J'apprend l'existence de l'association Alsace Digitale (bon, pas fan du "Digitale" je dois l'avouer) et de ce "camp de hacking" qui me semble bien fun !
Une bonne explication de Kr00k, la dernière faille en date de WPA2
Tiens, c'est rigolo ca "hijacking VPN-tunneled TCP connections."
In case you have your iDRAC available publicly ... (Hi NordVPN ;-) )
a website is vulnerable, if:
NGINX is configured to forward PHP pages requests to PHP-FPM processor,
fastcgi_split_path_info directive is present in the configuration and includes a regular expression beginning with a '^' symbol and ending with a '$' symbol,
PATH_INFO variable is defined with fastcgi_param directive,
There are no checks like try_files $uri =404 or if (-f $uri) to determine whether a file exists or not.
ah, le premier qui soit si clair, je cite :
This is not a vulnerability in openssh, so it doesn't affect the ssh that we all use every day. libssh2 is a client-side C library, which enables applications to connect to an SSH server. This also isn't a vulnerability in libssh, which is an unrelated C library which provides similar functionality to libssh2.
Bon, c'est pas comme si c'etait tous les jours, mais les certif CA généré par default avec ssh-keygen v8.1 ne seront plus compatible avec OpenSSH < 7.2
Bon, dans le doute, on patch sudo hein ;-)
Vu la réponse de PFsense sur twitter (see https://twitter.com/CVEnew/status/1176900464643887109 ) on va dire que c'est DISPUTED :)
J'espère que vous utilisez pas vBulletin. Joli POC cela dit :)
Edit: on patch https://threatpost.com/exploits-critical-vbulletin-rce-bug/148712/
Je suis pas contre qu'on me l'explique celle-là...
EDIT: Ils ont enlevé la note; tout le monde est affecté
Si vous utilisez Exim (pourquoi?) patchez !
and that's why I'm not using Bank app on my mobile ...
Désinstallez l'application CamScanner si vous l'avez sur votre mobile android !
PS: L'application notebloc (sur F-Droid) la remplace à merveille !
via https://sebsauvage.net/links/?RaYzMw
Attention aux utilisateurs de Steam, une élévation de privilège dans la version actuelle de Steam (hors beta, qui est corrigé). voir aussi https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15315