octobre, 2018

Oracle, des trous avant tout

Posté on 17 Oct 2018 at 12:01

Les CPU ne sont pas mensuelles … cela se remarque au premier coup d’œil en parcourant le bulletin trimestriel publié par Oracle. Plus de 300 CVE concernant la quasi-totalité du catalogue, d’Enterprise Manager à MySQL en passant par Fusion, Oracle Database, Java SE, les outils PeopleSoft…

En plongeant dans cette avalanche de bouchons, l’on peut signaler l’existence de quelques failles critiques, notamment CVE-2018-3259 et CVE-2018-3299 (exploit distant sans authentification préalable au serveur de base de données), 56 CVE dans Fusion dont 12 susceptibles d’autoriser une exploitation distante, 12 CVE dans Java SE dont 11 également exploitables à distance, 38 CVE dans MySQL dont seulement 3 « remote »… La rédaction toute entière souhaite un agréable week-end aux administrateurs de produits Oracle.

MS-Rustines chaotiques

Posté on 12 Oct 2018 at 6:16

50 alertes CVE colmatées, dont un « zero day » ( CVE-2018-8453 ) pouvant concourir à une élévation de droits, et affectant Windows serveur et station depuis la version 7, et un trou ayant déjà fait l’objet d’une publication, CVE-2018-8423. Ce dernier concerne un défaut dans le moteur de base de données Jet, lequel est utilisé dans plusieurs applications bureautiques de la suite Microsoft.

Qualys,au fil de son analyse mensuelle, attire l’attention sur CVE-2010-3190, un défaut dans Exchange Server dont l’exploitation offrirait un contrôle totale de la machine.

Au total, le Sans considère que 12 rustines sont à appliquer sur des failles jugées critiques.

Le déploiement de ce lot de bouchons n’a pas été sans mal. Aux USA, plusieurs usagers se sont plaints d’avoir perdu des données après application (les informations contenues dans « Mes documents »), et en France, l’installation du lot a, pour certains usagers, nécessité plusieurs redémarrages.

Octobre sera cybersécurisé ou sera cybersécurisé

Posté on 01 Oct 2018 at 3:31

Le « mois de la cybersécurité »a démarré officiellement le 1er octobre, 31 jours durant lesquels se succèderont petits films d’incitation et de propos volontaristes, dessins humoristiques thématiques, dossiers de presse truffés de statistiques, le tout agrémenté de manifestations, tables rondes, colloques, débats, réunions de sensibilisation, conférences, journées -et nuits- cyber. Autant d’actions coordonnées par l’Enisa au niveau Européen et par l’Anssi sur les terres des Gaules.

13 trous, un seul Cisco

Posté on 01 Oct 2018 at 3:07

Une belle collection de failles a été collectée dans les systèmes d’exploitation des équipements sous IOS et IOS XE. Le bulletin publié par l’équipementier classe la quasi-totalité des trous dans la catégorie « critique, à corriger immédiatement ». Et notamment, une possibilité d’accès sans authentification nécessaire dans OSPF v3, un risque de déni de service par redémarrage en boucle des équipements (plateformes IOS XE et série ASA 5500-X), ceci sans oublier une défaillance dans l’interface Web d’IOS XE ou des bugs dans la gestion des droits d’accès aux répertoires de Webex.

Facebook, 90 millions de comptes compromis

Posté on 01 Oct 2018 at 2:38

Un défaut dans la fonction « Aperçu du profil en tant que » a permis à des gastronomes de la donnée personnelle de générer des « jetons d’accès », sortes de clefs numériques qui offrent à chaque usager la possibilité de demeurer connecté à leur compte sans avoir à saisir à nouveau leurs identifiants/mots de passe. Dixit les services techniques de Facebook, au fil d’un communiqué expliquant cette attaque relativement complexe.

Il s’agit en fait de l’exploitation de trois défauts qui, combinés, peuvent offrir aux attaquants accès au compte FB. La faille a été colmatée et le service « aperçu du profil en tant que » a été suspendu pour une durée indéterminée.

Outre l’accès aux minutes onaniques Facebookienne, on ne peut oublier les fonctions d’authentification et de « single sign on » que ce réseau social apporte à de multiples services et sites Web étrangers à Facebook. Si l’authentification du site principal est compromise, n’existerait-il pas un risque que cette attaque puisse déborder et affecter d’autres serveurs utilisant ladite authentification ? Une sorte de « pass the hash » modernisé. Cette hypothèse reste cependant improuvée, et les services sécurité de la Zuckerberg’s company considèrent ce scénario comme peu probable.

Dans tous les cas de figure, cette inconsistance logicielle rappelle à chacun que les services d’un réseau social ne doivent pas être confondus avec une banque de mot de passe.

Publicité

MORE_POSTS

Archives

octobre 2018
lun mar mer jeu ven sam dim
« Sep   Nov »
1234567
891011121314
15161718192021
22232425262728
293031