Le 11 janvier 2024, l’éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab CE et EE.
La plus critique est la vulnérabilité CVE-2023-7028. Elle permet à un attaquant non authentifié d’envoyer un courriel de réinitialisation de mot de passe de …
Source de l’article sur CERT-FR
Le 10 janvier 2024, Ivanti a publié un avis de sécurité concernant ses produits ICS et IPS car ils sont affectés par deux vulnérabilités critiques.
La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l’authentification, tandis que la vulnérabilité CVE-2024-21887 permet …
Source de l’article sur CERT-FR
Le fuzzing est une technique d’ingénierie logicielle qui consiste à tester le logiciel en envoyant des données aléatoires pour trouver des erreurs. Essayons de comprendre les avantages et les inconvénients du test de fuzzing!
Black-box fuzzing is the most common type of fuzzing. It does not require any knowledge about the internal architecture of the software being tested. The tester only needs to provide the input data and observe the output. This type of fuzzing is suitable for testing applications with a user interface, such as web browsers, media players, and office applications.
White-box fuzzing requires knowledge about the internal architecture of the software being tested. The tester needs to understand the code and identify the areas that need to be tested. This type of fuzzing is suitable for testing complex applications, such as operating systems, databases, and network protocols.
La métaphore du test de la serrure est utilisée pour expliquer le fonctionnement de la technique de fuzzing. Cette métaphore compare le processus de fuzzing à un test pour vérifier si une serrure est ouverte ou fermée. Dans ce scénario, le tester est le cambrioleur et la serrure est le logiciel à tester. Le but du cambrioleur est d’ouvrir la serrure en essayant différentes clés. Dans le cas du fuzzing, le tester envoie des données aléatoires au logiciel pour voir si elles peuvent le faire planter ou révéler des vulnérabilités.
Le processus de fuzzing commence par la génération de données aléatoires. Ces données sont ensuite envoyées au logiciel pour tester sa robustesse. Si le logiciel fonctionne correctement, les données sont rejetées et le processus recommence avec des données différentes. Si le logiciel plante ou révèle une vulnérabilité, le tester peut identifier le problème et le corriger.
Le fuzzing est une technique très efficace pour trouver des bugs et des vulnérabilités dans un logiciel. Cependant, il est important de comprendre l’architecture du logiciel pour pouvoir l’utiliser correctement et efficacement. Une bonne compréhension de l’architecture du logiciel permet de cibler les zones à tester et d’améliorer les résultats.
Il existe plusieurs outils disponibles pour effectuer des tests de fuzzing. Certains outils sont spécialisés pour tester des applications spécifiques, tandis que d’autres sont plus génériques et peuvent être utilisés pour tester tout type d’application. Les outils les plus populaires sont Sulley, Peach Fuzzer, SPIKE, American Fuzzy Lop (AFL) et Boofuzz.
En plus des outils disponibles, il existe certaines pratiques recommandées pour effectuer des tests de fuzzing de manière éthique, efficace et sûre. Il est important de bien documenter le processus de test et d’informer les développeurs des résultats obtenus. Il est également important de ne pas divulguer les résultats du test à des tiers sans l’autorisation des développeurs. Enfin, il est important de respecter la loi et les règles en vigueur lors de l’exécution des tests.
Le fuzzing est une technique très puissante qui peut être utilisée pour trouver des bugs et des vulnérabilités dans un logiciel. Cependant, il est important de comprendre l’architecture du logiciel et d’utiliser les bons outils et pratiques pour obtenir les meilleurs résultats. Une bonne compréhension de l’architecture et une utilisation appropriée des outils et pratiques peuvent aider
Source de l’article sur DZONE
La sécurité de la chaîne d’approvisionnement logicielle est un sujet de plus en plus important. Il est essentiel de comprendre les risques et de mettre en place des mesures de sécurité adéquates.
Securisation des chaînes d’approvisionnement logiciel est devenu une considération de première classe – avec le codage et les pipelines CI/CD – lors du développement d’un produit logiciel. Trop de vulnérabilités ont été subliminalement introduites dans des produits logiciels et ont entraîné des violations catastrophiques pour nous, développeurs diligents, pour traiter la sécurité des chaînes d’approvisionnement en tant que dernière pensée. Les pratiques et principes fondamentaux énoncés dans ce Refcard fournissent une base pour créer des chaînes d’approvisionnement sûres qui produisent des livrables et des produits que les autres peuvent faire confiance.
