"Kaspersky System Checker examine votre système afin de détecter les vulnérabilités, les logiciels malveillants et les virus.
Il dresse aussi une liste du matériel composant votre PC. Il détecte toutes les dernières menaces avant que celles-ci aient une chance d'infecter votre machine et
vous aide à maintenir à jour vos logiciels. Une fois l'analyse effectué, il compile une liste complète de tous les problèmes de performance ou de sécurité dans un
rapport que vous pouvez sauvegarder afin de le transmettre plus loin, comme par exemple à des helpers. Il vous permet également de désinstaller facilement des
applications rarement utilisées ou récemment installé directement à partir du programme..."

via http://www.libellules.ch/dotclear/index.php?post/2017/02/12/Kaspersky-System-Checker

Mettez à jour si ce n'est toujours pas fait !

Presque 3 ans... c'est marrant, j'ai l'impression que c'était hier ! Sinon, carton rouge pour les sociétés en faute. Article détaillé: https://www.shodan.io/report/DCPO7BkV

Liste des problèmes de sécurité et les vulnérabilités chez Qnap.
La récente faille qui vient de tomber est déjà listée, avec la solution temporaire à appliquer, ça fait plaisir.
Le flux RSS: https://www.qnap.com/event/security_rss/security_feed.xml

Faille sur les Qnap (QTS 4.2), qui exécuteraient les requêtes de mise à jour sans chiffrement, donc possibilité de faire un MITM puis d'uploader un firmware malicieux.
C'est donc quand même UN PEU contraignant pour un pirate mais pas insurmontable. L'article ne parle pas des autres constructeurs, je ne sais pas si leur fonctionnement est différent...

Ça fait quand même pas mal de failles dangereuses. Bon, à relativiser car par défaut, WordPress se met à jour tout seul comme un grand, c'est le cas chez moi. Si c'est n'est fait, mettez à jour !

J'étais apparemment passé à côté de cette nouvelle. C'est lamentable et alarmant.

via http://links.kevinvuilleumier.net/?3ueqeA

Super.

C'est con mais fallait y penser ! Un tuto/démo est dispo sur le lien.

Un patch correctif bêta a déjà été diffusé.
"Pour exploiter ce trou béant, il suffit pour cela d’ajouter à la suite de L’URL de connexion au service web un point-virgule suivi de la commande à exécuter : http://IP_ROUTEUR/cgi-bin/;COMMANDE"

Aïe...

via http://sebsauvage.net/links/?KDBpPA

Edit: le titre putaclic et FAUX a été changé par: "Linux Flaw allows Root Shell During Boot-Up for LUKS Disk-Encrypted Systems", ce qui est bien différent...

Un PoC de la dernière faille sous Linux.

L'article est technique et plutôt ciblé: ce qu'il faut retenir, c'est que ça va dans le bon sens et surtout que les failles ont été corrigées.
Lien vers le rapport si vous avez de la peine à vous endormir: https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit-Final-for-Public-Release.pdf

«Le chercheur Dawid Golunski a signalé deux vulnérabilités 0-Day jugées critiques au sein de MySQL.
Oracle n'a pas encore corrigé officiellement les failles et celles-ci peuvent mener à la compromission d'un serveur, notamment via une simple injection SQL.»

Une faille a été découverte dans Keepass.

"Une étude menée par les chercheurs de la société Duo Security ont montré que les outils de mise à jour préinstallés par les principaux constructeurs de PC,
Acer, Asus, Dell, HP et Lenovo, constituent des portes ouvertes à toutes sortes de vulnérabilités. L'absence de connexion chiffrée HTTPS par défaut est notamment pointée du doigt."

Expérience à suivre. Bien évidemment, il ne pourra jamais scanner tout le net. Juste une infime partie, à titre d'expérience.

Affaire à suivre: RDV le 12 avril pour connaitre la ou les version(s) touchée(s).

"Tout le monde s'indigne lorsqu'une faille comme Drown est publiée mais, en temps normal, personne ne s'en préoccupe.
La prévention est toujours le parent pauvre de la sécurité. L'opérationnel et la sécurité concrète n'intéressent personne."

Jamais entendu parler mais ça pue. Le titre est trompeur car en fait toutes les versions de Windows sont touchées... mais Windows 10 ne corrige certes pas.