Bonjour à tous,
Comme moi, peut-être vous-êtes vous un jour posez cette question : « que se passe-t-il si je n'ai plus accès à ma boîte mail et que je ne me rappel plus de la réponse à ma question secrète » ? Et, comme moi, peut-être l'avez vous refoulée bien vite en vous disant que de toute manière cela ne vous arriverai jamais. Aujourd'hui, j'ai la réponse à cette question en ce qui concerne les comptes Yahoo et je tenais à vous (…)
Il y a quelques mois était publiée la version 5.3.7 de PHP, sans s'assurer que certains bugs critiques, comme celui de la fonction crypt(), avaient été corrigés.
Cela avait conduit a une sortie précipitée de PHP 5.3.8 contenant les correctifs nécessaires avec une alerte pour la version 5.3.7 .
Beaucoup ont alors espéré que les développeurs de PHP allaient changer de méthodes de travail.
Le 10 janvier sortait la version 5.3.9 de PHP qui contenait, entre autres, un correctif pour une vieille faille de sécurité qui permettait de fabriquer facilement des collisions dans une hashtable conduisant à un déni de service (faille déjà mentionnée ici-même).
Le hic fut que le correctif introduisait une nouvelle faille de sécurité qui, pour éviter de permettre de faire des collisions, permettait une exécution arbitraire de code.
Le 2 février fut publié la version 5.3.10, qui corrige la faille introduite par le correctif précédent.
En tant que Français de l'étranger, j'ai aujourd'hui reçu mon mot de passe pour voter aux législatives par Internet.
Je n'ai rien demandé, c'est une opportunité supplémentaire de forcer un peu la main aux électeurs qui risqueraient d'encombrer inutilement les bureaux de vote.
Mais pour que cette méthode prenne toute sa valeur, il faut que la sécurité aille au-delà de la norme, au-delà de la sécurisation de l'adresse IP de Mme Albanel.
Il faut du lourd!
C'est pourquoi le mot (…)
Tchap, l'application de messagerie instantanée du gouvernement, basée sur Riot, a souffert d'une grave faille de sécurité dès son lancement.
Le hacker Robert Baptiste Aussi connu sur twitter sous Elliot Alderson, a réussi à accéder aux salons privés de l’Élysée, en …une heure et quart.
Voici une traduction approximative du modus operandi employé par Robert. La page de blog originale est à la fin du journal.
L'application est disponible sur le google play store, mais il faut une adresse (…)
Bonjour Nal,
Les problèmes liés au FireWire sont connus et identifiés depuis longtemps. Voir par exemple cet excellent papier datant de 2008, de Uwe Hermann, développeur Debian, à ce sujet. En gros, à partir du moment où tu as un accès physique à la machine, tu peux :
Alors, chez Nal, pourquoi je (…)
Un nouveau root exploit est apparu mardi et concerne les noyaux Linux de 2.6.38 à 3.8.8 ayant CONFIG_PERF_EVENTS activé.
Tapez la commande suivante pour savoir si vous êtes impacté :zgrep CONFIG_PERF_EVENTS /proc/config.gz
Si zgrep répond cette ligne, vous êtes impacté.CONFIG_PERF_EVENTS=y
Le patch existe depuis plusieurs semaines mais n'a pas été forcement intégré dans toutes les distributions - cherchez le code CVE-2013-2094 dans les derniers security advisory.
La Debian Wheezy a été patchée ce matin (je mets le lien vers le mail de la liste de diffusion « security » car je ne trouve pas l'annonce de sécurité debian sur le site).
Pour ceux qui ne peuvent pas patcher immédiatement leur noyau, il faut suivre le lien vers l'outil de suivi de bug de redhat qui propose plusieurs solutions temporaires plus ou moins efficaces.
Une nouvelle version du scanneur de vulnérabilités web Wapiti est disponible.
Wapiti est un logiciel libre sous licence GNU GPL v2 permettant d'auditer la sécurité des applications web. Il est développé en Python et s'utilise en ligne de commande. Cette version est principalement une refonte du logiciel et la grande majorité des changements s'est faite « sous le capot » pour prendre en charge des fonctionnalités manquantes comme les nouveaux éléments du HTML 5 et les liens générés par du JavaScript.
