Mises à jour critiques

Mise à jour de sudo à pousser ! Si vous autorisez des connections interactives sur vos serveurs n’attendez pas…

https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html

Mise à jour critique pour Nextcloud avec Nginx et PHP-FPM

https://nextcloud.com/blog/urgent-security-issue-in-nginx-php-fpm/

1 « J'aime »

Cette update concerne-elle les NGINX reverse proxy et / ou les backends Nginx avec Nextcloud ?

si vous avez utilisé nginx pour vos vhosts

C’est fait , merci à toi Dino.

On parle de WordPress en ce moment sur le forum, coïncidence, il fait aussi la une des récentes vulnérabilités:

Serious vulnerabilities have recently come to light in three WordPress plugins that have been installed on a combined 400,000 websites, researchers said. InfiniteWP, WP Time Capsule, and WP Database Reset are all affected.

https://arstechnica.com/information-technology/2020/01/researchers-find-serious-flaws-in-wordpress-plugins-used-on-400k-sites/

vue l’usine à gaz que c’est , cela étonne quelqu’un ?
on m’a, ici même, conseillé GRAV (voir pelican etc …) : je suis bien content d’avoir suivi ces conseils.
Merci à toi pour l’info.

1 « J'aime »

Hum GRAV = php… #dubitatif

#teamPelican #teamPython

1 « J'aime »

c’est pas faux.
#jesaispasprogrammer

1 « J'aime »

GRAV est un CMS « classique », le php s’execute sur le serveur…
Pelican est un générateur de site static : option vient attaquer mon site web qui n’a que du html/css

C’est TRES TRES différent

Pas besoin de savoir programmer pour utiliser Pelican #jdcjdr

1 « J'aime »

Et en même temps si je met Pelican dans les mains de ma maman, pas sûr qu’elle puisse publier quoi que ce soit…

Je précise qu’on est bien sur des failles de plugin en l’occurrence, pas de WordPress en lui-même.

oui comme d’hab.
Mais comme tout le monde (ou presque) installe au moins un plugin …

Geany (éditeur) ou Kate (éditeur), voir même notepad++ permettent de lancer un make avec la/les bonnes cibles. Il suffit donc de configurer pelican et l’éditeur et ça marche. Déjà testé, avec succès.

https://nvd.nist.gov/vuln/detail/CVE-2020-1930
https://nvd.nist.gov/vuln/detail/CVE-2020-1931

Mettez à jour SpamAssassin, score 8.1.

Merci (Niel oups …) Neil … , c’est fait.
passage en 1873408 (en effet il y a eu une update depuis hier ;-))

https://nvd.nist.gov/vuln/detail/CVE-2019-14271

Mettez à jour Docker, score 9.8.

Note: La vulnérabilité a déjà été patchée mais la dernière version de Docker CE (19.03.8) « améliore sa mitigation ».

Merci Niel, c’est fait.

Moi c’est Neil :upside_down_face:

Sorry , vraiment pas fait exprès.
Hum mais maintenant que tu le dis … lol.

Merci pour l’info en tout cas.

1 « J'aime »

Une mise à jour de sécurité d’OpenSSL sera publiée le 21 avril, sévérité HIGH
https://mta.openssl.org/pipermail/openssl-announce/2020-April/000170.html

Vulnérabilités dans Dovecot :

  • CVE-2020-10957
  • CVE-2020-10958
  • CVE-2020-10967

Potentiels crashs et/ou RCE.

Debian-security n’a pas encore intégré la nouvelle version, mais on peut espérer que cela ne saurait tarder.

https://dovecot.org/pipermail/dovecot-news/2020-May/000438.html

3 « J'aime »