Probl�me bizarre ce matin

Jip�t� — Fri, 19 Dec 2025 11:37:54 GMT

Bonjour,

D'habitude j'ai �a, apr�s un ps ax :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
   ...
   1342 ?        Ss     0:00 /usr/sbin/cupsd -l
   1347 ?        Sl     0:00 package-update-indicator
   1364 ?        Ssl    0:00 /usr/libexec/colord
   1380 ?        Ssl    0:00 /usr/libexec/upowerd
   1395 ?        Ssl    0:00 /usr/libexec/gvfs-udisks2-volume-monitor
   1407 ?        Ssl    0:00 /usr/libexec/gvfs-afc-volume-monitor
   1413 ?        Ssl    0:00 /usr/libexec/gvfs-gphoto2-volume-monitor
   1418 ?        Ssl    0:00 /usr/libexec/gvfs-goa-volume-monitor
   1423 ?        Ssl    0:00 /usr/libexec/gvfs-mtp-volume-monitor
   1429 ?        Ssl    0:00 /usr/libexec/packagekitd
   1434 ?        Sl     0:00 /usr/libexec/gvfsd-trash --spawner :1.9 /org/gtk/gvfs/exec_spaw/0
   1458 ?        Sl     0:00 /usr/lib/menu-cache/menu-cached /run/user/0/menu-cached-:0
   1542 ?        Sl     0:00 lxterminal
   1545 pts/0    Ss     0:00 bash
   1629 pts/0    R+     0:00 ps ax

qui m'inspire confiance.
Le probl�me aujourd'hui c'est quand je lance le navigareur FireFox, car 3 fen�tres apparaissent en haut � droite de l'�cran :

qui n'inspirent pas du tout confiance !

Jusqu'� hier tout allait bien, alors que faire sous Linux Debian 12.12 ?

Il n'y a rien de particulier dans /usr/share/applications, voil� les fichiers les plus r�cents :

Code:

1
2
3
-rw-r--r-- 1  3826  9 déc.  23:02 firefox-esr.desktop
-rw-r--r-- 1  9692 11 déc.  11:10 thunderbird.desktop
-rw-r--r-- 1 26910 14 déc.  18:10 mimeinfo.cache

Le lancement de FF se situant l�-dedans : /usr/lib/firefox-esr,
j'y jette un coup d'�il mais �a n'est pas int�ressant : voil� ce que montre un ps ax :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
   ...
   1687 ?        Sl     0:01 leafpad <<< lancé par moi pour prendre des notes
   2337 ?        I      0:00 [kworker/0:2-events]
   2571 ?        I      0:00 [kworker/u2:0-events_unbound]
   2572 ?        I      0:00 [kworker/u2:1-ext4-rsv-conversion]
   3022 ?        I      0:00 [kworker/0:1-events]
   3036 ?        I      0:00 [kworker/0:3-events]
   3057 pts/0    Sl+    0:04 /usr/lib/firefox-esr/firefox-esr
   3062 ?        Sl     0:00 /usr/lib/firefox-esr/crashhelper 3057 9 /tmp/ 11
   3115 pts/0    Sl+    0:00 /usr/lib/firefox-esr/firefox-esr -contentproc -parentBuildID 20251201132345 -prefsHandle 0:
   3116 ?        Ss     0:00 /lib/systemd/systemd-timedated
   3133 pts/0    Sl+    0:00 /usr/lib/firefox-esr/firefox-esr -contentproc -isForBrowser -prefsHandle 0:41407 -prefMapHa
   3137 pts/0    Sl+    0:00 /usr/lib/firefox-esr/firefox-esr -contentproc -parentBuildID 20251201132345 -prefsHandle 0:
   3175 pts/0    Sl+    0:00 /usr/lib/firefox-esr/firefox-esr -contentproc -isForBrowser -prefsHandle 0:50445 -prefMapHa
   3223 pts/0    Sl+    0:00 /usr/lib/firefox-esr/firefox-esr -contentproc -parentBuildID 20251201132345 -sandboxingKind
   3225 pts/0    Sl+    0:00 /usr/lib/firefox-esr/firefox-esr -contentproc -isForBrowser -prefsHandle 0:42882 -prefMapHa
   3247 pts/0    Sl+    0:00 /usr/lib/firefox-esr/firefox-esr -contentproc -isForBrowser -prefsHandle 0:42939 -prefMapHa
   3249 pts/0    Sl+    0:00 /usr/lib/firefox-esr/firefox-esr -contentproc -isForBrowser -prefsHandle 0:42939 -prefMapHa
   3371 pts/1    Ss     0:00 bash
   3403 pts/0    Sl+    0:00 /usr/lib/firefox-esr/firefox-esr -contentproc -isForBrowser -prefsHandle 0:42939 -prefMapHa
   3423 pts/1    R+     0:00 ps ax

Ce qui est amusant, c'est le comportement du machin : tout � l'heure il m'a balanc� 3 fen�tres en m�me temps, j'ai reboot� et l� il a pris son temps pour en afficher une, puis encore du temps pour la deuxi�me et enfin encore du temps pour la troisi�me.

