du 07 décembre 2017
Date

Choisir une autre édition

Nouvelle panne chez OVH pendant la nuit

Le 9 novembre, OVH subissait des incidents en cascade, menant à une perte de configuration sur des routeurs gérant ses liens optiques entre ses datacenters. En cause, un (vieux) bug logiciel dans les routeurs Cisco utilisés par l'hébergeur, qui les a depuis mis à jour.

La nuit dernière, l'entreprise a tenté de séparer en trois groupes ses équipements optiques de Roubaix, pour éviter une nouvelle panne générale de son réseau européen. À 20h50, Octave Klaba déclare que des équipements ont de nouveau perdu leur configuration, en préparant son intervention à 23h.

OVH a dû reconstruire les liens entre Roubaix et ses autres points de présence de zéro. Dans un tweet, il affirme que ces connexions sont tombées à 20h20, à cause d'un bug toujours présent dans les routeurs Cisco mis à jour.

Tous les liens seraient revenus vers 1h du matin. En attendant, l'hébergeur a abandonné sa maintenance, le temps de comprendre le problème avec le constructeur.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Après son « lancement » en fin de semaine dernière, ce processeur a droit à un communiqué de presse qui revient sur un événement à New York où il a été poussé jusqu'à 7,1 GHz, sur l'ensemble de ses cœurs.

Une manière pour la société de montrer qu'elle dispose de puces capables d'être poussées assez loin, et de battre plus d'une dizaine de records, pour peu que l'on dispose d'un peu d'azote liquide.

Reste que pour le moment ce processeur reste globalement indisponible, et n'est proposé par la plupart des revendeurs qu'aux alentours de 700 euros pièce en attendant de premiers arrivages.

Copié dans le presse-papier !

La commission européenne a donné son feu vert, sans conditions, au rachat de GitHub par Microsoft. Bruxelles estime en effet qu'avec cette acquisition, le géant américain « resterait confronté à une concurrence importante de la part d'autres acteurs » sur les marchés des plateformes de développement de logiciels, des éditeurs de code et des environnements de développement intégré.

La commission s'est également penchée sur l'intérêt qu'aurait Microsoft à restreindre l'utilisation de GitHub avec des outils tiers. Son verdict est clair : « Microsoft ne disposerait pas d'un pouvoir de marché suffisant pour porter préjudice à la nature ouverte de GitHub, au détriment d'outils DevOps et de service en nuage concurrents. La raison en est qu'un tel comportement réduirait la valeur de GitHub aux yeux des développeurs désireux et en mesure de changer de plateforme ».

Copié dans le presse-papier !

OpenBSD est désormais disponible en version 6.4. Contrairement à d’autres systèmes gardant les « versions à point » comme des moutures d’entretien pour rassembler les mises à jour déjà disponibles, la nouvelle OpenBSD fait le plein de nouveautés.

Comme souvent, une bonne partie d’entre elles concerne le support matériel. Le système embarque ainsi de nouveaux pilotes pour de nombreux composants, notamment les GPU AMD, des puces réseau, le VIA VX900 ou encore l’ACPI pour la plateforme amd64.

OpenBSD 6.4 introduit également plusieurs nouvelles mesures de sécurité, dont la plus visible est la coupure de toutes les fonctions liées à l’enregistrement audio. Partant du principe que le système n’est pas destiné au grand public mais surtout à des serveurs, autant désactiver tout micro potentiellement présent. Le paramètre peut être réactivé via le kernel flag KERN_AUDIO_RECORD.

Plusieurs contre-mesures ont aussi été intégrées contre des failles de sécurité, notamment Retpoline de Google contre les attaques utilisant Spectre V2 (processeurs Intel). SpectreRSB, L1TF, Lazy FPU et Meltdown reçoivent également des techniques de protection, selon les plateformes matérielles.

Copié dans le presse-papier !

Après Huawei, c'est au tour d'un autre constructeur chinois d'être pénalisé. En cause, des méthodes visant à maximiser les scores, qui contreviennent aux règles du géant de la mesure de performances.

Dans un communiqué, on apprend que suite à des tests effectués par Tech2 et confirmés par les équipes d'UL, les Find X et F7 d'Oppo ont été retirés des résultats accessibles en ligne.

Le constructeur a donné la version habituelle dans de tels cas : pour une liste d'applications qui nécessitent un maximum de performances, le SoC fonctionne à pleine vitesse. C'est le cas des jeux, mais aussi des outils de mesure de performances.

Si une application n'est pas dans la liste, un bridage est mis en place au bout de quelques secondes si l'utilisateur n'interagit pas avec l'appareil. Une façon de faire qui ne se base pas sur les besoins de l'application, et contrevient donc aux règles d'UL.

Oppo dit travailler sur une solution. Dans le cas d'Huawei, cela avait été relativement rapide. Gageons que cela sera aussi le cas ici.

Copié dans le presse-papier !

Après le contournement, lui aussi simple, des protections de libSSH, c'est au tour de ce module populaire de faire parler de lui, et pas dans le bon sens.

Le CERT-FR explique que cette brèche « permet à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité ». Sont concernées toutes les versions antérieures à la 9.22.1 de jQuery File Upload exécutées sur un serveur Apache supérieur à 2.3.9 avec une configuration par défaut (AllowOverride None).

En effet, le support de .htaccess a alors été désactivé explique le développeur. « Sans la configuration dans le fichier .htaccess, autoriser l'upload de tous les types de fichiers permet l'exécution de code à distance ». La mise à jour 9.22.1 limite les types de fichiers aux seules images avec l'extension gif, jpeg et png.

Si vous êtes concerné, « appliquez le correctif dans les plus brefs délais car du code d'attaque est publiquement disponible et cette vulnérabilité est activement exploitée » exhorte le CERT-FR.

Cette vulnérabilité serait activement exploitée depuis trois ans selon le chercheur à l'origine de sa découverte, interviewé par ZDNet.com. Sachez également que, même si la faille est corrigée dans le module de Blueimp, ce projet a été forké plus de 7 800 fois, laissant de nombreux autres modules (et application l'intégrant) vulnérables.