sécurité

Faille majeure du shell bash

Update 2014-09-26 12:30 UTC+1

La faille CVE-2014-7169 semble être patchée par la plupart des mainteneurs de paquets. Nous vous invitons à refaire une mise à jour de votre bash.


Faille de sécurité Apache 2.2 & 2.4

Le 14 juillet 2014, plusieurs failles de sécurité ont été publiées concernant les serveurs utilisant Apache2. Cette faille a été publiée dans un DSA (Debian Security Advisory).

Qu'est-ce qu'elle permet ?


WordPress – exploitation d'une faille de sécurité du plugin MailPoet



Début juillet une faille de sécurité a été découverte dans le plugin WordPress MailPoet, autrement connu sous le nom de wysija-newsletters. En date du 23 juillet 2014, le blog Sucuri a informé que cette faille était exploitée et publiquement dévoilée.


Heartbleed, une des plus grande faille de sécurité découverte

     Le 7 avril 2014, une faille de sécurité a été publiée concernant les serveurs utilisant OpenSSL. Cette faille a été découverte par codenomicon.com et un informaticien de Google. Certains spécialistes la reconnaissent comme étant la faille la plus importante découverte depuis le SQL injection.

Vous trouverez le détail de la vulnérabilité à l’adresse suivante : http://heartbleed.com/


"Coeur qui saigne", une des plus grande faille de sécurité découverte

 

    Le 7 avril 2014, une faille de sécurité a été publiée concernant les serveurs utilisant OpenSSL. Cette faille a été découverte par codenomicon.com et un informaticien de Google. Certains spécialistes la reconnaissent comme étant la faille la plus importante découverte depuis le SQL injection.

Vous trouverez le détail de la vulnérabilité à l’adresse suivante : http://heartbleed.com/


Le bon conseil du jeudi: pensez au certificat de sécurité.

Entre les vols d'identités, de numéros de carte de crédit et autres piratages de données informatiques, la sécurisation d'un site internet apparaît essentielle.

Véritable technologie de la sécurité web, le certificat SSL est incontournable pour sécuriser les données sensibles disponibles sur Internet. Plusieurs éléments de sécurité tels que le "sceau d'authentification", "le cadenas" ou "la green bar" prouvent que le site est protégé des dangers éventuels de piratage. Les internautes peuvent ainsi facilement faire le tri entre les sites de confiances et ceux plus risqués.


Parallels Plesk Panel - Mise à jour de sécurité - Ikoula

En février dernier, nous vous avions contacté à propos d’une faille importante de l’outil Parallels Plesk Panel.
Différentes mises à jour ont permis de corriger cette faille (rappel: http://kb.parallels.com/fr/113321). Cependant, certains Plesk ont été corrompu avant et/ou malgré l’application des correctifs. Ces derniers risquent encore de contenir des logiciels malveillants.

C’est pourquoi Parallels, éditeur de la solution, a sorti aujourd’hui une micro-update pour vous aider à supprimer ces logiciels malveillants.
Vous trouverez à l’adresse http://kb.parallels.com/fr/115025 la liste des versions du panel Plesk concernées par cette micro-update.
Cette mise à jour inclut un script de suppression qui cible et neutralise les logiciels malveillants connus affectant Plesk. Nous vous recommandons d’appliquer cette micro-update.


[Sécurité] Vulnérabilités PHP

Le 3 mai plusieurs sites ont relayé une information importante : une faille PHP a été découverte et exploitée. La faille concerne le langage PHP hébergé en mode CGI (sous apache mod_cgi). L’exploitation de cette dernière permet d’afficher le code source de la page appelée au lieu de l’exécuter.

La réalisation est assez simple, car il suffit d’ajouter « -s » dans l’url. Exemple : http://localhost/index.php?-s

Cette faille a été qualifiée de sérieuse et il est vivement conseillé de vérifier si vous êtes impacté et de patcher vos serveurs web.

Pour corriger cela, il suffit d’appliquer les dernières MAJ de votre OS ou de Plesk.

Source : http://www.kb.cert.org/vuls/id/520827


[Sécurité] Vulnérabilités OpenSSL

Le 19 avril 2012 Debian a publié une note concernant la découverte de plusieurs vulnérabilités touchant le paquet OpenSSL.

Ces vulnérabilités sont relativement sérieuses et peuvent permettre à un attaquant de déchiffrer les données ou réaliser un déni de service.

Il est vivement recommandé de mettre à jour vos paquets.

Plus d’informations : http://www.debian.org/security/2012/dsa-2454



Faille sur le protocole RDP - Aboonnez-vous à la newsletter d'Ikoula

Bonjour à tous,

Nous vous informons que Microsoft vient de publier un communiqué sur une faille critique présente sur le protocole RDP, protocole sur lequel se base l’accès Terminal Server.
Cette faille est corrigée par la dernière mise à jour de sécurité Windows Update, sortie le 13/03/2012.

Microsoft précise qu'il est probable qu’une exploitation de cette faille apparaisse dans les jours à venir.


Pages