Menu

Aucun menu défini dans le customizer.

Catégorie : faille

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, base de donnees, CVE-2025-14847, cybersecurite/failles-vulnerabilites, developpement/bases-de-donnees, faille, Sciences

MongoBLEED – La faille critique qui fait fuir la mémoire de votre MongoDB

Si vous utilisez MongoDB, accrochez-vous bien parce que là, c’est du lourd. Une faille critique baptisée MongoBLEED vient den effet ‘être découverte et elle touche à peu près toutes les versions de MongoDB sorties depuis 2017. Sept ans de versions vulnérables, c’est un chouette record, je trouve ^^.

Le problème avec cette CVE-2025-14847, c’est qu’elle exploite la compression zlib des messages. En gros, quand un attaquant envoie un message compressé mal formé avec des paramètres de longueur trafiqués, MongoDB se met à recracher des bouts de sa mémoire heap sans broncher. Et dans cette mémoire, on peut trouver des trucs sympa genre des mots de passe, des tokens d’authentification, des clés de chiffrement… Bref, le jackpot pour un attaquant.

Actus Automatisées, Actus Tech, Chine, cybersecurite/failles-vulnerabilites, faille, hardware-diy, KVM, Sciences

Suprise ! Un micro caché dans un petit KVM chinois à 30 balles

Je ne connaissais pas le NanoKVM mais c’est un petit boîtier KVM chinois vendu entre 30 et 70€ qui permet de contrôler un PC à distance. Sauf qu’un chercheur en sécurité slovène a découvert qu’il embarquait un micro planqué capable d’enregistrer tout ce qui se dit autour. Ça craint !

En effet,
Matej Kovačič
a ouvert son NanoKVM et y a trouvé un minuscule composant de 2×1 mm dissimulé sous le connecteur. Un truc tellement petit qu’il faut une loupe ou un microscope pour le dessouder proprement. Et pourtant, ce micro MEMS est capable d’enregistrer de l’audio de “qualité surprenamment élevée” comme il le dit et le pire c’est que l’appareil est fourni avec tous les outils nécessaires (amixer, arecord) pour l’activer via SSH et même streamer le son en temps réel sur le réseau.

Actus Automatisées, Actus Tech, faille, faille de sécurité, RCE, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

Redis – Une simple faille et c’est 75% du cloud qui devient le maillon faible

Comme vous le savez, Redis c’est un peu le champion du cache mémoire. C’est rapide, c’est efficace, tout le monde l’utilise mais surtout, ça tourne dans 75% des environnements cloud. En gros, 3 serveurs sur 4 dans le cloud l’utilise…

Cool ? Oui sauf quand une faille critique de sécurité pointe le bout de son nez ! Et pas une petite faille, mes amis ! Une faille notée 10 sur 10 en gravité, qui permet d’exécuter du code à distance sur les serveurs.