Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 2231 à 2240.
| < Les 10 documents précédents | Les 10 documents suivants > |
(30/01/2006 21:11:40)
Sécurité : Oracle et un chercheur s'écharpent sur un trou de sécurité signalé en octobre
Oracle et David Lichtfield, un chercheur en sécurité, continuent d'échanger des amabilités, alors que le géant des bases de données n'a toujours pas apporté de correctif à une faille décelée dans Oracle Application Server en octobre dernier. Oracle met en garde ses utilisateurs contre l'utilisation d'un correctif écrit par Lichtfield en affirmant que le patch du chercheur est susceptible de nuire au bon fonctionnement de plusieurs de ses logiciels. Le correctif a été posté par Litchfield sur la liste de diffusion BugTraq mercredi dernier. Oracle a été notifié de sa sortie, mais le juge inadéquat. Selon Duncan Harris, le patron de l'assurance-qualité du géant, "le correctif empêche le fonctionnement d'un nombre significatif de modules d'E-Business Suite". Lichtfield explique qu'Oracle a déjà produit plusieurs correctifs pour contrer la vulnérabilité qu'il a identifiée, mais aucune n'a fonctionné. La faille touche Oracle Application Server, mais aussi Oracle Internet Applications Server et Oracle HTTP Server. Elle concerne la passerelle PLSQL, qui permet à des utilisateurs web d'interagir avec des applications PLSQL sur le serveur de bases de données. Selon Lichtfield, la faille permet à un hacker d'interagir avec la base de données en contournant tous les pare-feux en place, ce qui est considéré comme une faille critique". Le chercheur explique qu'il serait trivial de produire un correctif et ne comprend pas pourquoi Oracle n'a pas bouché la faille lors de la publication la semaine passée de sa série de correctifs. Mais pour Harris, la faille en question est extrêmement difficile à combler et nécessite des tests de régression pointus. Oracle estime que dans la mesure où aucun exploit n'existe dans la nature pour aider à l'exploitation de la faille, la combler n'est pas prioritaire par rapport à d'autres failles. En cas d'apparition d'un exploit, l'éditeur pourrait de toute façon distribuer un correctif rapide, explique Harris [et tant pis pour les tests de régression, NDLA...]. Et Harris de pointer du doigt l'irresponsabilité de Lichtfield, en l'accusant implicitement de faciliter le travail de personnes mal intentionnées grâce à son code, qui pourrait servir de base à des casseurs pour produire un exploit... Rappelons que la semaine dernière, Gartner a jugé, par la voix de son analyste Rich Mogull, qu'Oracle ne pouvait plus être considéré comme un bastion de la sécurité informatique, quelque jours après la parution d'un correctif réglant 82 failles dans les produits de l'éditeur. Alors, "Unbreakable", ou "broken" ? (...)
(30/01/2006 17:38:28)Un spammeur US condamné à payer 5,3M$ à AOL
Seconde condamnation exemplaire d'un spammeur aux Etats-Unis : Christopher William Smith vient d'être reconnu coupable, par un juge du Minnesota, d'avoir fait transiter plusieurs milliards de pourriels via AOL. Il devra payer quelque 5,3 M$ au FAI. Le spammeur est actuellement en prison en attente d'un autre procès pour s'être livré illégalement au commerce de produits pharmaceutiques, notamment le viagra. Rappelons qu'en janvier dernier, une cour de justice de l'Iowa avait condamné un spammeur à payer 11,3 Md$ à CIS Internet Services, un FAI de la région. (...)
(26/01/2006 17:43:16)Microsoft expose le firewall bi-directionnel de Vista
La version CTP de Vista, publiée le mois dernier par Microsoft, renferme bien la première mouture d'un pare-feu bi-directionnel reposant sur la technologie Windows Filtering Platform, a déclaré Microsoft. Expliquant aux actuels testeurs, que la fonctionnalité reste particulièrement difficile à atteindre, à moins de configurations avancées. L'éditeur explique qu'à l'installation de Vista, aucun changement n'est à noter dans le centre de sécurité de l'OS. Pour accéder aux modules de gestion de trafic sortant du pare-feu, l'utilisateur doit lancer le parefeu à partir d'une console pour accéder aux options « Windows Firewall with Advanced Security ». Un pare-feu bi-directionnel filtre le trafic Internet entrant et sortant. L'actuel pare-feu de XP n'analysant que les flux entrants. En outre, la technologie Windows Filtering Platform devrait également faciliter la gestion des paramètres de sécurité pour les administrateurs. Notamment en autorisant le déploiement d'une politique de sécurité -par rôle et par identifiant- à un parc complet de machines via Active Directory. Par exemple, en privilégiant le numéro de port relatif à un unique messagerie instantanée. Rappelons que Microsoft a annoncé hier mercredi 25 janvier qu'il envisageait de livrer une béta de Vista en avril. (...)
