Catégorie : sécurité

Comment surveiller un contrôleur raid HP sous ESXi

Publié le par | sécurité

Pour reprendre une citation de Samul Smiles, mon approche en monitoring peut se résumer par « Un check pour chaque chose et toutes choses checkées« , et ce surtout s’il s’agit d’un contrôleur raid sur un serveur ESXi.  Le script original check_esx_wbem.py publié par David Legeret, ne permettait pas d’identifier les erreurs sur le contrôleur raid sur les serveur HP, ainsi j’ai … Continued

Lire la suite

Publication de vulnérabilité : Elastix unsecure extensions configuration download (MEDS-2010-03)

Publié le par | actualité | sécurité | VOIP

Bonjour, Voici un rapport de vulnérabilité pour la distribution Elastix, ça fait très longtemps que le fournisseur a été notifié, mais le fournisseur désirait attendre la version 2.0 d’Elastix avant la publication de cette vulnérabilité ne soit publiée (le correctif a été intégré dans la revision 1550 d’Elastix).  Pour ceux qui ont assisté à ma … Continued

Lire la suite

Securité sous AsteriskNow

Publié le par | actualité | sécurité | VOIP

Dans le monde de la téléphonie open source utilisant Asterisk, trois distributions majeures sont basées sur CentOS sont disponible : Trixbox, Elastix et AsteriskNow, j’ai plusieurs réserves envers la première (sécurité très discutable…), beaucoup moins pour la seconde et très peu pour la dernière qui est ma favorite dans le cadre de déploiement de téléphonie. Malheureusement, … Continued

Lire la suite

On trouve de l’humour partout! même dans les infrastructures d’hameçonnage !

Publié le par | sécurité

Malheureusement, il arrive souvent que les sites de phishing interceptent des informations nominatives et privées. C’est encore trop commun de faire une analyse post incident (suite à un spam, RFI ou autres) et de voir des données réelles. Par contre, il arrive quelques fois où l’arnaque est tellement évidente que plutôt que de retrouver des … Continued

Lire la suite

PHP – Persistent Database Password

Publié le par | sécurité

Is storing password in clear text inside a hash is a vulnerability or not ? To me, yes it’s a unsecure design bug and it should be fixed. But others think that untrusted binary extension shouldn’t run anyways and if a bad guys inject a rogue extensions, it’s already game over. So… here it’s. Persistent database password dump proof of concept.

Lire la suite