Accueil InfoQ Security Vulnerabilities sur InfoQ
-
Azul Lance Azul Vulnerability Detection Pour Sécuriser La Chaîne D'Approvisionnement
Le 2 novembre, Azul a lancé un nouveau produit de sécurité pour pallier aux risques accrus d'attaques de la chaîne d'approvisionnement des logiciels d'entreprise, aggravé par des menaces graves telles que Log4Shell. Azul Vulnerability Detection est un nouveau produit SaaS qui détecte en continu les vulnérabilités de sécurité connues dans les applications Java.
-
Une Nouvelle Vulnérabilité A L'exécution Du Conteneur CRI-O Permet Aux Attaquants D'accéder À L'hôte
Une nouvelle vulnérabilité dans l'environnement d'exécution du conteneur CRI-O utilisé par de nombreuses installations Kubernetes permet à un utilisateur malveillant d'obtenir un accès root à l'hôte. La vulnérabilité a été découverte par des chercheurs de CrowdStrike et corrigée peu après par le projet CRI-O.
-
PwnKit, Une Vulnérabilité Des Distributions Linux Vieilles De Douze Ans
Une vulnérabilité récemment révélée affectant le composant PolKit est présente sur plusieurs distributions Linux depuis plus de 12 ans. La vulnérabilité est facilement exploitable, explique Bharat Jogi, directeur de l'équipe de recherche Qualys qui l'a découverte, et permet à tout utilisateur non privilégié d'obtenir des privilèges root complets sur un hôte vulnérable.
-
Une Vulnérabilité Affectant Plusieurs Versions De Log4j Permet Un Exploit De Type RCE
Le 9 décembre, il a été rendu public sur Twitter qu'un exploit zero-day avait été découvert dans log4j, une bibliothèque de logging Java populaire. Toutes les versions de la bibliothèque entre 2.0 et 2.14.1 incluses sont concernées. Log4j 2.15.0 a été publié, qui n'a plus cette vulnérabilité. Lorsque log4j enregistre une valeur de chaîne contrôlée par un attaquant, cela peut entraîner un RCE.
-
Microsoft Corrige Une Vulnérabilité Grave De Crypto32.dll
Microsoft a publié des correctifs pour diverses versions de Windows 10 et Windows Server 2019 et 2016 afin de corriger une vulnérabilité grave affectant le système de validation des certificats ECP (Elliptic Curve Cryptography). Cette vulnérabilité permet à un attaquant d'usurper la validité d'une chaîne de certificats et d'une validation de signature qui nécessite une correction rapide.
-
Les GPU Jugés Vulnérables aux Attaques par Side-Channel
Depuis la démonstration de Spectre et de Meltdown au début de 2018, les chercheurs ont découvert de nombreuses variantes de vulnérabilités de canal secondaire affectant les CPUs Intel et AMD. Les GPU semblaient au contraire être immunisés contre de telles attaques. Jusqu'à présent, c'est le cas.
-
Les vulnérabilités Spectre 1.1 et 1.2 révélées
Les deux nouvelles vulnérabilités exploitant des failles dans l'exécution spéculative des CPU ont été récemment révélées. Surnommées Spectre 1.1 et 1.2, elles sont toutes les deux des variantes de la vulnérabilité Spectre (Spectre-v1) d'origine et exploitent les stores spéculatifs pour créer des débordements de mémoire spéculatifs qui peuvent échapper aux mitigations de Spectre-v1.
-
Une vulnérabilité dans Git peut conduire à une exécution de code arbitraire
Une faiblesse dans la validation de nom de sous-modules Git permet à un assaillant distant d'exécuter du code arbitraire sur les machines des développeurs. De plus, un attaquant peut accéder à une section de la mémoire système. Les deux vulnérabilités ont déjà été corrigées dans Git 2.17.1, 2.16.4, 2.15.2 ainsi que d'autres versions.
-
Git continue d'améliorer la sécurité et l'interface utilisateur dans sa version 2.13
La dernière version de Git introduit de nombreux changements visant à améliorer son interface utilisateur tout en réparant deux vulnérabilités importantes.
-
Les Filtres de Désérialisation d'Objet portés depuis Java 9
La JEP 290, qui permet de filtrer les données entrantes lors de la désérialisation d'un objet et initialement destinée à Java 9, a été portée vers Java 6, 7 et 8.
-
Une Etude montre que le Web est rempli de Librairies JavaScript Obsolètes et Vulnérables
Une étude récente a révélé que 37% des 75K premiers sites Web sur Alexa présentent au moins une vulnérabilité et près de 10% en compte au moins deux. Peut-être plus choquant encore, 26% des 500 premiers sites d'Alexa emploient des librairies vulnérables.
-
Faille Zero-Day Java exploitable à distance au travers de la sérialisation
D'après une analyse de sécurité récente par Foxglove Security, les applications utilisant la désérialisation pourraient être vulnérables à une faille 0-day. Cela inclut les librairies utilisant OpenJDK, ApacheCommons, Spring et Groovy. InfoQ enquête.
-
LinkedIn publie QARK pour révéler les Failles de Sécurité dans les Apps Android
LinkedIn a publié récemment en Open Source QARK, un outil d'analyse statique ayant pour but de découvrir les failles de sécurité potentielles existantes dans les applications Android écrites en Java.
-
Conséquences d'HeartBleed : des développeurs d'OpenBSD commencent à purifier OpenSSL
Des développeurs d'OpenBSD commencent à purifier OpenSSL.
-
Patterns et Anti-Patterns de scalabilité et de disponibilité pour les Architectures orientées Cloud
Plus que toute autre chose, les choix d'architecture ont une importance majeure lors de la conception d'un système destiné à être hautement scalable et hautement disponible. En prenant les clients d'Azure comme exemple, Microsoft aborde les patterns et les anti-patterns qu'ils observent chez leurs clients Azure et les effets qu'ils ont sur les aspects de l'architecture système.