Les administrateurs Linux ont un bogue du noyau CVSS 10 à résoudre • The Register
Joyeux Noël, administrateurs système Linux : voici une vulnérabilité du noyau avec un score CVSS de 10 sur votre serveur SMB de vacances qui permet l’exécution de code utilisateur distant non authentifié.
Oui, ce n’est pas bon, et une note de 10 n’est pas rassurante. Heureusement pour les administrateurs système qui recherchent plus de cognac à verser sur ce lait de poule, cela ne ressemble pas vraiment à un gâchis.
Découverte par le groupe de recherche sur les vulnérabilités de l’équipe Thalium de la société aérospatiale française Thales Group en juillet, la vulnérabilité est spécifique au module ksmbd ajouté au noyau Linux dans la version 5.15. La divulgation sera tenue de manière responsable jusqu’à ce qu’un correctif soit publié.
Contrairement à d’autres serveurs SMB populaires pour Linux, qui s’exécutent dans l’espace utilisateur, ksmbd s’exécute dans le noyau. Cela a déclenché des sonnettes d’alarme parmi certains utilisateurs discutant de sa fusion l’année dernière.
SerNet, une société informatique allemande qui propose sa propre version de Samba, déclare dans un article de blog que ksmbd est génial, mais dit qu’il est un peu immature. De plus, l’équipe Samba + de SerNet a déclaré dans un article de blog que le coût de l’ajout d’un serveur SMB à l’espace du noyau ne valait peut-être pas le risque de “presser le dernier morceau de performance du matériel disponible”.
Développée par Samsung pour implémenter SMB3 côté serveur avec des performances optimisées et une empreinte réduite, la vulnérabilité ksmbd pourrait conduire un attaquant à fuir la mémoire d’un serveur SMB, similaire à l’attaque Heartbleed.
Heureusement, si vous n’exécutez pas le “module ksmbd” expérimental “de Samsung”, comme l’explique Shir Tamari, chercheur en sécurité. décrit c’est sur Twitter, et en vous en tenant à Samba, vous êtes complètement en sécurité.
« ksmbd est nouveau ; la plupart des utilisateurs utilisent encore Samba et ne sont pas affectés. Fondamentalement, si vous n’utilisez pas de serveurs SMB avec ksmbd, profitez de votre week-end », a déclaré Tamari sur Twitter.
Selon la Zero-Day Initiative, qui a révélé la vulnérabilité ksmbd, la faille use-after-free existe dans le traitement des commandes SMB2_TREE_DISCONNECT. Selon ZDI, le problème est dû au fait que ksmbd ne valide pas l’existence d’objets avant d’effectuer des opérations dessus.
Pour les utilisateurs de ksmbd, il existe une solution autre que de passer à Samba : la mise à jour vers la version 5.15.61 du noyau Linux, publiée en août, ou une version plus récente.
Cette mise à jour du noyau a également corrigé plusieurs autres problèmes de ksmbd : une lecture hors limites pour SMB2_TREE_CONNECT, qui, selon la note de mise à jour, pourrait permettre aux demandes non valides de ne pas être des messages authentifiés, et une fuite de mémoire dans smb2_handle_negotiate entraînant une corruption de la mémoire. libéré.
Esquivez les “grift cards” en dépensant cet argent de vacances maintenant
De nombreux kits prêts à l’emploi pour les pirates informatiques potentiels peuvent être trouvés sur le dark web ; Une tendance récemment remarquée par l’équipe de Cybersixgill est que les générateurs de cartes-cadeaux non seulement devinent les numéros de cartes, mais vérifient également leur validité par milliers.
Comme les craqueurs de mots de passe par force brute, les outils vendus en ligne devinent au hasard les chiffres des cartes-cadeaux émises par des sociétés telles qu’Amazon, Microsoft, Sony, Apple et d’autres, avec une vitesse et un niveau de précision différents en fonction de la prévisibilité de la séquence de numéros d’une carte.
Ces générateurs sont souvent associés à des “vérificateurs” qui exécuteront les numéros de cartes-cadeaux générés sur le site Web d’un émetteur pour trouver un solde ou un statut d’activation, qui est ensuite renvoyé au criminel derrière le clavier. .
Adi Bleih et Dov Lerner de Cybersixgill ont déclaré Le registre que l’utilisation d’un logiciel du type vendu sur le dark web pour générer, deviner et vérifier les numéros de cartes-cadeaux est assez facile pour qu'”un enfant avec Tor puisse le faire”, ont-ils déclaré.
Lorsqu’ils recherchent des cartes, les criminels ne recherchent pas toujours des cartes entièrement chargées, ou n’attendent même pas que des cartes non activées soient mises en ligne : ils n’ont plus de cartes avec un petit solde. “Ces cartes sont oubliées”, a déclaré Bleih, et les cybercriminels peuvent trouver des cartes de travail “par milliers” grâce à des outils faciles à trouver en ligne.
La morale de cette histoire de vacances ? Si vous recevez une carte-cadeau, dépensez-la rapidement et dépensez-la en totalité ; Si vous en donnez un, encouragez le destinataire à faire de même.
Meta obtient un léger coup de poignet de 725 millions de dollars sur Cambridge Analytica
Les détails du règlement par Meta des poursuites intentées contre les consommateurs à propos du scandale de Cambridge Analytica, qui a été initialement réglé en août, n’ont pas été divulgués, mais les documents déposés dans l’affaire cette semaine indiquent que le prix du mauvais comportement de Meta n’était que de 725 millions de dollars. .
Ne sortez pas les choses chères : seuls 25 % de cet argent iront aux 250 à 280 millions d’utilisateurs de Facebook inclus dans la classe, ont déclaré les avocats des plaignants. Reuter.
Cependant, les aigles juridiques disent qu’il s’agit du plus grand règlement de recours collectif en matière de confidentialité des données de l’histoire des États-Unis, et le plus que Meta a dû payer pour régler une affaire judiciaire.
Pour ceux dont l’esprit a été vidé par le scandale de la confidentialité des données sur Facebook, Cambridge Analytica était une société de données utilisée par la campagne de Donald Trump en 2016. Dans le cadre de ses opérations de collecte de données, elle a créé Cambridge Analytica d’applications Facebook qui collectaient des données de dizaines de des millions d’utilisateurs à leur insu.
725 millions de dollars peuvent sembler beaucoup d’argent, mais n’oubliez pas le contexte : les revenus de Meta au troisième trimestre de cette année seulement étaient de 27,7 milliards de dollars. Bien sûr, Meta a réduit ses effectifs et fait une hémorragie d’argent, mais qu’est-ce que 725 millions de dollars ? ®
