôlables

20
18
jan.
2024

Malgré, le titre bien long, ce journal est essentiellement un marque page (lien). Apparemment une nouvelle faille ferait trembler l'industrie informatique. L'occasion pour d'aucuns (votre serviteur inclus) de découvrir un aspect rarement souligné de l'UEFI qui se trouverait également être un digne héritier des très honnis modules TPM de mirosoft (?) : de mini-ordinateurs contrôlant votre utilisation de nos leurs machines, une espèce de DRM incontournable. Comme d'habitude, la morale la plus élémentaire et les associations (…)

Journal Avoir l'alarme à l'oeil

Posté par  . Licence CC By‑SA.
97
24
sept.
2023

Avant-propos: Les personnages et sociétés citées dans ce récit sont fictives. L'auteur ne connait pas Martin Petit, ni la société d'assurances La Forestière, et non plus la société de télésurveillance Alarm&moi. Mais ils se pourrait, dans une réalité alternative, ou pas, que les faits se soient réellement déroulés comme raconté ici…

Ville dortoir, Covid et sécurité

M. Martin Petit habite le centre-ville d’une ville moyenne de banlieue. C’est ce qu’on pourrait appeler une ville-dortoir. On y habite, il y a (…)

Journal Quand le mainteneur de pkexec ignorait (ou pas) les failles potentielles

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
26
27
jan.
2022

En 2013, ce monsieur https://ryiron.wordpress.com/2013/12/16/argv-silliness/ prévenait sur la possibilité d'exploitation d'une faille dans pkexec parce que les arguments n'étaient pas correctement vérifiés.

Il proposa même un patch: https://pastebin.com/MheuF2UY

Problème, il semble que son mail ne soit jamais arrivé jusqu'à la liste de diffusion…
https://twitter.com/ryiron/status/1486207182404472832

On peut se dire qu'aujourd'hui, heureusement tout a changé, avec la démocratisation des github/gitlab favorisant la communication avec les mainteneurs d'un projet.

Pour ceux qui n'auraient pas suivi: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034

Forum Linux.debian/ubuntu mettre à jour Log4j sur Debian Buster

Posté par  . Licence CC By‑SA.
6
20
déc.
2021

Bonjour,

Juste un post qui aurait pu m'aider à ne pas perdre des heures sur mon serveur Debian pour mettre à jour Apache.

Debian a confirmé la mise a jour de Log4j sur les dépots sécurity de Debian Buster mais lorsque je faisais un apt update && upgrade je n'avais rien, si toi aussi tu es dans la même situation que moi voici la manip que j'ai effectué:

Depuis le terminal, taper "sudo su" puis indiquer votre mot de passe (…)