Sécurité

Sécurité

Git security vulnerabilities announced

Le projet Git a annoncé des mises à jour de sécurité pour corriger sept vulnérabilités affectant toutes les versions antérieures. Les problèmes incluent des attaques potentielles via des sous-modules contenant des caractères CR, des injections de protocoles lors de la récupération de bundles, ainsi que des exécutions de code arbitraire à travers Gitk et Git GUI. Les utilisateurs sont fortement encouragés à mettre à jour vers la version 2.50.1 pour se protéger contre ces failles.

github.blog

gittcl/tkcve
Sécurité

Switching Password Hashing Algorithm in Spring Boot (The Right Way)

Cet article décrit l'importance de migrer vers un nouvel algorithme de hachage de mot de passe pour les applications Spring Boot, en raison de l'évolution des standards cryptographiques. Il explique comment faire cette migration de manière transparente pour l'utilisateur, sans nécessiter de réinitialisation forcée des mots de passe. Les points abordés incluent la nécessité de changer d'algorithme, la conception d'un mécanisme de connexion rétrocompatible et la manière de re-hacher les mots de passe lors des connexions réussies.

medium.com

spring boot
Sécurité

Black Box Exploitation of a Deserialisation Vulnerability

Cet article présente une étude de cas sur l'exploitation d'une vulnérabilité de désérialisation en PHP, réalisée dans un environnement à boîte noire, en utilisant une attaque par force brute. L'auteur explique comment identifier et exploiter cette vulnérabilité sans accès au code source, en testant des chaînes de gadgets connues à l'aide d'outils tels que phpggc et Burp Suite. Des recommandations pour éviter les vulnérabilités de désérialisation sont également fournies.

www.vaadata.com

phpjsonburp suite
Sécurité

Understand your software’s supply chain with GitHub’s dependency graph

L'outil de graphe de dépendances de GitHub permet de visualiser et de gérer les dépendances externes d'un projet logiciel, en mettant en avant les relations entre les différents packages. Cet outil aide à identifier les maillons faibles de la chaîne d'approvisionnement logicielle et à recevoir des alertes de sécurité relatives aux dépendances vulnérables. En activant le graphe, les développeurs peuvent également utiliser Dependabot pour des suggestions de correctifs automatiques, améliorant ainsi la sécurité des projets.

github.blog

dependabotopen sourcegithub
"
Sécurité

Reaction à la maison

Cet article traite de la mise en place d'un système de sécurité réseau à l'aide de Reaction, une alternative légère à Fail2Ban, qui analyse les logs pour bloquer les adresses IP indésirables. L'auteur explique comment le configurer sur un réseau domestique avec un routeur OpenWRT et comment gérer les règles IPv4 et IPv6 de manière efficace, ainsi que le partage des logs via rsyslog. Il mentionne également la création d'un helper en Go pour faciliter l'intégration avec nftables et d'autres outils de surveillance.

lord.re

nftablesgopython
"
Sécurité

Cashu : la petite monnaie du 21ème siècle ?

L'article explique le fonctionnement d'Anubis, une solution de protection utilisée par certains sites pour empêcher le scraping par des bots. Anubis intègre un système de Proof-of-Work similaire à Hashcash, rendant le scraping plus coûteux. Cela sert aussi à identifier les navigateurs sans tête pour améliorer la détection des bots. L'article met en garde contre des plugins comme JShelter qui peuvent interférer avec le fonctionnement d'Anubis.

www.fredix.xyz

javascript
"
Sécurité

Blog Stéphane Bortzmeyer: RFC 9773: ACME Renewal Information (ARI) Extension

Le RFC 9773 propose une extension ARI pour le renouvellement des certificats ACME, permettant aux autorités de certification de suggérer des dates de renouvellement plutôt que d'envoyer des rappels aux utilisateurs. Cela aide à éviter les pics de demandes de renouvellement et à rationaliser le processus. ARI est déjà intégré dans le serveur ACME de Let’s Encrypt.

www.bortzmeyer.org

acmepythonrfc
"
Sécurité

Blog Stéphane Bortzmeyer: Même les systèmes de censure ont des bogues

Cet article aborde les failles de sécurité dans le système de censure de l'Internet chinois, en se concentrant sur une vulnérabilité nommée Wallbleed. Cette faille réside dans la génération de fausses réponses DNS, permettant d'extraire des données de la mémoire d'un serveur. Les auteurs explorent la complexité de ce système et les divers mécanismes de correction mis en œuvre après la découverte de la faille. Ils examinent également la non-centralisation du dispositif de censure et ses effets sur la sécurité et la surveillance des données.

www.bortzmeyer.org

crfcdns
Sécurité

NEW Spatie Package: One-Time Passwords

Un nouveau package de Spatie permet la mise en place de mots de passe à usage unique, facilitant ainsi la sécurité et l'authentification des utilisateurs dans les applications web. Ce nouvel outil offre une solution simple pour la gestion des sessions sécurisées, tout en étant compatible avec différentes plateformes de développement web.

www.youtube.com

csshtmljavascript
Sécurité

Gestion pratique des certificats avec OpenSSL

Cet article traite de la gestion pratique des certificats TLS à l'aide d'OpenSSL. Il facilite la compréhension des différents formats de certificats (PEM, DER, PKCS#12) et fournit des instructions sur l'installation d'OpenSSL, la manipulation des certificats et des clés privées, ainsi que la génération de demandes de signature de certificat (CSR). Des exemples concrets sont fournis pour illustrer chaque étape du processus.

blog.idriss-code.fr

cryptographietlsopenssl