du 28 juin 2018
Date

Choisir une autre édition

Une faille WordPress permet d'effacer des fichiers critiques sans droits particuliers

La brèche a été signalée par les chercheurs allemands de RIPS Technologies il y a 7 mois, sans action pour l'instant de la part de WordPress.

La vulnérabilité réside dans la fonction de suppression des miniatures d'images. Elle accepte les paramètres sans poser de question. Cette fonction peut être détournée pour effacer n'importe quel fichier de WordPress.

Un facteur limite toutefois la dangerosité de la faille : l'utilisateur doit avoir au moins le rang d'auteur pour déclencher les hostilités. La faille reste néanmoins active, et un auteur existant pourrait se faire dérober ses identifiants.

En supprimant le fichier wp-config.php, un pirate pourrait même forcer le site à revenir sur l'écran d'installation. Certaines actions lui seront impossibles, mais il pourrait rediriger le site vers une base de données qu'il contrôle sur un autre serveur.

En attendant que WordPress réagisse, les chercheurs proposent un patch à appliquer pour se prémunir de la faille.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Cette nuit, depuis le Space Launch Complex 40 (SLC-40) à Cape Canaveral, une fusée a décollé avec pas moins de 60 petits satellites à son bord.

Ils ont été largués à 440 km d'altitude, à charge ensuite pour eux de rejoindre leur orbite de croisière à 550 km. Il s'agit pour rappel du premier lancement en masse pour Starlink, un réseau mondial d'accès à Internet par satellite.

Pour cette mission, SpaceX a réutilisé un premier étage qui avait déjà volé par deux fois (en septembre 2018 et janvier 2019). Pour cette troisième mission, il est encore venu se poser sans encombre sur une barge en pleine mer.

Copié dans le presse-papier !

Le chiffre d'affaires sur l'année fiscale 2018/2019 est en hausse de 12,5 % sur un an. C'est la première fois qu'il dépasse le cap des 50 milliards de dollars.

Dans le détail, Lenovo est particulièrement satisfait des résultats de sa branche PC and Smart Devices qui affiche des revenus de 38,5 milliards de dollars. La branche Mobile Business Group (avec les smartphones Motorola) revendique pour sa part une hausse du bénéfice avant impôt de 464 millions de dollars. Elle est rentable pour la seconde fois consécutive.

Le constructeur affirme que son quatrième trimestre était « particulièrement solide, avec une amélioration des revenus et des bénéfices dans tous les secteurs ». Enfin, le bénéfice net justement est de 597 millions de dollars sur douze mois, alors que le groupe avait enregistré une perte de 189 millions l'année dernière.

Copié dans le presse-papier !

La 20th Century Fox a mis les petits plats dans les grands avec Tim Miller (Deadpool) à la réalisation et James Cameron à la production.

Arnold Schwarzenegger et Linda Hamilton reprennent leurs rôles respectifs du T-800 et Sarah Connor. MacKenzie Davis, Natalia Reyes, Gabriel Luna et Diego Boneta sont également au casting.

L'histoire est une suite directe à Terminator 2, ignorant les autres opus de la saga. Voici le pitch : « De nos jours à Mexico. Dani Ramos (Natalia Reyes), 21 ans, travaille sur une chaîne de montage dans une usine automobile. Celle-ci voit sa vie bouleversée quand elle se retrouve soudainement confrontée à 2 inconnus : d’un côté Gabriel (Gabriel Luna), une machine Terminator des plus évoluées, indestructible et protéiforme, un « Rev-9 », venue du futur pour la tuer ; de l’autre Grace (Mackenzie Davis), un super-soldat génétiquement augmenté, envoyée pour la protéger ».

« Embarquées dans une haletante course-poursuite à travers la ville, Dani et Grace ne doivent leur salut qu’à l’intervention de la redoutable Sarah Connor (Linda Hamilton), qui, avec l’aide d’une source mystérieuse, traque les Terminators depuis des décennies ». Bien évidemment, il n'est pas seulement question de sauver une personne, mais l'humanité tout entière.

Au cinéma le 23 octobre.

Copié dans le presse-papier !

Dans le cadre de sa conférence Satellite, GitHub a procédé à plusieurs annonces importantes, notamment dans le domaine de la sécurité.

L’un des principaux mouvements est ainsi le rachat de Dependabot et son inclusion directe dans le service. L’outil analyse les dépendances d’un code pour y chercher des failles connues. Auquel cas, les dépendances sont mises à jour automatiquement.

Un partenariat avec WhiteSource devrait également permettre une augmentation générale de la sécurité, avec recherche plus efficace de failles potentielles dans le code, statistiques pour l’entreprise sur la manière dont collaborent les employés, avis de sécurité, espace de discussion pour la correction des brèches nouvellement découvertes, etc.

Outre la sécurité, GitHub a dévoilé Sponsors, son propre concurrent de Patreon. Les internautes pourront ainsi financer directement des projets qu’ils apprécient. Les développeurs pourront de leur côté définir des paliers de soutien avec, évidemment, des récompenses différentes.

Pour être certain de créer un appel d’air, la première année du service ne coûtera rien aux développeurs intéressés. Les frais de paiement seront à la charge de GitHub, qui ne prélèvera aucune commission dans la limite des 5 000 premiers dollars.

Notez enfin que GitHub a annoncé la formation d’un conseil consultatif composé de plusieurs responsables d’importants projets open source. Objectif, rassembler et réfléchir aux soucis opérationnels rencontrés par les développeurs open source.

Copié dans le presse-papier !

Le 11 avril, l’ambassade d’Équateur à Londres mettait Julian Assange à la porte. Le fondateur de Wikileaks était alors immédiatement arrêté par la police britannique, qui le détient toujours.

Assange est actuellement réclamé par la Suède pour une affaire de viol et par les États-Unis pour violation de l’Espionnage Act.

C’est une première : jamais un tiers n’avait été inculpé pour cette raison, uniquement des sources directes. 17 chefs d’inculpation, pouvant valoir chacun une dizaine d’années de prison, pour un total de 175 ans.

Toutes les charges sont liées aux fameux câbles diplomatiques et informations militaires, obtenus grâce à Chelsea Manning. Des centaines de milliers de documents éventant des secrets d’État et ayant pu mettre la vie de certains agents en danger (point 40 dans le document).

Comme pointé notamment par le New York Times et Olivier Tesquet (journaliste chez Télérama), le procès d’Assange pourrait devenir celui de la presse : « il est devenu la cible d’une affaire qui pourrait ouvrir la porte d’une criminalisation des activités des journalistes américains d’investigation qui écrivent sur des sujets de sécurité nationale », indique ainsi le NYT.

John Demers, à la tête de la National Security Division du département de la Justice, assure que les États-Unis sont conscients du rôle vital des journalistes dans la démocratie.

Mais Assange n’est, selon lui, pas un journaliste : « Aucun acteur, journaliste ou autre personne responsable n’aurait volontairement publié les noms d’individus dont il ou elle savait être des sources humaines confidentielles en zone de guerre, les exposant aux dangers les plus graves ».

Qu’Assange soit ou non un journaliste, un procès porterait sur l’activité, non sur la qualification de la personne inculpée. « Les charges reposent presque entièrement sur la conduite menée tous les jours par les journalistes d’investigation. L’inculpation devrait être vue comme une attaque directe contre la liberté de la presse », affirme Jameel Jaffer, avocat membre du Knight First Amendment Institute de l'université de Colombia.

Il s’agit pour autant de charges, pas d’un procès. L’extradition vers la Suède ou les États-Unis est entre les mains du Royaume-Uni, qui n’a pas encore pris de décision.