du 18 octobre 2018
Date

Choisir une autre édition

 Sur LibSSH, une « faille triviale » existait depuis quatre ans

Le Cert-FR explique que la faille réside dans la bibliothèque côté serveur et « permet à un attaquant de provoquer un contournement de la politique de sécurité ». Les versions 0.6 et plus récentes sont concernées.

Le moins que l'on puisse dire, c'est que son exploitation est on ne peut plus triviale : « En envoyant au serveur un message SSH2_MSG_USERAUTH_SUCCESS à la place de SSH2_MSG_USERAUTH_REQUEST auquel le serveur s'attendait pour lancer l'authentification, l'attaquant pouvait s'authentifier avec succès sans aucune information d'identification ».

Des correctifs ont évidemment été déployés pour avec LibSSH 0.8.4 et 0.7.6. Bien qu'utilisant LibSSH, GitHub affirme ne pas être impacté grâce à la manière dont il exploite cette bibliothèque.

La version 0.6 ayant été publiée en janvier 2014, cela fait plus de quatre ans que le contournement des protections pouvait être réalisé de cette manière.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Nouvelle série de nouveautés pour Visual Studio Code, dont la version 1.29 se concentre sur des améliorations du quotidien.

En témoigne la recherche multiligne, qui permet de trouver des expressions régulières réparties sur plusieurs lignes. Le cœur de la fonction repose sur un autre outil open source, ripgrep, Microsoft n’ayant pas réinventé la roue. Plusieurs options sont disponibles, dont l’affichage du numéro de ligne dans le code pour chaque résultat.

Quelques changements également pour le Mac, avec notamment le support du mode sombre de macOS Mojave. Avec le nouveau système, certaines parties de l’éditeur restaient affichées en version claire, provoquant des contrastes pénibles.

En outre, le mode plein écran a une nouvelle option pour rester en mode maximisé, mais sans créer un bureau virtuel, comme le fait par défaut macOS dès que l’on clique sur le bouton vert d’une fenêtre (dans la plupart des applications).

Visual Studio Code 1.29 autorise en outre les consoles de débogage multiples. Quand le processus est lancé sur plusieurs sessions, leurs sorties s’affichent donc sur des consoles différentes. Notez que les guides fournis par l’éditeur sur le débogage accueillent de nouveaux venus pour PHP, Python et Ruby on Rails.

La recherche de références d’une variable ou d’une fonction gagne également en souplesse, avec l’affichage des résultats dans une colonne latérale dédiée. Les opérations de tris s’en trouvent facilitées.

La nouvelle mouture fournit une longue liste d’autres petites améliorations, consultable sur l’annonce officielle. Par exemple, les nouvelles icônes de fichiers selon les types de projets, introduites avec Visual Studio Code 1.28, sont maintenant disponibles en petite taille, pour ceux qui préfèrent notamment travailler en vues liste ou détails.

Copié dans le presse-papier !

Le 12 novembre, entre 22h et 23h, certains services du groupe étaient inaccessibles, à cause d’une fuite BGP. Un autre opérateur a déclaré des millions d’adresses IP appartenant au groupe de Mountain View, rapporte Ars Technica, qui a enquêté sur l’incident. Selon la société ThousandEyes, la recherche Google et G Suite auraient été touchés.

Un petit opérateur nigérian, MainOne Cable Company, s’est approprié 212 préfixes d’adresses IP de Google. La mauvaise déclaration a été acceptée par l’opérateur d’État chinois China Telecom après quelques minutes, et diffusée aux autres opérateurs.

Selon BGPmon, l’opérateur nigérian a aussi redirigé le trafic du service de protection anti-DDoS Cloudflare.

Selon plusieurs acteurs, dont BGPmon, Cloudflare, Google et le registre régional RIPE NCC, l’incident est très sûrement dû à une simple erreur, sans volonté malveillante de détourner du trafic sensible. Pour Cloudflare, lui et Google seraient touchés car ils sont interconnectés à l’opérateur responsable sur un point d’échange du pays. Il assure que l’effet était minimal pour ses clients.

« C’était une erreur effectuée lors d’une mise à niveau prévue du réseau, à cause d’une mauvaise configuration de nos filtres BGP. L’erreur a été corrigée en 74 minutes et un processus a été mis en place pour éviter toute récidive », a depuis assuré MainOne dans un tweet.

Selon Ars Technica, le trafic n’est jamais parvenu à sa nouvelle destination, mais s’est arrêté sur un routeur de China Telecom.

BGP est un des protocoles qui sous-tendent Internet. C’est par ce biais que les organisations déclarent leurs adresses IP. L’information est diffusée de serveur en serveur, sur tout le réseau. Mais ce vieux protocole n’impose pas de vérification des annonces. La moindre erreur (ou revendication frauduleuse d’adresses IP) peut donc être diffusée sur tout le réseau.

Cloudflare rappelle les efforts de l’industrie sur RPKI, qui permet de certifier qu’on contrôle des lots d’adresses IP. Le système est connu depuis de nombreuses années mais loin d’être assez déployé, selon l’entreprise, qui l’évoquait déjà fin septembre lors de la publication sur Internet, par erreur, de tables internes de Telekom Malaysia.

Copié dans le presse-papier !

C'est en tout cas l'affirmation faite par des hauts responsables à Reuters, sous couvert d'anonymat. « Il y a une préoccupation sérieuse. Si cela ne tenait qu'à moi, nous ferions ce que font les Australiens », affirme l'un d'entre eux. Pour rappel, l'Australie et les États-Unis ont décidé de se passer des équipementiers chinois à cause de risques liés à la sécurité et la confidentialité.

Tout le monde n'est pas sur une ligne aussi franche outre-Rhin, même si la prudence reste de mise : « Exclure tous les investisseurs d'un pays donné est une mauvaise approche, mais nous devons pouvoir examiner des cas particuliers afin de nous assurer que notre infrastructure critique est protégée. Cela pourrait entraîner l'exclusion d'entreprises chinoises » affirme Katharina Droege (les Verts) à nos confrères.

Un porte-parole de Huawei réfute en bloc : « La cybersécurité a toujours été notre priorité absolue et nous avons une solide expérience dans la fourniture de produits et de solutions sécurisés à nos clients, en Allemagne et partout dans le monde ».

Copié dans le presse-papier !

Des photographies de ce qui pourrait être un nouveau casque de réalité virtuelle signé Valve ont fuité ces derniers jours. Les images ne laissent entrevoir que peu d'indices sur les nouveautés apportées par ce prototype, si ce n'est que ses lentilles ont l'air plus grandes que celles du HTC Vive (codéveloppé avec Valve), laissant augurer d'un champ de vision plus large.

On notera également la présence de diodes sur la face avant du casque, ce probablement afin d'assurer le suivi des mouvements grâce à un capteur extérieur, ainsi que de deux caméras, peut-etre pour des applications de réalité augmentée. Seul indice concernant son fabricant : un discret logo Valve imprimé sur l'une de ses cartes électroniques…

Copié dans le presse-papier !

C'est dans la vidéo d'un tweet sur le compte officiel de la série que la date a été annoncée. Elle est accompagnée d'un message : « Chaque bataille. Chaque trahison. Chaque risque. Chaque combat. Chaque sacrifice Chaque mort. Tous pour le trône ».

Pour rappel, cette ultime saison contiendra six épisodes. En attendant, HBO a mis en ligne de nombreuses vidéos sur les personnages de la série (attention aux spoilers).