Si quelqu'un a une solution...

PS : les images ne sont pas toujours les m�mes.

Images attach�es

comment faire en sortes que les fichiers php.bak ne soient pas t�l�chargeable ?

clavier12AZQSWX — Thu, 23 Oct 2025 09:24:43 GMT

bonjour,

sur certains cms, je cr�e un .bak des fichiers de config .php (o� ya le mdp en clair de la bdd/admin...etc).
comment faire en sortes que le .bak ne soient pas t�l�chargeable via le navigateur (si par malchance un pirate le cherche)?

merci de votre conseil.

De nouvelles failles critiques dans Linux permettent aux pirates d'acc�der aux droits root

Jade Emy — Mon, 23 Jun 2025 13:59:40 GMT

De nouvelles failles critiques dans Linux permettent aux pirates d'acc�der aux droits root via des vuln�rabilit�s PAM et udisks qui affectent un large �ventail de syst�mes Linux, selon un rapport de Qualys

La Qualys Threat Research Unit a r�v�l� deux vuln�rabilit�s li�es � l'escalade des privil�ges locaux qui affectent un large �ventail de syst�mes Linux. La premi�re, CVE-2025-6018, affecte openSUSE Leap 15 et SUSE Linux Enterprise 15. Elle concerne la pile PAM (Pluggable Authentication Modules), qui d�termine si les utilisateurs sont consid�r�s comme "actifs" et �ligibles pour des actions privil�gi�es. La deuxi�me vuln�rabilit�, CVE-2025-6019, r�side dans libblockdev et est exploitable via le daemon udisks.

Linux est une famille de syst�mes d'exploitation open source de type Unix bas�s sur le noyau Linux, un noyau de syst�me d'exploitation publi� pour la premi�re fois le 17 septembre 1991 par Linus Torvalds. Linux est g�n�ralement propos� sous forme de distribution Linux (distro), qui comprend le noyau et les logiciels et biblioth�ques syst�me associ�s, dont la plupart sont fournis par des tiers, afin de cr�er un syst�me d'exploitation complet, con�u comme un clone d'Unix et publi� sous licence GPL copyleft.

Linux est l'un des exemples les plus marquants de collaboration dans le domaine des logiciels libres et open source. Initialement d�velopp� pour les ordinateurs personnels bas�s sur x86, il a depuis �t� port� sur plus de plateformes que tout autre syst�me d'exploitation[30] et est utilis� sur une grande vari�t� d'appareils, notamment les PC, les stations de travail, les ordinateurs centraux et les syst�mes embarqu�s. Linux est le syst�me d'exploitation pr�dominant pour les serveurs et est �galement utilis� sur les 500 supercalculateurs les plus rapides au monde.

R�cemment, la Qualys Threat Research Unit a r�v�l� deux vuln�rabilit�s li�es � l'escalade des privil�ges locaux qui affectent un large �ventail de syst�mes Linux. La premi�re, CVE-2025-6018, affecte openSUSE Leap 15 et SUSE Linux Enterprise 15. Elle concerne la pile PAM (Pluggable Authentication Modules), qui d�termine si les utilisateurs sont consid�r�s comme "actifs" et �ligibles pour des actions privil�gi�es. Cette faille permet � des attaquants locaux non privil�gi�s, y compris ceux qui se connectent via SSH, d'�lever leur statut � allow_active et de d�clencher des actions normalement r�serv�es aux utilisateurs physiquement pr�sents via polkit.

La deuxi�me vuln�rabilit�, CVE-2025-6019, r�side dans libblockdev et est exploitable via le daemon udisks. Udisks est livr� par d�faut sur la plupart des distributions Linux et fournit une interface D-Bus pour la gestion du stockage local. Bien que l'exploitation n�cessite des privil�ges allow_active, la facilit� avec laquelle ceux-ci peuvent �tre obtenus gr�ce � la faille PAM signifie que presque tout attaquant non privil�gi� peut combiner les deux bogues pour obtenir un acc�s root complet.

Ces exploits suppriment les barri�res entre les connexions standard et root, permettant � tout attaquant disposant d'une session graphique ou SSH active de prendre le contr�le des syst�mes affect�s en quelques secondes. Qualys souligne la gravit� de la situation en raison de l'omnipr�sence d'udisks et de la simplicit� des techniques requises, et conseille aux organisations d'appliquer les correctifs sans d�lai.

