CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

  • Languages Disponibles

  • Richard Stallman

  • Le Logiciel Libre

  • Priorité au Logiciel Libre

  • L’ Agenda du Libre région PACA

  • Articles récents

  • Le Manchot

  • Écoutez

  • EricBlog

  • Toolinux

  • Mastodon CercLL

  • Méta

  • Galerie Photo, Diaporama

  • Priorité au Logiciel Libre!

  • AIOLibre

  • créer un sondage

  • Un éditeur de texte collaboratif en ligne libre

  • Communication collaborative

  • Environnement de listes de diffusion

  • Framatalk Visioconférence

  • Herbergement d’images

  • Suivez nous sur Diaspora

  • Ordinateur recyclé sous Debian

  • Nombres de visites sur ce site

    • 73 417 Visites
  • Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 198 autres abonnés

  • RSS CERCLL

  • Archives

Posts Tagged ‘Faille’

Firefox 72 : nouveautés et correction d’une faille importante

Posted by CercLL sur 13 janvier 2020

Début d’année chargé pour Mozilla, avec une nouvelle version (rapidement corrigée) du navigateur Firefox, suite à la découverte d’une faille. La version 72(.0.1) est disponible pour Linux, Windows et macOS. Résumé des nouveautés.


C’est la première mise à jour de Firefox en 2020. L’édition 72 du navigateur web est disponible pour les principaux systèmes d’exploitation. Attention, la version la plus récente (corrigée d’une faille importante) est 72.0.1.

Nouveautés de la version 72

La mode d’affiche picture-in-picture (PIP) n’est plus la chasse gardée des systèmes Windows. macOS X et Linux en profitent également.

Mozilla intègre de nouvelles fonctionnalités de protection des données, notamment le blocage par défaut des scripts de capture d’empreintes numériques. Cet outil vient renforcer l’arsenal déjà présent, notamment les bloqueurs de cookies et de traqueurs.

Autre nouveauté pratique – quitte à ce qu’elle fâche nombre d’éditeurs de site web – : la possibilité de bloquer les demandes d’autorisation de notifications dans Firefox. Les demandes seront désormais plus discrètes, nul ne s’en plaindra parmi les internautes souvent confrontés à une avalanche de boîtes de dialogue : RGPD, abonnement à une newsletter, coupons et notifications.

Télécharger Firefox 72

La récupération de la mise à jour de Firefox est toujours aussi simple – elle a peut-être même été effectuée automatiquement – : il suffit de vous rendre dans le menu Aide puis de cliquer sur À propos de Firefox.

Si c’est une nouvelle installation, rendez-vous sur cette page.

Une faille critique déjà corrigée

La première version 72 proposée début janvier comportait une faille de sécurité importante de type « 0 Day ». La CISA, qui est l’agence de sécurité informatique des États-Unis, avait alterté la Fondation Mozilla, qui a depuis fourni une version corrigée estampillée 72.0.1 (ou 68.4.1 pour la version entreprise, Firefox ESR).

Source toolinux.com

Posted in CercLL | Tagué: , , , , , , | Commentaires fermés sur Firefox 72 : nouveautés et correction d’une faille importante

Linux, Unix : importante faille dans les VPN, avec injection de données et vol de session

Posted by CercLL sur 10 décembre 2019

Linux, Unix : importante faille dans les VPN, avec injection de données et vol de session

Elle porte la référence CVE-2019-14899 et pourrait causer de gros dégâts. Ubuntu 19.10, Fedora, Debian 10.2, Manjaro 18.1.1, Arch 2019.05, FreeBSD, OpenBSD… la liste des distributions touchées est longue.

De manière générale, elle concerne tous les systèmes utilisant la configuration par défaut de systemd sorti après le 28 novembre 2018. En cause, le changement d’un paramètre rp_filter de « strict » à « loose »… avec des conséquences en cascades.

« Cette vulnérabilité affecte la plupart des distributions Linux et des systèmes d’exploitation Unix comme FreeBSD, OpenBSD, macOS, iOS, et Android et permet à un attaquant présent dans le réseau local de déterminer si un autre utilisateur est connecté à un VPN, l’adresse IP virtuelle qui lui a été attribuée par le serveur VPN, et s’il y a ou non une connexion active à un site Web donné », explique le portail de cybersécurité des systèmes de santé qui reprend la publication sur Seclists de William J. Tolley, Beau Kujath et Jedidiah R. Crandall.

Le portail ajoute : « De plus, l’attaquant pourrait déterminer les numéros des séquences et d’acquittements des sessions TCP en comptant les paquets chiffrés et/ou en examinant leur taille. Cela lui permet d’injecter des données dans le flux TCP et de voler ces sessions. Ces vulnérabilités concernent OpenVPN, WireGuard et IKEv2/IPSec, mais potentiellement aussi d’autres technologies VPN ».

Les chercheurs donnent plusieurs pistes permettant de limiter les dégâts, notamment activer le reverse path filtering et mettre en place le filtrage Bogon.

Source nextinpact.com

Posted in CercLL | Tagué: , , , , | 1 Comment »

 
%d blogueurs aiment cette page :