Paramètrer son firewall Gnu/Linux avec Iptables et Netfilter

La plupart des nouveaux utilisateurs de systèmes Gnu/Linux partent du postulat qu’utiliser Linux est bien plus sûr qu’un Windows, et que de fait, il n’est pas forcément nécessaire d’avoir un firewall, ou encore de passer du temps à paramétrer son système. Ils ont évidement tort, considérer Linux comme plus secure que Windows est une erreur, […]

Denial of service PHP sur toutes les versions inférieures à 5.3.1

Un advisory concernant les releases PHP antérieures à la version 5.3.1 a été publié ce vendredi. En effet, la 5.3.1 contient un patch pour un DoS ayant été reporté le 27 Octobre 2009. Le problème concerne le support de la RFC 1867 dans PHP (Formulaire d’upload HTML).

WordPress Ressource Exhaustion Exploit dans toutes les versions de WordPress

36. C’est le nombre de lignes de PHP contenues dans l’exploit que je viens de tester avec intérêt. 4. C’est le nombre de serveurs contenus dans un cluster de test au boulot et qui viennent tous de cesser de répondre pendant que je testais cet exploit. Démentiel. 01h25, c’est l’heure à laquelle j’écris ce billet: vous […]

Linux NULL pointer dereference due to incorrect proto_ops initializations, Cocorico !

Voici une faille sortie il y a maintenant trois jours (pas eu le temps de blogger le jour même) qui va assez facilement alimenter les propos de news0ft. Il expliquait avec intellect la fuite des cerveaux Français en matière de sécurité informatique pour des causes diverses et variées que je vous laisse découvrir dans l’article. […]

Non je ne suis pas mort. Pas encore en tout cas :)

Presque 3 mois sans poster, j’ai fait une petite rechute. Tiens en parlant de chute, j’ai une bonne excuse, je me suis cassé l’olécrane lors d’une ballade à vélo. Ca explique (en partie) ma non-présence sur le blog :) Cette fracture m’a encore appris plein de choses en medecine, je reste vraiment persuadé qu’il faut […]

Vulnérabilité dans la création d’un .htaccess

Toujours lors de nos audits de sécurité, une faille particulièrement idiote qui revient très régulièrement et qui constitue un entry-point interessant est la mauvaise configuration d’une protection par le biais d’un htaccess. La plupart des administrateurs ou webmasters fouinent sur le net afin de créer leur .htaccess, et de fait, se retrouvent avec des configurations qu’ils […]