Category Archives: Networking

ISPConfig failles CVE-2015-4118, CVE-2015-4119

juin 21, 2015

A moitié endormi et encore dans un demi coma, j’ai pour (mauvaise) habitude de lire mes emails à mon réveil. Ce matin je m’aperçois que le CERT aurait émis un bulletin d’alerte critique concernant la célébrè application ISPConfig. Des vulnérabilités ont été signalées dans l’application. Notamment une injection SQL  dans le script  monitor/ show_sys_state.php pouvant être exploité pour manipuler des requêtes SQL par injection de code SQL arbitraire, ainsi qu’une faille de type cross-site request forgery (CSRF)  dans le script admin/users_edit.php permettant de détourner l’authentification des administrateurs. Et (merde), mince, je n’ai plus qu’a sortir de ma couette et vérifier mes serveurs :/

Read more

CVE-2015-0204 – Vulnérabilité FREAK SSL/TLS

mars 12, 2015

Découverte il y a quelques jours, (le 3 mars 2015 précisément) par des chercheurs français de l’INRIA, (cocorico) ainsi qu’une équipe de chez Microsoft,  une sérieuse faille SSL/TLS dénommée « Factoring RSA Export Key » vient de mettre à mal la sécurité de nombreux client openSSL (Android) et SSL/TLS (Apple Safari) et plein d’autres,  permettant a une attaque de type « Man In The Middle », de downgrader une connexion  RSA robuste vers un ‘export-grade’ RSA. Bordel ! Mais comment est ce possible un truc pareil ?

Read more

Protéger votre routeur cisco – hashcat mask – Part1

février 24, 2015

Chaque année sort le fameux sondage un peu miteux « des mots de passe les plus fréquemment utilisés ». Même si ce genre d’articles consternant ne nous apprend pas grand chose (mise à part que le king des mots de passe  : « 123456 » reste au top du palmarès avec 87 % d’utilisation sur un panel de 3.3 millions de mots de passe..) ( à qd même !), il est surtout l’occasion de rappeler qu’un bon mot de passe peut parfois être bien pire. oui oui :)

Read more

CVE-2015-0235 – vulnerabilité « GHOST »

janvier 28, 2015

Une faille de sécurité hautement critique dénommée GHOST vient d’être découverte dans la librairie linux « 

Read more

Wifiphisher Phishing de clé WPA

janvier 6, 2015

Wifiphisher est un outil de test d’intrusion WPA basé sur une attaque de type phishing. Bien loin des ‘classiques’ bruteforcing un peu bourrin qui ne fonctionnent presque jamais (à moins d’être particulièrement chanceux), l’auteur de cet outil (un chercheur Grec (George Chatzisofroniou)) a voulu automatiser la récupération de clé WPA à la sauce social engineering.

Read more

Share This Post :

ISPConfig failles CVE-2015-4118, CVE-2015-4119