[News sécurité] Faille injection de contenu dans les sites WordPress 4.7.0/4.7.1

Le 1er février 2017 une faille de sécurité permettant de modifier le contenu d’une page WordPress a été découverte.

Comment fonctionne-t-elle ?

En exploitant une vulnérabilité de l’API REST un utilisateur non authentifié peut obtenir des droits supplémentaires et ainsi modifier le contenu de n’importe quelle page d’un site WordPress.

Comment vérifier si je suis impacté ?

L’API REST WordPress a été implémentée à la version 4.7.0


Faille de sécurité PHPMailer - Exécution de code à distance CVE-2016-10033/CVE-2016-10045

Une vulnérabilité concernant le script PHPMailer a récemment été découverte et permet à une personne non-authentifiée d'exécuter du code à distance.

Qu'est-ce que PHPMailer ?

Ce script PHP sert à la mise en place d'envoi automatique de mail par les administrateurs de sites web.

Étude déploiement et utilisation des certificats Let’s Encrypt

Ikoula a travaillé sur l’utilisation de la solution Let’s encrypt dans un contexte bien précis pour un de nos clients :
Infrastructure HAProxy en haute disponibilité pouvant disposer de certificats SSL provenant d’un fournisseur de certificats (type Geotrust, Thawte, …) et de l’acquisition / renouvellement de SSL Let’s Encrypt.

En quelques mots, Let’s Encrypt est une solution permettant d’obtenir des certificats SSL gratuitement et disposant d’une durée de validité de 3 mois.
Afin de pouvoir obtenir un certificat, un des prérequis essentiels est que le domaine et/ou alias pointe au niveau DNS sur l’IP de la machine réalisant la demande d’acquisition.

lets_encrypt

Votez pour Coucou nous Voilou une association d’aide aux enfants hospitalisés soutenue par Ikoula !

Coucou nous Voilou est une association dont l'objet est d'améliorer, au sein des hôpitaux, le quotidien et les conditions de séjour des enfants dans le respect du fonctionnement des établissements et unités hospitalières, et en étroite collaboration avec les personnels.

Aujourd’hui Coucou nous Voilou a besoin de votre vote, pour remporter le Grand Prix du Public aux Trophées de la Fondation EDF. Il ne leur manque que quelques votes pour atteindre la 1ère place ! Des personnalités comme Louane, Jeff Panacloc ou Michel Drucker les soutiennent déjà ! Pour voter c’est par ici :




[news sécurité] Faille de sécurité Dirty COW dans le noyau Linux CVE-2016-5195

Une vulnérabilité vient d’être rendue publique il y a peu. Cette dernière impactant directement le noyau Linux.

Que permet-elle ?

Bien exploitée cette dernière permettrait à une personne malintentionnée d'obtenir une élévation de privilèges.

Depuis quand existe-t-elle ?

Cette faille est présente dans le noyau linux depuis la version 2.6.22 datant de 2007. Un correctif est disponible depuis le 18 octobre dernier (selon le système d’exploitation).


Pages