TRACKFLAWPorte dérobée critique découverte dans XZ Utils
RedHat a alerté sur une porte dérobée dans XZ Utils, une bibliothèque de compression de données populaire, touchant les versions 5.6.0 et 5.6.1. La faille permet un accès à distance non autorisé au score CVSS de 10/10. Le code malveillant, bien caché et poussé par un acteur malveillant, visait à modifier le fonctionnement de SSH via systemd, exposant les systèmes à des risques d’accès non autorisés.
Vulnérabilités dans les serrures électroniques Dormakaba
Des failles dans les serrures RFID Dormakaba ont été découvertes et pourraient être exploitées pour accéder aux chambres d’hôtel. Les failles, nommées Unsaflok, ont été trouvées par des chercheurs et signalées en septembre 2022. Dormakaba a mis à jour 36 % des serrures concernées en mars 2024. Plus de trois millions de serrures dans 13 000 hôtels mondiaux sont concernées.
Vulnérabilité dans la commande “wall” de Linux
Une vulnérabilité (CVE-2024-28085) dans la commande “wall” de Linux (utilisée pour écrire un message sur les terminaux de tous les utilisateurs) nommée WallEscape, permet de divulguer des mots de passe ou de manipuler le presse-papiers sur certaines distributions. La commande “wall” pourrait être exploitée pour afficher un message arbitraire sur les terminaux des utilisateurs, exposant les systèmes à des risques de sécurité.
Cyberattaque contre la Fédération Française de Football
La Fédération française de football (FFF) a subi une cyberattaque majeure, résultant en la fuite de données personnelles de 1,5 million de licenciés. Le parquet de Paris a été informé de l’incident le 22 mars. Les informations dérobées comprennent noms, contacts, dates de naissance et affiliations, mais les données sensibles telles que les informations bancaires ou médicales n’ont pas été touchées. La FFF a réagi en collaborant avec la Cnil et en déposant plainte. Une enquête est en cours.