Snuffleupagus est un module pour PHP (version 7.0 et supérieures) qui a pour but d’augmenter drastiquement la difficulté des attaques contre les sites Web. Cela s’obtient, entre autres, via la désactivation de fonctions et de classes, et en fournissant un système de correctifs virtuels, permettant à l’administrateur de corriger des vulnérabilités spécifiques sans modifier le code PHP.
La version 0.3.0, disponible depuis le 18 juillet 2018, est un excellent prétexte pour parler de ce projet sur LinuxFr.org, avec des détails juteux en deuxième partie de dépêche.
EU-FOSSA,ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputés Max Anderson et Julia Reda — après la découverte de la faille de sécurité Heartbleed et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.
Julia Reda explique fort bien les fondements et les buts de cette action européenne…
Bonjour,
Petit journal pour alerter ceux éventuellement concernés, suite à un sujet sur le blog officiel de Linux Mint : leur Wordpress a été la cible de plusieurs attaques à partir du 20 février (il est hors-ligne à l'heure où je publie), et le lien vers l'Iso de Linux Mint 17.3 Cinnamon a été changé, pointant sur un site tiers délivrant une version modifiée de celle-ci avec backdoor.
Source : http://blog.linuxmint.com/?p=2994
Apparemment, c'est la seule version concernée : les autres (…)
Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.
Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.
NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :
Le 6 mars 2015, Open Whisper Systems annonçait que la version 2.7 de TextSecure ne supportera plus le chiffrement des SMS pourtant recommandé par l'EFF, TextSecure fait marche arrière. De nombreux utilisateurs se sont plaints de cette décision dont le raisonnement n'a pas fait unanimité, et un fork de TextSecure a été créé.
(anciennement SecuredText) SMSSecure était né !
HTTPS Everywhere est une extension Firefox éditée par l'Electronic Frontier Foundation qui permet de remplacer automatiquement l'URL d'un site web par son équivalent HTTPS. Ce n'est pas forcément simple parce que pour beaucoup de sites, il ne suffit pas d'ajouter un s à http. Par exemple, jusqu'à récemment, la version HTTPS de Google n'était accessible que sur https://encrypted.google.com.
L'extension maintient donc une base de données pour effectuer les correspondances. Cette version 2.0.1 apporte une base plus grande (404 nouvelles règles depuis la version 1.2.2) mais aussi un Decentralized SSL Observatory (observatoire SSL décentralisé) qui permet d'envoyer de manière anonyme les certificats à une base de données de l'EFF pour qu'ils soient étudiés par cette dernière afin de détecter les éventuelles failles. L'observatoire permet aussi de signaler les éventuels problèmes en temps réel. Pour l'instant seuls les certificats qui ont été générés à partir d'une clef privée faible — à cause d'une machine ayant un générateur de nombre aléatoire buggé — sont signalés. Enfin, cette version 2 fonctionne désormais aussi sur le navigateur de Google : Chrome.
NdA : Merci à detail_pratique pour son aide lors de la rédaction de cette dépêche.
Vous avez peut-être entendu parler des nouvelles bornes installées dans les abris-bus à Paris permettant de recharger un téléphone ou tout autre appareil se rechargeant par l'USB. Bon, ça n'a rien d'ingénieux et ça se fait depuis plus d'une décennie.
Et si ça posait un risque pour vos données ? Et de manière générale si se brancher sur l'USB n'était pas anodin ?
NdM: l'article original de matlink a été enrichi en modération.
TL;DR: Avec Microsoft SQL Server, la sécurité est une option. Et une option payante.
Microsoft aime Linux, nous dit-il, et il nous permet maintenant d'installer nativement son serveur de base de données SQL Server (cf. cette vidéo technique pour comprendre comment ils on fait le portage). Seulement, la configuration par défaut n'est pas sécurisée du tout. Petite revue de quelques éléments à rectifier quand vous installez et utilisez SQL Server. La plupart de ces conseils sont aussi valables (…)