(27/02/2006 17:17:09)Le président de Symantec démissionne
Gary Bloom, président de Symantec, aura quitté ses fonctions d'ici la fin mars, de même que son siège au conseil d'administration de l'éditeur. Gary Bloom a intégré les rangs de Symantec suite au rachat de Veritas. Gary Bloom a été PDG de Veritas de 2000 à 2002 et président de son conseil d'administration depuis 2002. Dans un communiqué, John Thompson, PDG de Symantec, a fait l'éloge de Gary Bloom, soulignant qu'il « a été un partenaire remarquable dans la fusion » mais indiquant que « l'intégration des équipes étant terminée, le moment est naturellement venu pour une transition ». Gary Bloom n'est pas le premier démissionnaire de Symantec. Il a été précédé par John Schwartz, président de l'éditeur jusqu'en septembre dernier, et par Greg Myers, directeur financier jusqu'en novembre. (...)
(23/01/2006 00:00:00)Identifier, suivre, contrôler
La traçabilité, l'état de l'art des solutions d'authentification (RFID, vidéo intelligente, biométrie, etc), au travers de témoignages d'entreprises, sous l'oeil expert de représentants de l'industrie agroalimentaire, de la logistique (portuaire notamment), de la sécurité (ministère de l'intérieur), du nomadisme en entreprise, de l'électronique de défense, du contrôle d'accès, du suivi qualité de production: tel est le menu de la journée d'information/formation proposée le 9 février à Laval, à l'école d'ingénieurs ESIEA, par la Meito, mission pour l'électronique, l'informatique et les télécommunications de l'Ouest, avec l'association Jessica France (promotion de l'électronique, programme Cap'Tronic) et l'agence régionale de développement Pays de la Loire. Pour info: www.meito.com (...)
(20/01/2006 17:39:19)Le marché du NAC en croissance de 1000 %
"Le marché du NAC atteindra 3,9 milliards de dollars d'ici 2008, à comparer aux marché actuel qui ne dépasse pas les 323M$" nous assure une récente étude d'Infonetics. Il, c'est le marché des équipements de sécurité et de contrôle d'accès, autrement dit les NAC. Avec, par ordre d'entrée en scène, Cisco, Microsoft et Trusted Computing. Cette monté en puissance du marché sera particulièrement remarquable sur le secteur des appliances, puisque dans ce créneau précis, la croissance devrait dépasser 3000 %. Les NAC "intégrés" à l'administrations réseau, pour leur part, progresseront de 1000% sur la période 2005/2008, et les SSL VPN pour NAC verront leurs ventes propulsées à plus de 790%. Les équipements "intégrés", précisent les statisticiens d'Infonetics, seront essentiellement des commutateurs Ethernet supportant 802.1x et capables de dialoguer avec les clients NAC et leurs serveurs de règles associés -les policies servers-. Cette vision "centrée réseau" que semble favoriser l'étude est proche de l'optique Cisco, plus éloignée de celle de Microsoft - elle-même reposant sur des serveurs de quarantaine plus que sur des équipements de commutation -. (...)
(20/01/2006 17:36:31)19 trous, dont 13 majeurs chez Oracle
C'est le temps des trains de rustines chez Oracle. Cette fois, la dernière livraison de bouche-trous destinés au SGBD "Unbreakable" compte 13 failles de première catégorie, considérées comme dangereuses donc, trois trous de second ordre et trois autres défauts de magnitude III sur l'échelle de gravité. Le nombre de problèmes dont l'exploitation est considéré comme "easy" et l'impact "wide" est assez élevé. La plupart des exploits possibles peuvent être lancés à distance, sans nécessairement disposer d'un accès sur la console locale. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |