du 01 février 2018
Date

Choisir une autre édition

Les pare-feux Cisco ASA touchés par une méchante faille de sécurité

C'est un carton plein pour le fabricant, avec la note maximale sur l'échelle CVSS v3 : 10/10. Il faut dire que la faille baptisée CVE-2018-0101 a de quoi inquiéter : « Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance » explique le CERT-FR.

Le constructeur explique que cette brèche vient de la fonctionnalité VPN SSL (Secure Sockets Layer) du logiciel ASA (Adaptive Security Appliance). Bien évidemment, des mises à jour logicielles sont disponibles pour la corriger. Il n'existe pas d'autre manière de la colmater affirme le fabricant. La longue liste des produits touchés est disponible par ici.

Cisco indique enfin ne pas avoir eu de retour laissant penser à une exploitation malveillante de cette faille. Il remercie enfin Cedric Halbronn du groupe NCC pour l'avoir signalée. « Bien qu'il s'agisse d'une vulnérabilité extrêmement sérieuse, il est important de féliciter Cisco pour la rapidité avec laquelle l'entreprise a pris des mesures lorsque cette question a été portée à son attention » explique de son côté le groupe NCC.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Ils sont une petite quinzaine à s'être réunies au sein d'une Union qui n'en est pas vraiment une. Ils y voient une manière de se faire entendre.

La Developers Union cherche avant tout à faire bouger Apple sur un point précis : autoriser les applications à proposer des versions de démonstration, autrement dit les fameuses démos.

L'Union est essentiellement portée par quatre développeurs, qui en sont à l'origine : Jake Schumacher, Loren Morris, Roger Odgen et Brent Simmons. Ce dernier est l'auteur d'applications connues comme NetNewsWire, TapLynx, Glassboard, MarsEdit et Vesper.

Sur son site, l'Union n'aborde qu'un autre sujet : la répartition des gains entre Apple et développeurs. La firme garde 30 % des revenus générés par les ventes d'applications et d'abonnements.

Les développeurs aimeraient évidemment tirer vers le bas ce pourcentage. Chez Apple, la seule manière d'y parvenir est de fournir un abonnement pendant un an. La pomme baisse alors sa part à 15 %.

On notera que la revendication vient après l'annonce par Microsoft d'une réduction drastique de sa propre « ponction » sur les applications grand public : 5 %. Les jeux et applications à visée professionnelle ne sont toutefois pas concernées.

On ne sait pas vraiment quelles chances pourrait avoir la Developers Union. Ce n'est pas à proprement parler un syndicat et il est complexe de faire changer d'avis Apple tant qu'elle n'en tire pas un bénéfice ou qu'elle n'a plus le choix. Interrogée, la société n'a d'ailleurs pas répondu à TechCrunch.

Copié dans le presse-papier !

Dans un communiqué, la Software Freedom Conservancy « félicite le fabricant pour son premier pas vers la conformité à la licence GPL ». L'organisation en profite pour rappeler qu'elle demande à Tesla de se conformer depuis… 2013 et qu'il reste encore du travail.

Il ne s'agit en effet que d'une première salve, pas de l'intégralité des sources soumises à licence GPL pour le moment. Il est notamment question de Buildroot, « utilisé pour construire l'image du système de l'Autopilot » explique le fabricant.

La version actuelle est estampillée 2018.12, mais elle sera mise à jour pour suivre les évolutions, affirme Tesla dans un communiqué repris par Electrek.

Dans tous les cas, les sources ne contiennent évidemment pas les applications propriétaires de Tesla. Inutile donc d'espérer créer un Autopilot maison. D'autres publications suivront ajoute enfin le constructeur.

Copié dans le presse-papier !

La société de profilage électoral, au cœur d'un scandale mondial après avoir aspiré des données de dizaines de millions d'internautes en 2014, s'est déclarée en faillite il y a quelques jours outre-Atlantique.

En début de mois, Cambridge Analytica et sa maison-mère britannique (SLC Elections) annonçaient mettre la clé sous la porte, suite à une trop grande chute de son activité depuis les révélations du Guardian et du New York Times en mars.

Le scandale a mené à une très forte pression politique sur Facebook, puis à une très médiatique double journée d'audition au Congrès américain. Le groupe a promis de nombreuses mesures (dont certaines auraient pu être prises il y a des années) pour apaiser les parlementaires et les actionnaires. L'action du groupe est depuis revenue à son niveau de départ.

Il est aussi apparu que des dirigeants de SCL Elections auraient monté la société Emerdata, sise dans le même bâtiment. Il n'est donc pas dit que l'activité disparaisse réellement, malgré les apparences.

Copié dans le presse-papier !

Encore et toujours des suites pour les failles Meltdown et Spectre, dont les chercheurs continuent de trouver des variantes.

Les nouvelles venues sont nommées 3a et 4 (CVE-2018-3640 et CVE-2018-3639). Leurs détails ont été communiqués à l'US-CERT par Google et Microsoft. Exploitées, elles permettraient à un pirate d'obtenir des informations sensibles.

Une partie des correctifs déjà en place, notamment dans les navigateurs, atténue le risque. Il faudra par contre en repasser par de nouveaux firmwares.

Dans un communiqué, Intel explique avoir déjà envoyé son microcode en version bêta à tous les constructeurs concernés pour des tests. Dans cette mouture, il devient possible de couper l'exécution spéculative, entraînant une chute de performances de l'ordre de 2 à 8 %.

Cependant, Intel précise bien que cette coupure est désactivée par défaut. Le fondeur transfère sur l'utilisateur le choix épineux : performances maximales ou sécurité ? Dans une note technique, Microsoft indique de son côté travailler également avec AMD et ARM, eux aussi concernés.

Copié dans le presse-papier !

Comme son nom l'indique, celui-ci dispose de 16 emplacements (12 de 3,5 pouces et 4 de 2,5 pouces). Il est animé par un CPU Ryzen 3 1200, 5 1600 ou 7 1700, épaulé par 4 à 64 Go de mémoire vive.

Série « X » oblige, le NAS dispose de deux ports réseau à 10 Gb/s (compatibles 1, 2,5 et 5 Gb/s), en plus de quatre ports gigabit et huit USB 3.0.

Trois emplacements PCIe sont aussi de la partie : 1x PCIe 3.0 x8, 1x PCIe 3.0 x4 et 1x PCIe 2.0 x4). Côté logiciel, le package QuAI est de la partie, ainsi que vQTS pour virtualiser l'interface d'administration QTS. Tous les détails du TS-1677X sont disponibles par ici.

Comme d'habitude, le fabricant annonce une disponibilité immédiate, mais ne donne aucun prix. Pour rappel, le TS-1277 avec 12 emplacements et un Ryzen 5 1600 est vendu plus de 2 500 euros.