Archives par étiquette : docker

Brèves (juin 2016)

Tape m’en cinq !

Nouveau type d’attaque, encore embryonnaire, mais amusante : des chercheurs ont créé une « table » simulant une interaction tactile sur des smartphones.

Pour l’instant, l’exploitation est difficile, car le paramétrage dépend de chaque type de smartphone, et l’utilisateur doit poser son téléphone sur la table (ou sur l’objet) contenant la surface spécialement créée à cet effet. Par ailleurs, des remédiations logicielles ou matérielles sont possibles, mais je trouve l’idée assez maligne.

Docker, API et configuration

Docker n’échappe pas à la grande mode des erreurs de configuration, comme sur S3 ou MongoDB.

Malheureusement, là aussi les conséquences peuvent être importantes : prise de contrôle des ressources de l’hôte, des conteneurs, installation de malwares ou de cryptomineurs, etc. TrendMicro1 détaille l’affaire, mais qui nous rappelle qu’il ne suffit pas de s’arrêter à « ça marche » quand on met en place un système informatique…

Traces

Je me doutais qu’il était possible de trouver beaucoup d’infos sur un système depuis l’extérieur. Des chercheurs ont placé la barre très haut2 rien qu’en JavaScript. Ce genre de bidouille, déjà prisée des départements marketing et des pirates, permet de tout savoir sur le navigateur qu’un quidam est en train d’utiliser pour visiter un site contenant ce(s) script(s).

Brèves (mai 2019)

Conteneurs Docker

Excellent : après la découverte d’une grosse boulette sur les distributions Alpine Linux, dont les images Docker permettaient l’accès root sans mot de passe (durant 3 ans !), les chercheurs ont poussé leur recherche dans les 1000 images les plus utilisées1. Au total 194 images (sur 1000) sont dans le même cas (root sans mot de passe).

Source

Responsabilité partagée

Bien que n’ayant pas tous les détails, voici un bel exemple d’illustration de ce qu’est la responsabilité partagée, quand on est dans le cloud.

Une base de données non protégée, hébergée chez AWS, a fait fuiter des millions d’informations sur des « influenceurs » d’Instagram2 (qui appartient à Facebook…) y compris des données privées. Or c’est au propriétaire de la base, une société nommée Chtrbox, qu’il appartient de sécuriser sa base de données.

Patch XP et Windows 7

Bien que le support de ces versions de Windows soit théoriquement terminé (au moins pour le grand public), Microsoft a sorti des patchs de sécurité sur ces produits en mai 20193456.

Pourquoi ?

En raison d’une faille de sécurité sur RDP (Remote Desktop Protocol) si grave qu’on redoute un nouveau WannaCry, rien de moins (à savoir un programme malveillant se propageant sous la forme de ver réseau).

Sources