Des chercheurs de Qualys ont découvert 3 failles de sécurité dans journald qui permet une escalade de privilège. Des PoC ont été fait et cela prend 10minutes sur i386 et 70minutes sur amd64. Attention donc, car tous les patchs ne sont pas encore dispo.
Ci dessous le résumé provenant de chez qualys:
========= Summary =========
We discovered three vulnerabilities in systemd-journald (https://en.wikipedia.org/wiki/Systemd):
– CVE-2018-16864 and CVE-2018-16865, two memory corruptions (attacker-controlled alloca()s);
… serait PhineasFisher et il à fait un post relativement détaillé sur le mode opératoire utilisé pour pénétrer le réseau de hackingteam.
Pour rappel hackingteam est une société italienne connue pour avoir fourni des logiciels de hack et de surveillance offensifs à des états avec pour cible des activistes, des journalistes etc (entre autre activités).
Environ 400Go de données de la hackingteam ont été leak l’été dernier suite à une attaque sur leur infrastructure.
C’est la revengeance du fils d’une vieille faille qui à été publiée la faille de sécurité référencée CVE-2010-3301 dans l’émutation 32 bits sur les kernel 64 bits. L’exploitation de cette faille permet a un utilisateur local de passer root sur le serveur.
Il s’agit en fait d’une faille déja connue et publiée en 2007 sous la reférence CVE-2007-4573 et corrigée dans le noyau 2.6.22.7. Une régression dans le noyau 2.6.27-rc1 via le commit d4d67150 fait réaparaitre la faille.
Une rumeur court à propos d’une faille inconnue dans le serveur OpenSSH.
Il est pour le moment conseillé de mettre à jour sa version d’openssh et de surveiller les updates.
La faille n’est pour le moment pas révélée, donc aucun fix n’existe à l’heure actuelle. Des machines ont été compromises… même si on ne sait pas si c’est lié a cette rumeur mieux vaut être vigilant… stay tuned 🙂
http://isc.sans.org/diary.html?storyid=6742
Astalavista.com et .net ont été piraté il a quelques heures. Voici la raison invoquée:
Other than the fact that they are not doing any of this for the
« community » but
for the money, they spread exploits for kids, claim to be a
security community
(with no real sense of security on their own servers), and they
charge you $6.66
per months to access a dead forum with a directory filled with
Le conflit qui oppose la Russie et la Géorgie se retrouve aussi sur internet.
Depuis le 20 juillet, des sites Georgiens sont la cible d’attaques DDOS d’envergure. Les sites du parlement, du président, des banques nationales on été défacés ou mis hors ligne.
Une organisation cybercriminelle Russe connue à été identifiée comme source des attaques. Pour le moment aucune relation n’est prouvée entre le groupe criminel Russe et le Gouvernement de Moscou.
mod_security est un firewall applicatif sous forme de module pour apache.
Sous gentoo, portage n’intègre pas encore la version de maintenace 2.5.6 du module mais comme les ebuilds mod_security sont bien faits, on ne va pas se casser la tête pour la mise a jour.
Il faut faire un overlay si ce n’est pas déjà fait:
mkdir -p /usr/local/portage/www-apache/mod_security/files/2.1.2 echo 'PORTDIR_OVERLAY="/usr/local/portage"' >> /etc/make.conf Après on fait l’ebuild pour la version 2.