Un koala à la rescousse de mes secteurs défectueux…

C’était une petite nuit d’hiver, glacée, les frimas envahissaient les rues et il faisait bon être à l’intérieur pour regarder à travers la fenêtre cette belle nuit étoilée. Tout se prêtait à une nuit tranquille et apaisante. Contemplatif de ma configuration travaillée au jour le jour depuis une bonne année, j’étais satisfait d’avoir pu, enfin, retrancher mon OS dans ses moindres recoins. Je m’apprêtais donc à sombrer avec délectation dans la monotonie d’un environnement bien trop stable.

Lire la suite de l’article

WordPress Ressource Exhaustion Exploit dans toutes les versions de WordPress

36. C’est le nombre de lignes de PHP contenues dans l’exploit que je viens de tester avec intérêt.
4. C’est le nombre de serveurs contenus dans un cluster de test au boulot et qui viennent tous de cesser de répondre pendant que je testais cet exploit. Démentiel. 01h25, c’est l’heure à laquelle j’écris ce billet: vous m’excuserez donc pour les fautes d’orthographes du billet cet article c’est un peu une « Breaking News ».

Lire la suite de l’article

Linux NULL pointer dereference due to incorrect proto_ops initializations, Cocorico !

Voici une faille sortie il y a maintenant trois jours (pas eu le temps de blogger le jour même) qui va assez facilement alimenter les propos de news0ft. Il expliquait avec intellect la fuite des cerveaux Français en matière de sécurité informatique pour des causes diverses et variées que je vous laisse découvrir dans l’article. Il cite en dehors de Kostya Kortchinsky, Nicolas Pouvesle, Matthieu Suiche , Nicolas Brulez, un certain Julien Tinnès :-) Et il s’avère que ce Julien Tinnès est l’un des co-découvreur de cette faille qui risque de bien dépanner quelques l33t hax0r, et de ravir tous les pen-testeurs de la planète au grand désespoir de leurs clients.

Lire la suite de l’article

Non je ne suis pas mort. Pas encore en tout cas :)

Presque 3 mois sans poster, j’ai fait une petite rechute. Tiens en parlant de chute, j’ai une bonne excuse, je me suis cassé l’olécrane lors d’une ballade à vélo. Ca explique (en partie) ma non-présence sur le blog :)

Cette fracture m’a encore appris plein de choses en medecine, je reste vraiment persuadé qu’il faut profiter de chacune des épreuves que la vie nous envoie pour se documenter au maximum dessus. Ainsi je suis devenu expert en brochage / cerclage / haubanage, pseudarthrose et plein d’autres choses amusantes.

Lire la suite de l’article

Comment rendre MySQL accessible depuis l’extérieur ? …

… Et si possible avec une gestion des accès utilisateurs cohérente. Voici une question qui revient souvent et pour laquelle certains webmasters sont un peu perdus. En effet, pour des raisons de sécurité évidente, MySQL n’autorise pas par défaut les connexions distantes. Ce billet s’adresse donc aux personnes ayant plusieurs serveurs/VMs à disposition et souhaitant rendre MySQL contactable à distance sur le 3306. Le but est donc d’avoir un serveur MySQL central que plusieurs autres machines pourront contacter. Les raisons sont nombreuses et variées: centralisation des bases, mise à disposition d’une machine au hardware correctement dimensionné, utilisation de sessions DB pour du SSO, authentification unifiée, etc…

Lire la suite de l’article

Vulnérabilité dans la création d’un .htaccess

Toujours lors de nos audits de sécurité, une faille particulièrement idiote qui revient très régulièrement et qui constitue un entry-point interessant est la mauvaise configuration d’une protection par le biais d’un htaccess. La plupart des administrateurs ou webmasters fouinent sur le net afin de créer leur .htaccess, et de fait, se retrouvent avec des configurations qu’ils n’ont pas tout à fait compris.

Lire la suite de l’article