Tag Archives: Anglais

Insecure Updates in Joomla Earlier Than 3.6

Par | Octobre 9, 2017

In early April I reported safety issues with the replace course of to the safety contact of Joomla. Whereas the problem has been fastened in Joomla 3.6, the communication course of was removed from ideal. The subject itself is fairly easy: Up till lately Joomla fetched details about its updates over unencrypted and unauthenticated HTTP… Lire Plus »

TLS Interception Thought Of DangerousVideo And Slides

Par | Octobre 9, 2017

On the latest Chaos Communication Camp I held a chat summarizing the issues with TLS interception or Man-in-the-Middle proxies. This was initially motivated by the occurence of Superfish and my very own investigations on Privdog, however I discovered prior to now month that this may be a far greater drawback. I used to be stunned… Lire Plus »

Zero Days And Cargo Cult Science

Par | Octobre 9, 2017

I’ve complained prior to now concerning the lack of rigorous science in giant elements of IT security. Nevertheless there is not any lack of stories and publications that declare to offer information about this space. Recently RAND Company, a US-based assume tank, printed a report about zero day vulnerabilities. Many individuals praised it, an article… Lire Plus »

Superfish 2.0: Nocifs des Certificats sur les ordinateurs Portables Dell Pauses Chiffré les Connexions HTTPS

Par | Octobre 5, 2017

tl;dr ordinateurs portables Dell sont préinstallés avec un certificats racine et une clé personnelle. Entièrement compromet la sécurité du cryptage des connexions HTTPS. J'ai fourni un enregistrement en ligne, les clients concernés doivent supprimer le certificat. Il semble que Dell n'a pas découvert quelque chose de la Superfish-scandale au début de cette année: Les ordinateurs portables de l'entreprise comprennent un préinstallé... Lire Plus »

Un Petit CANICHE Gauche dans GnuTLS (les anciennes Versions)

Par | Octobre 5, 2017

tl;dr Âgées GnuTLS variations (2.x) ne parviennent pas à examiner la primaire octets de padding dans CBC modes. De nombreuses distributions Linux sécurisé, avec Ubuntu LTS et Debian wheezy (oldstable) l'utilisation de ce modèle. Présent GnuTLS variations ne sont généralement pas touchés. Quelques jours dans le passé, un e-mail sur le ssllabs liste de diffusion attrapé mon compte.... Lire Plus »

L'Inconvénient avec l'Agrafage OCSP Et Devrait aliment de base Et Pourquoi de Révocation des Certificats Continue d'Être Cassé

Par | Octobre 5, 2017

Aujourd'hui, les serveurs OCSP Permet de Chiffrer ont été hors ligne pendant un certain temps. Cela a permis d'accroître de façon plus embêtant qu'il aurait du, comme un résultat de l', en principe, nous avons toutes les sciences appliquées pour faire face à un tel incident. Néanmoins résultant de défaillances dans la façon dont ils sont réalisés, ils... Lire Plus »

Quels Acquis aux états-unis Dans le SHA1 Autodérision Mess?

Par | Octobre 5, 2017

Avis Important: Après j'ai révélé ce contenu textuel Adam Langley a souligné que la principale hypothèse est incorrecte: Android 2.2 a vraiment pas de problèmes avec SHA256 des certificats signés par une. J'ai vérifié moi-même et dans l'émulateur Android 2.2 exemple que j'ai utilisé pour être en mesure de se joindre à un site web avec un SHA256 des certificats signés par une. Je... Lire Plus »

Safer Use Of C CodeWorking Gentoo with Tackle Sanitizer

Par | Octobre 5, 2017

Mise à jour: After I wrote this weblog put up it was an open query for me whether or not utilizing Tackle Sanitizer in manufacturing is a good suggestion. A current analysis posted on the oss-security mailing list explains intimately why utilizing Asan in its present type is nearly actually not a good suggestion. Having any suid… Lire Plus »

Don’t Depart Coredumps on Internet Servers

Par | Octobre 5, 2017

Coredumps are a characteristic of Linux and different Unix methods to research crashing software program. If a software program crashes, for instance on account of an invalid reminiscence entry, the working system can save the present content material of the application’s reminiscence to a file. By default it’s merely known as core. While that is… Lire Plus »

Pwncloud Dangerous Crypto Within the Owncloud Encryption Module

Par | Octobre 5, 2017

The Owncloud net utility has an encryption module. I first turned conscious of it when a press launch was printed promoting this encryption module containing this: Imagine you’re an IT group utilizing business normal AES 256 encryption keys. Shall we say that a vulnerability is discovered within the algorithm, and also you now want to… Lire Plus »