Mises à jour critiques

J’ouvre ce sujet afin que tout le monde puisse remonter les mises à jour critiques de sécurité disponibles sur des solutions FLOSS susceptibles d’être utilisées par des chatons.

Je commence avec celle de Gitlab, que je viens de voir sur le canal Matrix de librehosters :

Si quelqu’un connait un bon flux RSS ou une newsletter dédiée ça m’intéresse aussi :wink:

1 « J'aime »

Moi aussi je suis intéressé (sans avoir de solution)

Une RCE sur Dovecot très récemment, CVSS 7.5/10, vraiment grave, publiée le 29 août :

https://www.cvedetails.com/cve/CVE-2019-11500/

Une deuxième RCE sur Exim, CVSS 10/10, à mettre à jour immédiatement, publiée le 6 septembre :

https://www.cvedetails.com/cve/CVE-2019-15846/

À noter qu’on est à la deuxième vulnérabilité critique sur Exim en quelques mois, la dernière ayant été publiée le 25 juillet dernier (CVSS 10/10 encore).

Un bon RSS : https://www.zenk-security.com/rss.php
Je ne le suis plus depuis quelques années donc je ne sais pas ce qu’il vaut aujourd’hui, mais il devrait couvrir un large éventail d’applications.
Si quelqu’un connaît d’autres solutions, je suis preneur.

~ Neil

3 « J'aime »

merci du partage de ces infos!

J’en profite pour mentionner que (au moins) les principales distributions permettent de pouvoir mettre en place des mises à jour de sécurité automatisées lorsqu’il s’agit de paquets présents dans les dépôts.
unattended-upgrades pour les dérivés Debian, et yum-cron ou auter sous dérivés RHEL permettent d’arriver, sans tout forcément mettre à jour, à déployer tout ce qui est marqué comme patch de sécurité.

Typiquement les failles Dovecot avaient déjà été patchées sur notre infra. Par contre gitlab, qui ne vient pas des dépôts Debian, avait besoin d’une mise à jour manuelle.

Sous Debian (jamais cherché sous RHEL) il y a un fil RSS pour les MAJ de sécurité, que je lis de temps en temps pour vérifier que les MAJ auto fonctionnent toujours correctement.
En ce moment je vois qu’il y a un peu de tout : php7.3, docker, opendmarc, varnish, nginx… c’est festival :fireworks:

1 « J'aime »

Mise à jour de sudo à pousser ! Si vous autorisez des connections interactives sur vos serveurs n’attendez pas…

https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html

Mise à jour critique pour Nextcloud avec Nginx et PHP-FPM

https://nextcloud.com/blog/urgent-security-issue-in-nginx-php-fpm/

1 « J'aime »

Cette update concerne-elle les NGINX reverse proxy et / ou les backends Nginx avec Nextcloud ?

si vous avez utilisé nginx pour vos vhosts

C’est fait , merci à toi Dino.

On parle de WordPress en ce moment sur le forum, coïncidence, il fait aussi la une des récentes vulnérabilités:

Serious vulnerabilities have recently come to light in three WordPress plugins that have been installed on a combined 400,000 websites, researchers said. InfiniteWP, WP Time Capsule, and WP Database Reset are all affected.

https://arstechnica.com/information-technology/2020/01/researchers-find-serious-flaws-in-wordpress-plugins-used-on-400k-sites/

vue l’usine à gaz que c’est , cela étonne quelqu’un ?
on m’a, ici même, conseillé GRAV (voir pelican etc …) : je suis bien content d’avoir suivi ces conseils.
Merci à toi pour l’info.

1 « J'aime »

Hum GRAV = php… #dubitatif

#teamPelican #teamPython

1 « J'aime »

c’est pas faux.
#jesaispasprogrammer

1 « J'aime »

GRAV est un CMS « classique », le php s’execute sur le serveur…
Pelican est un générateur de site static : option vient attaquer mon site web qui n’a que du html/css

C’est TRES TRES différent

Pas besoin de savoir programmer pour utiliser Pelican #jdcjdr

1 « J'aime »

Et en même temps si je met Pelican dans les mains de ma maman, pas sûr qu’elle puisse publier quoi que ce soit…

Je précise qu’on est bien sur des failles de plugin en l’occurrence, pas de WordPress en lui-même.

oui comme d’hab.
Mais comme tout le monde (ou presque) installe au moins un plugin …

Geany (éditeur) ou Kate (éditeur), voir même notepad++ permettent de lancer un make avec la/les bonnes cibles. Il suffit donc de configurer pelican et l’éditeur et ça marche. Déjà testé, avec succès.

https://nvd.nist.gov/vuln/detail/CVE-2020-1930
https://nvd.nist.gov/vuln/detail/CVE-2020-1931

Mettez à jour SpamAssassin, score 8.1.