Lien [Git] Mettez à jour pour corriger les CVE-2022-24765 & CVE-2022-24767
Lien On peut accéder à votre smartphone à votre insu… à quelles conditions est-ce légal ?
Wiki [Tuto/HowTo] Nextcloud - restreindre accès à la page status.php
Introduction
La page status.php sert aux applications nextcloud clientes de vérifier le status en ligne du serveur.
Cette page peut aussi être utilisé afin de forger des Google Dork permettant de trouver des installations de nextcloud potentiellement plus fragile face au piratage.
Topic sur le forum de la communauté nextcloud : https://help.nextcloud.com/t/how-to-censor-status-php-page/38040
Il est fortement déconseillé de bloquer l'accès à cette page au risque de casser les clients de Nextcloud.
Via HaProxy
Ajoutez les lignes suivantes dans voter Backend (conseillé) (…)
Security BugWare
Il a malheureusement décidé d'arrêter ce travail le 9 septembre dernier, laissant bon nombre d'administrateurs en manque d'une source d'informations claire et concise.
Pour y remédier, une association vient de faire renaître Security BugWare.
Journal Déchiffrement de disque racine avec carte à puce GPG sous Debian
Une installation standard de Debian permet de déchiffrer son disque /
au démarrage à l'aide d'une carte à puce GPG (type yubikey, nitrokey, librem key ou autre). Ce journal vise à mettre en avant cette option méconnue.
Configuration
En partant d'une installation Debian standard avec chiffrement (le disque /
est alors placé sous /dev/sda5
, le déverrouillage se fait initialement par mot de passe), il faut modifier le fichier /etc/crypttab
:
sda5_crypt UUID=... /etc/cryptsetup-initramfs/root_key.asc luks,discard,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg-sc
Il faut ensuite (…)
Revue de presse de l'April pour la semaine 28 de l'année 2014
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [Le Point] L'enseignement du langage informatique proposé en primaire dès la rentrée
- [Slate.fr] Tor, de plus en plus partagé
- [CitizenKane] Sécurité informatique: 4 bombes atomiques en 12 mois
- [Solutions-Logiciels.com] Linux: trois événement majeurs lui seront consacrés du 13 au 15 octobre
- [Next INpact] Suite au «fail» de la DILA, Regards Citoyens publie un guide sur l’Open Data
- [Wired] Out in the Open: The Crusade to Bring More Women to Open Source
Lien CERT Games, pour la communauté européenne de l'enseignement supérieur et de la recherche, 28-29/06
Le Printemps de l’Innovation Open Source revient pour une cinquième édition
Le Printemps de l’Innovation Open Source, dit OSIS, intègre plusieurs rendez‐vous en région parisienne pour mettre en valeur l’excellence scientifique et technologique du Libre. Il a vocation à montrer le travail des équipes de chercheurs, mais aussi la R & D des PME en logiciel libre. C’est fait en présentant des innovations sur les thèmes porteurs actuels (Internet des objets, informatique en nuage, qualité), dont le succès et la visibilité se veulent mondiaux.
Le Hub Open Source du Pôle Systematic (anciennement GTLL) et l’Irill, à l’initiative de cette série de conférences thématiques, vous donnent trois rendez‐vous détaillés ci‐dessous, en plus de l’OW2con’19 qui s’intègre naturellement à ce printemps de l’innovation.
Nouvelle distribution de Linux orientée serveur securisé.
Lien la politique, les lois et normes analysées comme des systèmes de sécurité
Les journaux LinuxFr.org les mieux notés du mois de septembre 2013
LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.
Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une quinzaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois de septembre passé.
- Benoît Hamon a encore frappé par BeberKing ;
- Premiers pas avec Manux par Denis Bernard ;
- Intel boycotte officiellement le serveur d'affichage Mir par Jeff ;
- Emacs 24 : Toute résistance est inutile par xaccrocheur ;
- GSoC sur GtkSourceView/gedit par Sébastien Wilmet ;
- Sorties de GNU Hurd 0.5, GNU Guix 0.4 par enclair ;
- Mon passage aux 30 ans de GNU au MIT par Cvreer Genzb ;
- MS Office c'est vraiment de la merde par Marotte ;
- Effort d'ouverture de la part de Nvidia par Nonolapéro ;
- Digital-Scratch : un lecteur audio pour DJ piloté par platine vinyle par Julien Rosener ;
- Linus Torvalds a-til déjà reçu des demandes pour insérer des backdoors dans Linux ? par windu.2b ;
- La fin du Finlandais par nud ;
- Le Site du Zéro a disparu par EmilienR ;
- Chiffrement SSL et confidentialité par yannig ;
- Mon petit jeu pour navigateur et plus par Patrick Nicolas.
ConFoo Montreal 2024 : L'appel aux conférenciers est ouvert
La conférence ConFoo est de retour pour sa 22e édition ! Du 21 au 23 février 2024 à l’Hôtel Bonaventure de Montréal, venez découvrir pourquoi ConFoo est devenu l’un des événements phares pour les développeurs de partout en Amérique du Nord !
Nous sommes présentement à la recherche de conférenciers avides de partager leur expertise et leur savoir dans une multitude de domaine des hautes technologies ; PHP, Ruby, Java, DotNet, JavaScript, bases de données, intelligence artificielle et plus encore !
debordement de pile dans ntpd
Mais cette faille me paraît d'importance puisqu'elle touche les daemon ntp livrés avec nos distributions linux et bsd... mais aussi celles de certains unix proprietaires (sun...).
L'exploit livré sur bugtraq ne concerne que linux et bsd sur x86, mais quelqu'un de pas trop c.n pourra le porter sur sun, linux pour alpha...
De plus on peut craindre que l'accès public aux serveurs NTP sur internet ne soit coupé pendant un certain temps... voir peut-être coupé tout simplement.
Note du modérateur : heureusement qu'un patch est sorti le jour même... donc si les admins font leur boulot, pas de risque que les accès aux serveurs soient coupés :-)
Sortie de Suricata 1.1
L’équipe de développement de l’IDS/IPS Suricata a publié le 10 novembre 2011 la version 1.1 de son moteur de détection/prévention d’intrusions. Il s’agit de la première version de la nouvelle branche stable 1.1. Elle prend la suite de la branche 1.0 sortie en août 2010, et apporte des gains conséquents en termes de performance, stabilité et précision.
Suricata est un système de détection/prévention d’intrusion réseau basé sur des signatures (à l’image de Snort avec qui il partage le langage de signatures). Il est disponible sous licence GPL v2 et a été développé depuis zéro par une fondation à but non lucratif, l’Open Information Security Foundation (OISF). Suricata fonctionne sur les systèmes d’exploitations GNU/Linux, BSD et Windows.