La sécurisation des chaînes d’approvisionnement logicielles est devenue une considération de premier ordre – avec le codage et les pipelines CI / CD – lors du développement d’un produit logiciel. Trop de vulnérabilités ont été subliminalement introduites dans des produits logiciels et ont entraîné des violations catastrophiques pour nous, développeurs diligents, pour traiter la sécurité de la chaîne d’approvisionnement comme un afterthought. Les pratiques et principes fondamentaux décrits dans cette Refcard fournissent une base pour créer des chaînes d’approvisionnement sûres qui produisent des livrables et des produits que les autres peuvent faire confiance.
La sécurisation des chaînes d’approvisionnement logicielles est essentielle pour la sécurité des données. Les données sont à la fois un atout et un risque pour les entreprises. Les entreprises doivent être conscientes de la façon dont elles collectent, stockent et utilisent les données. La sécurisation des chaînes d’approvisionnement logicielles est un moyen de garantir que les données sont protégées et que les produits logiciels sont conformes aux normes de sécurité. Les pratiques recommandées comprennent la vérification des fournisseurs, l’utilisation de contrôles de sécurité et la mise en œuvre de processus de gestion des vulnérabilités.
Les outils et technologies modernes peuvent aider à sécuriser les chaînes d’approvisionnement logicielles. Les technologies telles que l’analyse statique du code, l’authentification à plusieurs facteurs et l’analyse des données peuvent être utilisées pour améliorer la sécurité des produits logiciels. L’utilisation de ces outils peut aider à identifier les vulnérabilités et à réduire le risque de violation des données. Les entreprises peuvent également mettre en œuvre des politiques et des procédures pour garantir que les produits logiciels sont conformes aux normes de sécurité. Enfin, il est important de surveiller régulièrement les chaînes d’approvisionnement logicielles afin de détecter les problèmes et de prendre les mesures nécessaires pour les résoudre.
La sécurisation des chaînes d’approvisionnement logicielles est essentielle pour assurer la sécurité des données. Les pratiques et principes décrits dans cette Refcard fournissent une base solide pour créer des chaînes d’approvisionnement sûres qui produisent des livrables et des produits que les autres peuvent faire confiance. Les outils et technologies modernes peuvent aider à améliorer la sécurité des produits logiciels et à protéger les données. Les entreprises doivent mettre en œuvre des politiques et des procédures pour garantir que les produits logiciels sont conformes aux normes de sécurité et surveiller régulièrement leurs chaînes d’approvisionnement logicielles afin de détecter les problèmes et de prendre les mesures nécessaires pour les résoudre.
La sécurisation des chaînes d’approvisionnement logicielles est devenue une considération essentielle lors du développement d’un produit logiciel. Trop de vulnérabilités ont été subliminalement introduites dans des produits logiciels et ont entraîné des
de développement et d’exploitation.
La DevSecOps moderne offre une intégration sécurisée des processus de développement et d’exploitation pour un flux de travail plus fluide et plus sûr.
L’architecture DevSecOps est un moyen de résoudre les problèmes liés aux méthodologies traditionnelles de développement logiciel, en particulier la séparation entre les équipes de développement et de sécurité. Cette séparation entraîne souvent la découverte de vulnérabilités de sécurité tard dans le cycle de développement, ce qui entraîne des retards et des réaménagements coûteux. DevSecOps vise à briser ces silos en intégrant des pratiques de sécurité dans l’ensemble du cycle de développement logiciel (SDLC), de la planification et du codage à la mise en œuvre et à la surveillance.
DevSecOps est une approche holistique qui permet aux équipes de développement et de sécurité de travailler ensemble pour intégrer la sécurité dans le développement logiciel. Les principes fondamentaux de DevSecOps sont l’automatisation, la collaboration et la responsabilisation. L’automatisation permet aux équipes de développement et de sécurité de créer des processus et des outils qui intègrent la sécurité dans le processus de développement. La collaboration permet aux équipes de travailler ensemble pour résoudre les problèmes et partager les connaissances. La responsabilisation permet aux membres des équipes de développement et de sécurité d’être responsables des résultats. Enfin, l’utilisation d’une architecture DevSecOps permet aux organisations de réduire leurs risques en matière de sécurité et d’améliorer leurs processus de développement logiciel.
.
