BT
rss
Développement Suivre 11 Abonnés

Les vulnérabilités Spectre 1.1 et 1.2 révélées

par Sergio De Simone Suivre 19 Abonnés , traduit par Slim Ouertani Suivre 8 Abonnés   le  20 juil. 2018

Les deux nouvelles vulnérabilités exploitant des failles dans l'exécution spéculative des CPU ont été récemment révélées. Surnommées Spectre 1.1 et 1.2, elles sont toutes les deux des variantes de la vulnérabilité Spectre (Spectre-v1) d'origine et exploitent les stores spéculatifs pour créer des débordements de mémoire spéculatifs qui peuvent échapper aux mitigations de Spectre-v1.

Développement Suivre 11 Abonnés

Une vulnérabilité dans Git peut conduire à une exécution de code arbitraire

par Sergio De Simone Suivre 19 Abonnés , traduit par Nicolas Frankel Suivre 8 Abonnés   le  04 juin 2018

Une faiblesse dans la validation de nom de sous-modules Git permet à un assaillant distant d'exécuter du code arbitraire sur les machines des développeurs. De plus, un attaquant peut accéder à une section de la mémoire système. Les deux vulnérabilités ont déjà été corrigées dans Git 2.17.1, 2.16.4, 2.15.2 ainsi que d'autres versions.

Abonnés

Git continue d'améliorer la sécurité et l'interface utilisateur dans sa version 2.13

par Sergio De Simone Suivre 19 Abonnés , traduit par Nicolas Frankel Suivre 8 Abonnés   le  22 mai 2017

La dernière version de Git introduit de nombreux changements visant à améliorer son interface utilisateur tout en réparant deux vulnérabilités importantes.

Abonnés

Les Filtres de Désérialisation d'Objet portés depuis Java 9

par Abraham Marín Pérez Suivre 9 Abonnés , traduit par Nicolas Frankel Suivre 8 Abonnés   le  03 avr. 2017

La JEP 290, qui permet de filtrer les données entrantes lors de la désérialisation d'un objet et initialement destinée à Java 9, a été portée vers Java 6, 7 et 8.

Abonnés

Une Etude montre que le Web est rempli de Librairies JavaScript Obsolètes et Vulnérables

par Sergio De Simone Suivre 19 Abonnés , traduit par Nicolas Frankel Suivre 8 Abonnés   le  20 mars 2017

Une étude récente a révélé que 37% des 75K premiers sites Web sur Alexa présentent au moins une vulnérabilité et près de 10% en compte au moins deux. Peut-être plus choquant encore, 26% des 500 premiers sites d'Alexa emploient des librairies vulnérables.

Abonnés

Faille Zero-Day Java exploitable à distance au travers de la sérialisation

par Alex Blewitt Suivre 4 Abonnés , traduit par Simon Baslé Suivre 2 Abonnés   le  10 nov. 2015

D'après une analyse de sécurité récente par Foxglove Security, les applications utilisant la désérialisation pourraient être vulnérables à une faille 0-day. Cela inclut les librairies utilisant OpenJDK, ApacheCommons, Spring et Groovy. InfoQ enquête.

Abonnés

LinkedIn publie QARK pour révéler les Failles de Sécurité dans les Apps Android

par Abel Avram Suivre 11 Abonnés , traduit par Nicolas Frankel Suivre 8 Abonnés   le  07 sept. 2015

LinkedIn a publié récemment en Open Source QARK, un outil d'analyse statique ayant pour but de découvrir les failles de sécurité potentielles existantes dans les applications Android écrites en Java.

Abonnés

Conséquences d'HeartBleed : des développeurs d'OpenBSD commencent à purifier OpenSSL

par Jeff Martin Suivre 17 Abonnés , traduit par Paul Marois Suivre 0 Abonnés   le  14 mai 2014

Des développeurs d'OpenBSD commencent à purifier OpenSSL.

Abonnés

Patterns et Anti-Patterns de scalabilité et de disponibilité pour les Architectures orientées Cloud

par Jonathan Allen Suivre 615 Abonnés , traduit par Chris Woodrow Suivre 0 Abonnés   le  21 avr. 2014

Plus que toute autre chose, les choix d'architecture ont une importance majeure lors de la conception d'un système destiné à être hautement scalable et hautement disponible. En prenant les clients d'Azure comme exemple, Microsoft aborde les patterns et les anti-patterns qu'ils observent chez leurs clients Azure et les effets qu'ils ont sur les aspects de l'architecture système.

Abonnés

Heartbleed, Vulnérabilité Majeure d'OpenSSL

par Simon Baslé Suivre 2 Abonnés le  09 avr. 2014 1

Une vulnérabilité majeure a été découverte dans la branche 1.0.1 d'OpenSSL, librairie massivement utilisée par les serveurs sur Internet pour la sécurisation des échanges. Baptisée *Heartbleed* ("Coeur qui saigne"), celle-ci permet à l'attaquant de récupérer toutes sortes de données sensibles (logins, mots de passe et clés secrètes de certificats X.509 inclus).

Abonnés

Tester la sécurité en continu avec Gauntlt

par Manuel Pais Suivre 9 Abonnés , traduit par Nicolas André Suivre 0 Abonnés   le  10 déc. 2013

James Wickett, de l'équipe core de Gauntlt, a présenté à la conférence Velocity de Londres, un tutoriel sur les tests de sécurité dans le cycle d'intégration continu pour obtenir un premier retour du niveau de sécurité de l'application. Comme le nombre de livraisons des releases augmente avec le système de livraison continue, James a souligné l'importance de vérifier régulièrement la sécurité.

Abonnés

La sécurité avec Docker et les conteneurs

par Aslan Brooke Suivre 0 Abonnés , traduit par Julien Vey Suivre 0 Abonnés   le  10 oct. 2013

Jérôme Petazzoni, ingénieur principal à dotCloud, a étudié les avancées en termes de sécurité concernant Docker, par rapport aux autres technologies de virtualisation et de conteneurs, dans un récent article de blog "CONTAINERS & DOCKER: HOW SECURE ARE THEY?".

Abonnés

Deraillé: des Hackers exploitent une faille Rails vieille de plusieurs mois

par Jeff Martin Suivre 17 Abonnés , traduit par Simon Baslé Suivre 2 Abonnés   le  17 juin 2013

Les utilisateurs et administrateurs de sites web Ruby-On-Rails se voient ciblés par un *malware* qui exploite une vulnérabilité Ruby publiée en janvier 2013.

Abonnés

Java encore vulnérable, malgré les derniers patchs

par Charles Humble Suivre 940 Abonnés , traduit par Simon Baslé Suivre 2 Abonnés   le  22 mai 2013

Seulement quelques jours après les dernières corrections, le chercheur en sécurité Adam Gowdiak a trouvé une nouvelle vulnérabilité Java. Dans le billet d'annonce, Adam Gowdiak note que les failles de l'API Reflection affectent toutes les versions de Java SE 7 et "peuvent être utilisées pour réaliser un contournement total de la sandbox de sécurité de Java sur un système cible".

Se connecter à InfoQ pour interagir sur ce qui vous importe le plus.


Récupérer votre mot de passe

Follow

Suivre vos sujets et éditeurs favoris

Bref aperçu des points saillants de l'industrie et sur le site.

Like

More signal, less noise

Créez votre propre flux en choisissant les sujets que vous souhaitez lire et les éditeurs dont vous désirez suivre les nouvelles.

Notifications

Restez à jour

Paramétrez vos notifications et ne ratez pas le contenu qui vous importe

BT