Box verre-1

Shellshock

le .

Depuis quelques jours, Internet bruisse d'une nouvelle vulnérabilité nommée Shellshock découverte dans bash par Stéphane Chazelas le 12 septembre 2014, et publiée le 24 septembre. Cette vulnérabilité repose sur une erreur dans l'utilisation de variables d'environnement associées à une définition de fonction shell. L'exploitation de la vulnérabilité donne à l'agresseur accès à un interpréteur de commandes sur le système visé, avec les droits associés au processus attaqué.

Encore un clou dans le cercueil

le .

Fragilité de SHA1

Après Microsoft il y a près d'un an, c'est au tour de Google de pousser au déphasage de l'algorithme SHA1. Comme nous l'avons écrit il y a quelques mois, il est plus que temps.

Il est encore difficile de produire des collisions de condensats SHA1. Le coût d'une collisions (en temps de calcul) est aujourd'hui estimé aux environs de 2 millions de dollars. Cela laisse un tel calcul hors de portée du commun des mortels, mais c'est tout à fait à la portée d'un état ou d'une organisation bien dotée.