L’agilité et la gestion continue des données sont deux aspects clés pour atteindre un succès durable. Découvrez comment ces deux piliers peuvent s’unir pour créer une synergie gagnante.
L’architecture Agile est plus qu’un simple mot à la mode; c’est une mentalité qui met l’accent sur l’adaptabilité, la collaboration avec le client et le développement itératif. Mais ce qui est moins discuté, c’est comment la gestion des données s’intègre à cette image. Les données sont le sang de toute application et une mauvaise qualité des données peut avoir un effet en cascade sur tout votre projet.
En intégrant Agile et la gestion des données, vous pouvez accélérer votre cycle de développement et améliorer la qualité et la sécurité des données. Les méthodologies Agile peuvent aider à améliorer la qualité des données en permettant aux équipes de travailler en collaboration pour identifier et corriger les erreurs de données. En outre, les méthodologies Agile peuvent aider à améliorer la sécurité des données en permettant aux équipes de travailler en collaboration pour identifier et corriger les vulnérabilités de données.
L’intégration d’Agile et de la gestion des données peut être réalisée en utilisant une variété de techniques. Les principes fondamentaux de l’architecture Agile peuvent être appliqués à la gestion des données pour améliorer la qualité et la sécurité des données. Par exemple, les principes Agile peuvent être appliqués à la gestion des données pour encourager l’utilisation d’une approche itérative, pour encourager une collaboration entre les équipes et pour favoriser une communication ouverte entre les équipes.
Les outils de gestion des données peuvent également être intégrés aux méthodologies Agile afin d’améliorer la qualité et la sécurité des données. Les outils de gestion des données peuvent être utilisés pour surveiller et contrôler l’utilisation des données, pour surveiller et contrôler l’accès aux données, pour surveiller et contrôler les modifications apportées aux données et pour surveiller et contrôler l’intégrité des données.
Enfin, les principes Agile peuvent être appliqués à la gestion des données pour encourager une approche axée sur les tests. Les tests peuvent être utilisés pour vérifier la qualité et la sécurité des données avant qu’elles ne soient mises en production. Les tests peuvent également être utilisés pour vérifier que les modifications apportées aux données n’ont pas d’impact négatif sur les performances ou la sécurité des applications.
En intégrant Agile et la gestion des données, vous pouvez accroître l’efficacité de votre cycle de développement tout en améliorant la qualité et la sécurité des données. En appliquant les principes Agile à la gestion des données, en int
Source de l’article sur DZONE
Les vulnérabilités de sécurité sont un problème majeur dans CasaOS. Nous allons examiner les différentes façons dont ces problèmes peuvent être résolus.
## Dans le cadre de notre effort continu pour améliorer notre technologie Clean Code et la sécurité de l’écosystème open-source, notre équipe R&D est toujours à l’affût de nouvelles vulnérabilités de sécurité 0-day dans des logiciels populaires.
To ensure the security of our users, we conducted a thorough testing process to identify and fix the vulnerabilities. We followed the industry standard for testing and security protocols, including static and dynamic analysis, fuzzing, and penetration testing. We also collaborated with the CasaOS team to ensure the security of their product.
Dans le cadre de nos efforts continus visant à améliorer notre technologie Clean Code et la sécurité de l’écosystème open-source, notre équipe R&D est toujours à la recherche de nouvelles vulnérabilités de sécurité 0-day dans les logiciels les plus répandus.
Récemment, nous avons découvert deux vulnérabilités critiques dans une solution de cloud personnelle nommée CasaOS. CasaOS peut être installé sur n’importe quelle machine grâce à Docker et est livré avec des périphériques NAS pour les utilisateurs finaux tels que le ZimaBoard ou le X86Pi. Les utilisateurs déploient CasaOS pour stocker leurs données personnelles sur des appareils qu’ils peuvent faire confiance et y accéder depuis n’importe où.
Pour assurer la sécurité de nos utilisateurs, nous avons mené un processus de test approfondi pour identifier et corriger les vulnérabilités. Nous avons suivi les normes de l’industrie pour les tests et les protocoles de sécurité, y compris l’analyse statique et dynamique, le fuzzing et les tests d’intrusion. Nous avons également collaboré avec l’équipe CasaOS pour assurer la sécurité de leur produit.
