PROJET AUTOBLOG

Korben

source: Korben

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Des failles 0day mettent à mal MySQL et il faudra patienter à poil dans la neige encore un mois avant d’avoir un correctif

mardi 13 septembre 2016 à 06:29

Alors là c'est craignos puisque 2 failles 0day assez critiques viennent d'être découvertes dans MySQL.

CVE-2016-6662 et CVE-2016-6663 permettraient à un attaquant de prendre le contrôle total de la base de données, et cela, peu importe la version de MySQL (5.7, 5.6, et 5.5) ou du fork.

Le chercheur Dawid Golunski n'a pas encore publié la CVE-2016-6663, mais en ce qui concerne la CVE-2016-6662, celle-ci permet d'injecter des paramètres dans la configuration de MySQL voire carrément d'utiliser un autre fichier de config. Pour arriver à cela, le hacker doit évidemment exploiter une injection SQL ou avoir un accès minimal à la base MySQL (via un phpmyadmin ou autre) et une fois ses modifications apportées à la config, il doit attendre que MySQL soit relancé.

La faille se situe dans le script mysql_safe qui est exécuté en root et même si des modules de sécurité sont déployés au niveau du noyau comme SELinux ou AppArmor, cela ne change rien.

En ce qui concerne les forks, MariaDB et PerconaDB, ils ont été patché. Par contre Oracle, informé depuis le 29 juillet ne fera rien avant le 18 octobre.

Pas cool, surtout que les patchs des autres peuvent permettre de retrouver la faille et donc de l'exploiter. Golunski a donc décidé de publier les détails du 0day ainsi qu'un proof of concept, pour informer le public et probablement forcer un peu la main à Oracle.

Mais en attendant le 18 octobre, il est possible de contourner le problème en faisant en sorte que les fichiers de config de MySQL n'appartiennent pas à l'utilisateur mysql et créer un faux fichier de config my.cnf appartenant à root mais non utilisé. Ce n'est pas l'idéal, mais c'est mieux que rien !

Cet article merveilleux et sans aucun égal intitulé : Des failles 0day mettent à mal MySQL et il faudra patienter à poil dans la neige encore un mois avant d’avoir un correctif ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Talkiepi – Des talkie walkie à base de Raspberry Pi

lundi 12 septembre 2016 à 17:03

Le maker Daniel Chote a mis en ligne un super tuto qui explique comment se fabriquer des talkies-walkies avec de l'impression 3D et des Raspberry Pi.

Ce projet nommé talkiepi ne fonctionne pas exactement comme un vrai talkie-walkie puisque les appareils communiquent en Wifi grâce à Mumble, un outil de VoIP bien connu des gamers. Mais le résultat est le même.

img_8925-2

img_8968

Niveau interface, des diodes et un bouton poussoir sont connectés au port GPIO du Raspberry pour donner des infos visuelles et déclencher la transmission de la voix.

Je trouve ça sympa comme projet DIY, même si j'en ferai plus des interphones sans fil que des talkies-walkies. À essayer chez vous si vous avez une grande maison et que votre famille aime bien s'y éparpiller.

Source

Cet article merveilleux et sans aucun égal intitulé : Talkiepi – Des talkie walkie à base de Raspberry Pi ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Phonosti.co – Régalez vous avec de la musique libre

lundi 12 septembre 2016 à 10:00

La musique sous licence libre a souvent cette image d'être une musique chiante, tout juste bonne à servir de fond sonore à un diaporama photos de vos dernières vacances au camping.

Mais c'est faux ! Au fil des années, les netlabels qui distribuent de la musique sous licence Creative Commons, se sont multipliés, diversifiés et la qualité a nettement augmenté.

On trouve maintenant de véritables albums de qualité dans tous les styles de musique. Mais ce n'est pas évident pour le néophyte de trouver des choses sympas à se glisser dans les oreilles. Heureusement, il y a Phonosti.co où des passionnés font un travail de sélection extra et partagent tout ça avec nous.

