« Nous n’avons aucune preuve que l’acteur malveillant ait accédé ou modifié le code source de NGINX ou son environnement de développement, ni qu’il ait accédé ou modifié les produits F5 Distributed Cloud Services ou Silverline ».
Des mises à jour pour les clients BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ et APM sont disponibles. « Nous vous conseillons vivement de mettre à jour ces nouvelles versions dès que possible », ajoute l’entreprise (en gras dans le communiqué).
Donc si je comprends bien, si on a juste quelques serveurs nginx qui tournent, pas de quoi paniquer ?
Le seul rapport que je vois avec les failles annoncées c'est que sans l'intrusion, F5 aurait pu attendre un peu plus longtemps avant de les divulguer publiquement.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Le seul rapport que je vois avec les failles annoncées c'est que sans l'intrusion, F5 aurait pu attendre un peu plus longtemps avant de les divulguer publiquement.
Ou prendre plus de temps pour les corriger mieux ou pour les publier plus lentement séparément ou n'aurait pas eu à cravacher pour corriger des failles juste découvertes ou … Sans parler de la fuite des codes sources et du renouvellement imposé de secrets internes et de politiques de sécurité. Et vu le niveau de la compromission, toutes les infos et explications ne seront pas dans les médias, juste du comminatoire patchez vite, maintenant.
Ou prendre plus de temps pour les corriger mieux ou pour les publier plus lentement séparément ou n'aurait pas eu à cravacher pour corriger des failles juste découvertes ou
On ne parle pas juste de failles mais d'une intrusion qui a eu lieu et qui a donc été (et peut toujours chez ceux qui ne mettent pas à jour) exploitée.
Ce n'est pas vraiment le genre de cas où tu peux mettre un embargo de 6 mois sur la nouvelle.
# Concrètement
Posté par Faya . Évalué à 3 (+1/-0).
Donc si je comprends bien, si on a juste quelques serveurs nginx qui tournent, pas de quoi paniquer ?
# On m'aurait menti ?
Posté par woffer 🐧 (site web personnel) . Évalué à 10 (+13/-1).
Moi qui pensait qu'avec un F5, on était toujours à jour.
[^] # Re: On m'aurait menti ?
Posté par Pol' uX (site web personnel) . Évalué à 6 (+5/-1).
Non à cause du « cache du DNS ». :)
Adhérer à l'April, ça vous tente ?
[^] # Re: On m'aurait menti ?
Posté par Faya . Évalué à 8 (+6/-0).
C'est parce que F5 a perdu le CTRL. Avec CTRL-F5 ils auraient purgé le cache.
# « journalisme »
Posté par Krunch (site web personnel) . Évalué à 7 (+5/-0).
La vraie source originale : https://www.sec.gov/ix?doc=/Archives/edgar/data/1048695/000104869525000149/ffiv-20251015.htm
La FAQ F5 : https://my.f5.com/manage/s/article/K000154696
Le rapport d'IOActive : https://raw.githubusercontent.com/askf5/K000154696/main/IOActive_Security_Review_2025_Attestation_Letter.pdf
Le rapport de NCC : https://raw.githubusercontent.com/askf5/K000154696/main/NCC_Group_Letter_of_Engagement_Oct_10_2025.pdf
Le seul rapport que je vois avec les failles annoncées c'est que sans l'intrusion, F5 aurait pu attendre un peu plus longtemps avant de les divulguer publiquement.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: « journalisme »
Posté par Benoît Sibaud (site web personnel) . Évalué à 3 (+0/-0).
K000154696: F5 Security Incident indique qu'ils ont dû annoncer les CVE en urgence (proactive measures … We have released updates), et pointe sur October 2025 Quarterly Security Notification qui liste CVE et versions correctives.
Ou prendre plus de temps pour les corriger mieux ou pour les publier plus lentement séparément ou n'aurait pas eu à cravacher pour corriger des failles juste découvertes ou … Sans parler de la fuite des codes sources et du renouvellement imposé de secrets internes et de politiques de sécurité. Et vu le niveau de la compromission, toutes les infos et explications ne seront pas dans les médias, juste du comminatoire patchez vite, maintenant.
[^] # Re: « journalisme »
Posté par Psychofox (Mastodon) . Évalué à 3 (+0/-0).
On ne parle pas juste de failles mais d'une intrusion qui a eu lieu et qui a donc été (et peut toujours chez ceux qui ne mettent pas à jour) exploitée.
Ce n'est pas vraiment le genre de cas où tu peux mettre un embargo de 6 mois sur la nouvelle.
[^] # Re: « journalisme »
Posté par Benoît Sibaud (site web personnel) . Évalué à 3 (+0/-0).
On discutait de si l'intrusion n'avait pas eu lieu… sinon de fait elle a bien eu lieu et ils devaient communiquer et publier.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.