Le 12 juin 2023, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2023-27997. Celle-ci permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur des produits Fortinet qui proposent une fonctionnalité de VPN SSL.
Dans une …
Source de l’article sur CERT-FR
Conversion chaîne en énumération – CVE-2020-36620 (50 Go): Découvrez comment convertir une chaîne en énumération avec 50 Go de données à l’aide de CVE-2020-36620.
## Discuter de la vulnérabilité CVE-2020-36620 et voir comment un package NuGet pour convertir une chaîne en énumération peut rendre une application C# vulnérable aux attaques DoS
En tant qu’informaticien enthousiaste, je vais discuter de la vulnérabilité CVE-2020-36620 et voir comment un package NuGet pour convertir une chaîne en énumération peut rendre une application C # vulnérable aux attaques DoS.
Imaginons une application serveur qui interagit avec un utilisateur. Dans l’un des scénarios, l’application reçoit des données de l’utilisateur sous forme de chaîne et les convertit en éléments d’énumération (chaîne -> énumération).
Le package NuGet en question est conçu pour faciliter ce processus de conversion. Cependant, le package ne vérifie pas si la chaîne reçue est valide et peut donc être exploité par un attaquant pour provoquer un déni de service. Lorsqu’un attaquant envoie une chaîne qui n’est pas valide, le package tente de convertir la chaîne en énumération et cela peut entraîner une exception et un plantage de l’application.
Pour résoudre ce problème, nous devons vérifier que la chaîne reçue est valide avant de l’utiliser. Nous pouvons le faire en utilisant le code C # pour vérifier si la chaîne est comprise dans l’énumération. Si ce n’est pas le cas, nous pouvons alors retourner une erreur à l’utilisateur et éviter ainsi tout plantage de l’application.
En résumé, le package NuGet pour convertir une chaîne en énumération peut être exploité par un attaquant pour provoquer un déni de service. Pour éviter cela, nous devons vérifier que la chaîne reçue est valide avant de l’utiliser. Nous pouvons le faire en codant une fonction qui vérifie si la chaîne est comprise dans l’énumération et retourne une erreur à l’utilisateur si ce n’est pas le cas. En appliquant cette méthode, nous pouvons éviter les attaques DoS et assurer la sécurité de notre application.
En date du 14 mars 2023, lors de sa mise à jour mensuelle, Microsoft a indiqué l’existence d’une vulnérabilité CVE-2023-23397 affectant diverses versions du produit Outlook pour Windows qui permet à un attaquant de voler les authentifiants …
Source de l’article sur CERT-FR
The Common Vulnerabilities and Exposures (CVE) tells us the whole story just by its name — these are exposures and vulnerabilities that are common. But what happens when uncommon issues are discovered and exploited by attackers? What if attackers just want us to think they’d only exploit common issues and vulnerabilities?
Securing CVEs sounds like it should be the right place to start from. Exploring common vulnerabilities and exposure is where script kiddies start from, that’s what bots are exploiting, and none of us want to end up in the security hall of shame, set aside for organizations that were exploited and affected by ransomware, thanks to an unpatched CVE from months ago.
New research from the Pacific Northwest National Laboratory (PNNL) Data Sciences and Analytics Group shows that 25% of vulnerabilities appear on social media before the National Vulnerability Database (NVD). And it takes an average of nearly 90 days between a vulnerability being discussed on social media and the time it shows up in the NVD.
The reasons application vulnerabilities show up this often on social media before they get logged in the NVB are multiple. For developers just starting out in their career or those learning about a specific piece of software, they may not know that something is a vulnerability, that vulnerabilities need to be treated differently, and/or how to report vulnerabilities. In some cases, they may not know if the “issue” they found is a true vulnerability. Naturally, they look to the tools they regularly use when connecting with other developers—social media channels like GitHub, Twitter, and the various forums and discussions housed on Reddit.