Screenshot 2016-09-03 12.08.58

J'ai par exemple découvert Madame Bert, les Secrètes Sessions, ou encore Naoise Roo.

A tester !

Cet article merveilleux et sans aucun égal intitulé : Phonosti.co – Régalez vous avec de la musique libre ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Mon agenda pour cette fin d’année (conférences)

vendredi 9 septembre 2016 à 15:18

À peine rentré de vacances et déjà un planning très serré. D'ailleurs, à ce propos, je vais durant cette fin d'année, participer à divers événements, ce qui est toujours l'occasion pour moi, de vous y croiser et de rencontrer de nouvelles personnes. Voici donc mon planning pour les semaines à venir.

Septembre - GEN4

screenshot-2016-09-09-14-29-15

Il s'agit d'un événement B2B pour tous les professionnels du numérique qui se déroulera du 22 au 23 septembre. Tables rondes, workshops, networkings, stands et bien sûr conférences sur de nombreux thèmes allant de la blockchain à la fintech en passant par WordPress ou l'e-commerce...

Et j'en tiendrai une le vendredi 23 septembre. Sur le programme, ils ont appelé ma conf "La sécurité des Internet". Surement un titre temporaire en attendant d'avoir la version finalisée de ma conf qui aura comme thème le Bug Bounty au service des entreprises.

Notez qu'avec le code promo "3.2.1...#GEN4", vous aurez le droit à 50% de réduc sur le prix des billets

Aussi, ce mois-ci, au salon e-commerce de Paris, bien que je ne pourrais pas y être, la Fevad (Fédération e-commerce et vente à distance) annoncera le 13 septembre, la sortie de son livre blanc consacré à la sécurité, et auquel j'ai participé. Donc si vous êtes dans le coin, allez les voir de ma part.

Octobre - Les Assises de la Sécurité

assises

Je vous en ai parlé l'année dernière et cette année encore, je pars à Monaco du 05 au 08 octobre, couvrir cet événement incontournable où se rassemblent tous les RSSI / CSO de France et d'ailleurs dans une excellente ambiance. Je couvrirai tout cela comme à mon habitude sur Snapchat / Twitter / Instagram et je serai bien sûr très dispo pour échanger avec vous, donc n'hésitez pas.

Notez que Guillaume, mon associé sur YesWeHack participera, lors de ces Assises, à une table ronde sur la crowd security.

Novembre - CyberSec 2016

screenshot-2016-09-09-14-33-43

Enfin en novembre (Du 1er au 3), je serai en Suisse, toujours avec Guillaume, au CyberSec 2016 qui chaque année regroupe les plus grands experts de la profession. Nous tiendrons une keynote le 2 novembre sur le thème de la crowdsecurity, et j'ai hâte d'y être car le programme à l'air génial (et j'adore la fondue suisse )) ! Il y aura aussi des workshops et un CTF alors soyez prêt apprendre plein de choses.

Cet article merveilleux et sans aucun égal intitulé : Mon agenda pour cette fin d’année (conférences) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

No Mario Sky – Un petit jeu pour passer le temps…

vendredi 9 septembre 2016 à 11:00

Aujourd'hui, c'est vendredi, et vous n'en voyez pas le bout ?

Alors voici un petit jeu pour vous dégourdir les phalanges. Il s'agit de No Mario Sky, un clone de Super Mario développé dans le cadre du concours LudumDare 36 (sur le thème des technologies anciennes).

1695-shot1-1472522125

Ça se joue avec les touches Z, X et les touches directionnelles et les niveaux sont générés aléatoirement, ce qui vous promet des heures et des heures de jeu jusqu'à l'heure de votre mort. Je ne vous en dit pas plus pour ne pas vous gâcher la surprise, mais c'est rigolo à tester en tout cas. Je me demande d'ailleurs si Peach peut vraiment être sauvée à la fin ?

Merci à Nicorominet pour le partage.

Cet article merveilleux et sans aucun égal intitulé : No Mario Sky – Un petit jeu pour passer le temps… ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.