du 05 décembre 2018
Date

Choisir une autre édition

Faille critique dans Kubernetes, des correctifs sont disponibles

Ce logiciel open source permet de déployer et de gérer des applications conteneurisées. Le projet était initialement développé par Google, avant d'être transféré à la Cloud Native Computing Foundation en 2014.

Très populaire, notamment dans les grandes infrastructures, il vient de faire face à sa première grosse faille estampillée CVE-2018-1002105. Jugée critique, elle obtient un score CVSS de 9,8 sur 10.

Sur Github, Jordan Liggitt (Google, ex-Red Hat), explique qu'avec « une requête spécialement conçue, des utilisateurs autorisés à établir une connexion à un serveur principal via l'API Kubernetes peuvent ensuite envoyer des requêtes arbitraires », tout en restant identifiés.

« Il n'y a pas de moyen simple de détecter si cette vulnérabilité a été utilisée, étant donné que les demandes non autorisées sont effectuées via une connexion authentifiée, elles n'apparaissent pas dans les journaux », ajoute Jordan Liggitt.

« La faille d'élévation des privilèges permet à tout utilisateur de bénéficier des droits d'administrateur », résumé Red Hat. Des correctifs sont déjà disponibles pour Kubernetes, mais ils doivent maintenant être déployés par les nombreuses infrastructures exploitant ce logiciel.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Kali Linux est une distribution basée sur Debian avec une orientation particulière : embarquer tous les outils nécessaires aux tests de sécurité d’une infrastructure. Pour ceux qui s’en souviennent, elle est le successeur de BackTrack qui, elle, était basée sur Ubuntu.

La distribution a reçu hier soir sa première « version à point » de 2019. Estampillée 2019.1, elle embarque une nouveauté majeure : Metasploit 5.0. Ce kit d’exploitation des failles de sécurité présente d’importantes améliorations, dont des API pour les bases de données et l’automatisation, ainsi que de nouvelles capacités d’évasion.

On note également plusieurs progrès sur la version ARM du système, avec le retour de Banana Pi et Banana Pro, tous deux basés sur la version 4.19 du noyau Linux (comme Veyron). Les images pour Raspberry Pi sont également plus simples à choisir.

La page de téléchargement a bien sûr été adaptée pour afficher les nouvelles images ISO. Si vous avez déjà le système, la commande pour déclencher la mise à jour est :

root@kali:~# apt update && apt -y full-upgrade

Copié dans le presse-papier !

La Voix du Nord rapporte qu’un habitant de Villeneuve-d’Ascq a été condamné vendredi 15 février pour téléchargement illégal. Il lui était reproché d’avoir partagé plus de 200 longs métrages entre le 1er avril et le 30 octobre 2016 via eMule, le célèbre logiciel de peer-to-peer.

« On trouve 223 téléchargements, mais il n’a téléchargé volontairement que trente-six films. Dès sa première audition, il a tout arrêté » a tenté de plaider son avocat, soulignant qu’aucun avertissement n’avait en outre été envoyé par la Hadopi.

Le mis en cause a été condamné à deux mois de prison avec sursis, vraisemblablement pour contrefaçon. « Il devra payer 1 800 euros de dommages et intérêts et frais de justice. Il échappe néanmoins à l’amende de 4 000 euros que le Parquet avait demandée en plus », explique La Voix du Nord.

Chaque semaine, l’ALPA (le bras armé des ayants droit du cinéma) court-circuite cinq adresses IP normalement destinées à la riposte graduée, afin de transmettre directement au Parquet ces cas de « gros téléchargeurs » (voir notre article). C’est probablement ce qui est arrivé à cet abonné.

Copié dans le presse-papier !

Firefox 66, actuellement en bêta, propose une série d’améliorations pour les extensions, dont de meilleures performances.

C’est particulièrement vrai pour celles devant régulièrement apporter de petites modifications dans de larges structures, comme le font les bloqueurs de publicités. Solution de Mozilla : se débarrasser des fichiers JSON au profit du standard IndexedDB.

Les développeurs n’ont rien à faire, Firefox basculant automatiquement de l’un vers l’autre dès qu’une extension fait appel à l’API storage.local(). Selon Mozilla, la hausse des performances est nette, permettant dans la foulée une baisse de la consommation en RAM.

Ce changement s’accompagne d’autres petites améliorations et corrections de bugs, comme une réduction supplémentaire de la mémoire consommée au changement d’objets depuis le stockage, des demandes de permissions plus cohérentes ou encore la suppression de l’alerte quand une extension a défini la propriété background.persistent sur true.

Firefox 66 n’arrivera que dans un mois, mais on peut comme d’habitude récupérer la bêta depuis le site dédié, avec l’habituel avertissement : des problèmes peuvent survenir, même si les préversions de Firefox sont souvent stables.

Copié dans le presse-papier !

Au cours des derniers mois, plusieurs pays ont fait part de leur méfiance vis-à-vis de Huawei pour déployer leurs réseaux 5G. En cause, des risques de cybersécurité et la crainte de portes dérobées installées pour Pékin.

Les États-Unis sont particulièrement virulents envers les équipementiers chinois et ont été suivis par d'autres, comme l'Australie et la Nouvelle-Zélande. Le Royaume-Uni (un autre membre des Five Eyes) était jusqu'à présent plus réservé, évoquant simplement des « décisions difficiles » à prendre.

Selon le Financial Time repris par l'AFP, le National Cyber ​​Security Center (NCSC) estimerait que le risque lié à l'utilisation d'équipements Huawei pour la 5G serait « gérable ». Nos confrères s'appuient sur les déclarations de deux sources, sans confirmation officielle pour le moment. Le NCSC s'est contenté de rappeler qu'il « défend la sécurité des réseaux britanniques »,  et « surveille et analyse la manière d'opérer de Huawei ».

Copié dans le presse-papier !

Comme l'indique Pockenow, le fabricant envoie des invitations pour le moins explicite. Il donne rendez-vous le 25 février à 10h30 à Barcelone pour un « nouveau flagship 5G ».

Il pourrait s'agir de l'Axon 10 Pro, connu sous le nom de code A2020 Pro. Ce smartphone, destiné à l'Europe et à la Chine, serait disponible au premier semestre. Pour rappel, c'est loin d'être le seul fabricant à se lancer dans la 5G : OnePlus, Motorola, Huawei et Samsung sont également dans les starting-blocks.