Le 27 septembre 2023, Zero Day Initiative (ZDI) a publié six avis de sécurité [1] concernant des vulnérabilités de type zéro-jour affectant les versions antérieures à 4.96.1 ou 4.97 de l’agent de transfert de courriels (Mail Transfer Agent ou MTA) Exim. Le 1er octobre 2023, …
Source de l’article sur CERT-FR
Le test de pénétration d’application Web est une méthode pour vérifier la sécurité des applications Web. Découvrez comment cela fonctionne !
1. Identifying the target application and its environment.
2. Gathering information about the target application.
3. Identifying potential vulnerabilities.
4. Exploiting the identified vulnerabilities.
5. Documenting the results and providing recommendations.
Le test d’intrusion des applications web, également connu sous le nom de test de sécurité ou de test d’intrusion, est une évaluation organisée de la sécurité d’une application web afin d’identifier les expositions et les faiblesses qui pourraient être exploitées par des acteurs malveillants. L’objectif principal du test d’intrusion est d’évaluer de manière proactive la posture de sécurité d’une application web et d’identifier les vulnérabilités potentielles avant que des attaquants ne puissent les exploiter.
Pendant un test d’intrusion d’application web, des professionnels de la sécurité qualifiés, connus sous le nom de testeurs d’intrusion ou de hackers éthiques, simulent divers scénarios d’attaque pour découvrir les failles de sécurité qui pourraient entraîner un accès non autorisé, des violations de données ou d’autres activités malveillantes. Le processus implique les points suivants :
1. Identification de l’application cible et de son environnement.
2. Recueil d’informations sur l’application cible.
3. Identification des vulnérabilités potentielles.
4. Exploitation des vulnérabilités identifiées.
5. Documentation des résultats et fourniture de recommandations.
Le test d’intrusion des applications web est un processus essentiel pour assurer la sécurité des logiciels et des systèmes informatiques. Les tests d’intrusion peuvent être effectués manuellement ou automatiquement à l’aide de logiciels spécialisés. Ces outils peuvent être utilisés pour rechercher des vulnérabilités connues et des failles de sécurité dans les applications web et les systèmes informatiques. Les tests d’intrusion peuvent également être effectués pour vérifier si les applications web respectent les normes et les réglementations en matière de sécurité.
Les tests d
Réparer les installations ratées des mises à jour cumulatives et de sécurité Exchange peut être un défi. Découvrez comment le résoudre facilement!
Pour corriger les serveurs Exchange contre les menaces connues et corriger les bogues et les vulnérabilités, Microsoft publie des mises à jour cumulatives et de sécurité régulièrement. Ces mises à jour fournissent également de nouvelles fonctionnalités, des correctifs de sécurité et divers autres correctifs. Habituellement, l’installation de ces mises à jour se déroule sans problème si elle est effectuée avec une planification et un processus appropriés. Cependant, parfois, vous pouvez rencontrer des problèmes pendant et après l’installation de ces mises à jour. Dans cet article, nous allons lister certains problèmes courants que vous pouvez rencontrer lors de l’installation des mises à jour CU et SU et les solutions possibles pour les résoudre.
Ci-dessous, nous avons mentionné certains problèmes courants que vous pouvez rencontrer lors de l’installation des mises à jour cumulatives et de sécurité sur le serveur Exchange, ainsi que leurs solutions.
Le premier problème que vous pouvez rencontrer est le logiciel antivirus qui bloque l’installation des mises à jour. Cela peut se produire si le logiciel antivirus est mis à jour avec des signatures qui bloquent le téléchargement et l’installation des mises à jour. Pour résoudre ce problème, vous devez désactiver temporairement le logiciel antivirus avant d’installer les mises à jour. Une fois l’installation terminée, vous pouvez réactiver le logiciel antivirus.
Un autre problème courant est une erreur liée au service Windows Update. Si le service Windows Update ne fonctionne pas correctement, vous ne pourrez pas installer les mises à jour. Pour résoudre ce problème, vous devez vérifier si le service Windows Update est en cours d’exécution et s’il est configuré pour démarrer automatiquement. Vous pouvez également exécuter la commande «net start wuauserv» pour démarrer le service.
Enfin, si vous obtenez une erreur disant que la mise à jour ne peut pas être installée car elle n’est pas compatible avec votre système, vous devez vérifier si votre système est à jour. Vous devez également vérifier si votre système a suffisamment d’espace disque disponible pour installer la mise à jour. Si vous ne disposez pas d’espace disque suffisant, vous devrez libérer de l’espace disque avant d’installer la mise à jour.
