Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Plusieurs vulnérabilités critiques dans Pagure permettent l'exécution de code à distance

2025-03-23
Plusieurs vulnérabilités critiques dans Pagure permettent l'exécution de code à distance

Des chercheurs en sécurité ont découvert plusieurs vulnérabilités critiques dans Pagure, la forge logicielle utilisée par Fedora, permettant l'exécution de code à distance (RCE). Une vulnérabilité provenait d'une injection d'argument dans la fonction PagureRepo.log(), permettant aux attaquants d'écrire dans des fichiers arbitraires et d'exécuter du code arbitraire. D'autres failles comprenaient la traversée de répertoire et la mauvaise gestion des liens symboliques. Ces vulnérabilités pouvaient être exploitées pour modifier les fichiers de spécification des paquets Fedora, introduisant potentiellement du code malveillant. Les attaquants pourraient même obtenir un contrôle total du serveur Pagure en écrasant le fichier `/srv/git/.bashrc`. Fedora a migré vers Forgejo pour résoudre ce problème, mais les vulnérabilités mettent en évidence des problèmes critiques dans la sécurité de la chaîne d'approvisionnement des logiciels open source.

Lire plus
(fenrisk.com)
Développement

Vulnérabilités de la chaîne d'approvisionnement des distributions Linux : Compromission en quelques jours

2025-03-19
Vulnérabilités de la chaîne d'approvisionnement des distributions Linux : Compromission en quelques jours

Des chercheurs ont découvert des vulnérabilités dans l'infrastructure logicielle des distributions Linux, permettant aux attaquants de compromettre des systèmes entiers en quelques jours. Contrairement aux attaques complexes de la chaîne d'approvisionnement ciblant les dépendances, cette recherche s'est concentrée sur l'infrastructure même des distributions, telles que Pagure de Fedora et Open Build Service d'openSUSE. En exploitant des vulnérabilités d'injection d'arguments, les attaquants pouvaient facilement contourner les contrôles de sécurité et injecter du code malveillant. Cela souligne les risques importants de sécurité de la chaîne d'approvisionnement auxquels sont confrontés même les grands projets open source, soulignant la nécessité d'audits de sécurité améliorés et de protections pour l'infrastructure logicielle.

Lire plus
(fenrisk.com)
Technologie vulnérabilités logicielles