Vous êtes ici

zimbra

Portrait de ivan

SSL/TLS : Sauvons les meubles

Les derniers mois auront été rudes pour TLS. Après le désormais célèbre bug Goto Fail de l'implémentation Apple et son petit cousin linuxien, une nouvelle catastrophe vient d'être annoncée, cette fois-ci pour OpenSSL (CVE-2014-0160 répondant au doux nom de HeartBleed). La bibliothèque cryptographique semble vulnérable depuis 2012 à un problème de débordement de tampon qui permet de lui faire cracher jusqu'à 64k de sa mémoire.

État des lieux, et on en profite pour faire du ménage dans la foulée.

Portrait de ivan

Postfix : envoi de plainte automatique en cas de scan

Ces derniers jours, j'ai remarqué une forte augmentation des scans à la recherche de serveurs mails mal configurés ("open relays"). Ces serveurs acceptent de transférer des courriels en provenance de n'importe qui (et non uniquement des utilisateurs enregistrés) : une aubaine pour les spammeurs qui peuvent les utiliser pour relayer leurs cochonneries.
Après avoir envoyé une ou deux plaintes à la main, j'ai compris que mon temps serait mieux employé à automatiser cette tache.

Portrait de ivan

Analyse et correctif du 0day Zimbra

Quand quelqu’un balance sauvagement un 0day sur ExploitDB, sans aucune concertation avec l’éditeur, ça me fait généralement marrer. Mais ce matin, quand j’ai ouvert les yeux et découvert qu’une faille Zimbra était tombée, j’avoue avoir traversé un instant de panique.
Puis j’ai rigolé.
Puis j’ai re-paniqué.

UPDATE (08 décembre) : Contrairement à ce qu'a annoncé l'auteur, il apparaît que le 0day n'en est pas un : le bug avait été corrigé dans les versions 7.2.2 et 8.0.2.

Subscribe to RSS - zimbra