Oyez, oyez jeunes et moins linuxiens ! Sachez-le, il y a sur votre Linux une faille de 12 ans d’âge qui permet à n’importe quel utilisateur lambda sans aucun droit, de devenir root.

Cette vulnérabilité se situe dans le composant pkexec de Polkit. Polkit est un framework qui gère les interactions entre les process avec privilèges et sans privilèges. À titre d’exemple, pkexec permet à un utilisateur de lancer des commandes en tant qu’un autre utilisateur, un peu comme avec sudo.

Référencée sous le doux nom de CVE-2021-4034 alias PwnKit, cette vulnérabilité fonctionne plutôt bien. Un proof of concept en C est même dispo ici. Et un autre en Python également téléchargeable là.

Je viens de le tester sur un Linux Mint et me voilà root.

Évidemment, l’heure est au patch, donc vous pouvez soit patcher directement Pkexec, soit mettre à jour votre système Linux. Debian, Ubuntu, Mint et dérivés ainsi que Red Hat ont déjà sorti les patchs. Mais si vous êtes sur un système un peu à la traine, vous pouvez en attendant utiliser cette commande pour neutraliser l’exploitation de pkexec :

chmod 0755 /usr/bin/pkexec

Également, si vous avez un doute concernant votre serveur et que vous voulez vérifier les logs afin d’être certain que la vuln n’a pas été exploitée, cherchez les chaines suivantes dedans :

The value for the SHELL variable was not found the /etc/shells file

The value for environment variable […] contains suspicious content.

Vous trouverez tous les détails techniques de cette vuln chez Qualys.

Bon courage !

Source

Je ne sais pas si vous jouez un peu avec la blockchain, mais si c’est le cas, vous connaissez forcément Etherscan, le site d’exploration de la blockchain Ethereum. Dessus on peut suivre toutes les transactions qui ont lieu et ainsi voir que 0x…. a envoyé 30 ETH à 0x… ou encore que 0x… a acheté un NFT de BAYC (Mais si, les singes tellement blindés de thunes qu’ils s’ennuient à mourir) à un autre 0x…

Bref, jusqu’à présent, tout le monde peut voir qui échange avec qui, mais jusqu’à présent, on ne pouvait pas vraiment communiquer. Mais l’équipe à l’origine d’Etherscan s’est dit que ce serait une bonne idée de créer un chat utilisant la blockchain.

Baptisé Blockscan Chat, c’est un chat off-chain qui utilise sa propre infra, et qui permet à des utilisateurs d’aller discuter avec d’autres utilisateurs en connaissant uniquement leur adresse de portefeuille Ethereum. Le service offre tout ce qu’un service de messagerie basique peut proposer comme la possibilité de bloquer les relous et recevoir une notif lorsqu’un message arrive ou de recevoir les messages sur différents appareils.

Alors d’un côté, je trouve ça cool, notamment pour les possesseurs de NFTs qui souhaitent négocier entre eux sans forcément divulguer leur identité ou pour les chercheurs en sécurité qui souhaitent faire part de leurs découvertes à un porteur de projet sans pour autant se mettre en danger. Puis ça permet d’éviter de passer par des plateformes centralisées comme Opensea ou ce genre de trucs.

Mais je trouve ça également incroyablement risqué, car il suffit d’un mauvais clic sur un lien malicieux ou d’une faille dans leur système pour que la personne qui reçoit le message tombe dans une arnaque ou divulgue son identité.

Bref, vous l’aurez compris, je suis assez mitigé sur Blockscan. Ça va être incroyablement pratique et en même temps c’est un vecteur d’attaque supplémentaire… Donc comme d’hab, c’est bien de l’utiliser, mais avec une extrême prudence.

Faites gaffe à vous.

Amis développeurs, saviez-vous que Microsoft proposait sur son site une machine virtuelle Windows 11 Entreprise qui vous est entièrement destinée ?

Conçue pour vous permettre de créer des applications Windows rapidement avec les derniers outils Microsoft, elle vous intègre en plus de Windows 11 avec le mode développeur activé, le SDK de Windows 10, une version récente de Visual Studio avec avec UWP (plateforme Windows universelle), le bureau .NET et Azure activés ainsi que l’extension Windows Template Studio.

Visual Studio Code est également de la partie et le sous-système pour Linux est également présent avec Ubuntu installé par défaut. Sans oublier le terminal évidemment.

Cette machine virtuelle d’environ 20 Go est disponible pour VMWare, Hyper-V, Virtualbox ou encore Parallels et c’est gratuit.

À découvrir ici.

Fortement inspiré de Scratch, Le site Make & Code de Microsoft permet à tous ceux qui le souhaitent et notamment aux enfants, de découvrir la programmation.

Le site propose ainsi des jeux mais également des vidéos et des tutoriels qui utilisent leur plateforme MakeCode permet de concevoir principalement des jeux avec des briques.

Une fois que vous serez à l’aise avec tous ces blocs, vous pourrez passez ensuite directement en Python ou en Javascript et même mettre votre code sur du vrai hardware comme le Meowbit ou d’autres machines de ce style. Il y a même des modules pour apprendre à réaliser des mods pour Minecraft. Ils sont forts 🙂

C’est vraiment très cool pour les débutants qui veulent apprendre à créer des jeux ou pour les enfants et les parents qui veulent passer un peu de temps ensemble sur une passion ou une découverte commune.

Make & Code est disponible ici.

En novembre dernier, le CNES a rendu public un outil baptisé CARS pour Chaîne Automatique de Restitution Stéréoscopique. Derrière ce nom amusant, se trouve une technologie capable à partir de 2 images satellites d’un même lieu, prises depuis 2 points différents, de générer une vue 3D, c’est-à-dire avec des volumes.

Cette vue 3D est appelée un modèle numérique de surface (Digital Surface Models) ou encore DSM et permet de passer de vues satellites comme ça :

À un modèle 3D comme ceci :

Pouvoir appliquer ce genre de volume à des photos satellites permet par exemple de différencier une pelouse d’une forêt, de suivre l’apparition de nouveaux bâtiments en ville, de mesurer la hauteur de la végétation ou encore de surveiller le volume de minerais extraits de carrières à ciel ouvert.

Bref, beaucoup d’usage possible qui permet d’ajouter à de l’analyse de photos satellites, une variable de volume qui apporte énormément à la compréhension de l’image de surface.

L’outil fonctionne avec Docker et vous trouverez la doc ici.