Voici les d�tails de la d�couverte :

Comprendre PAM et udisks/libblockdev

Configuration PAM dans openSUSE/SLE 15 : le framework Pluggable Authentication Modules (PAM) contr�le la mani�re dont les utilisateurs s'authentifient et d�marrent des sessions sous Linux. Dans openSUSE/SLE 15, la pile PAM est configur�e pour d�terminer quels utilisateurs sont consid�r�s comme � actifs � (c'est-�-dire physiquement pr�sents) pour les actions privil�gi�es. Une mauvaise configuration � ce niveau peut traiter toute connexion locale, y compris les sessions SSH � distance, comme si l'utilisateur �tait devant la console. Ce contexte � allow_active � accorde g�n�ralement l'acc�s � certaines op�rations polkit r�serv�es � une personne pr�sente sur la machine ; s'il est mal appliqu�, il permet � un utilisateur non privil�gi� d'effectuer des actions qu'il ne devrait pas pouvoir effectuer.

Daemon udisks et libblockdev : le service udisks s'ex�cute par d�faut sur la plupart des syst�mes Linux, offrant une interface D-Bus pour la gestion du stockage (montage, interrogation, formatage, etc.). En arri�re-plan, udisks fait appel � libblockdev, une biblioth�que qui g�re les op�rations de bas niveau sur les p�riph�riques bloc. Une faille dans libblockdev, accessible via udisks, permet � tout utilisateur d�j� dans le contexte � allow_active � de passer directement au niveau root. �tant donn� que udisks est omnipr�sent, il est essentiel de comprendre son r�le et la mani�re dont il utilise libblockdev ; c'est le composant qui relie les privil�ges d'une session aux routines de gestion des p�riph�riques, et une vuln�rabilit� � ce niveau peut donner le contr�le total du syst�me.

Impact potentiel

Ces exploits modernes � local-to-root � ont combl� le foss� entre un utilisateur ordinaire connect� et la prise de contr�le totale du syst�me. En encha�nant des services l�gitimes tels que les montages en boucle udisks et les particularit�s PAM/environnement, les attaquants qui poss�dent une session GUI ou SSH active peuvent franchir la zone de confiance allow_active de polkit et devenir root en quelques secondes. Rien d'exotique n'est n�cessaire : chaque lien est pr�install� sur les distributions Linux courantes et leurs versions serveur.

L'acc�s root est la vuln�rabilit� ayant le plus grand impact. � partir de l�, un intrus peut silencieusement d�charger les agents EDR et implanter des portes d�rob�es au niveau du noyau pour l'ex�cution persistante de code ou r��crire les configurations syst�me qui survivent aux red�marrages. Ces serveurs compromis deviennent des rampes de lancement pour des mouvements lat�raux. Les exploits ciblant les paquets serveur par d�faut peuvent se propager d'un seul syst�me compromis � l'ensemble du parc. Pour r�duire ce risque, des mises � jour � l'�chelle du parc doivent �tre appliqu�es et les mesures de s�curit� telles que les r�gles polkit et les politiques de montage en boucle doivent �tre renforc�es. Cette strat�gie globale permet de contenir une premi�re intrusion et de prot�ger l'ensemble du r�seau.

Directive d'att�nuation pour la vuln�rabilit� libblockdev/udisks

La politique polkit par d�faut pour l'action � org.freedesktop.udisks2.modify-device � peut permettre � tout utilisateur actif de modifier des p�riph�riques. Cela peut �tre exploit� pour contourner les restrictions de s�curit�. Pour att�nuer ce risque, la politique doit �tre modifi�e afin d'exiger l'authentification de l'administrateur pour cette action.

Code:

1
2
3
Configuration Change
 
To mitigate this vulnerability, modify the polkit rule for "org.freedesktop.udisks2.modify-device". Change the allow_active setting from yes to auth_admin.

Conclusion

En combinant CVE-2025-6018 et CVE-2025-6019, tout utilisateur SSH SUSE 15/Leap 15 peut passer du statut � normal � � celui de root avec les PAM + udisks install�s par d�faut. Une vuln�rabilit� accorde allow_active, et la suivante transforme ce statut en root complet, le tout avec des paquets int�gr�s. L'acc�s root permet la falsification d'agents, la persistance et le mouvement lat�ral, de sorte qu'un seul serveur non corrig� met en danger l'ensemble du parc. Corrigez PAM et libblockdev/udisks partout pour �liminer cette voie d'acc�s.

Sources : Qualys Threat Research Unit, D�tail technique des vuln�rabilit�s

Et vous ?

:fleche: Pensez-vous que ce rapport est cr�dible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Une nouvelle vuln�rabilit� d'�l�vation de privil�ges est d�couverte dans le noyau Linux. Elle permet � un attaquant local d'ex�cuter un logiciel malveillant sur les syst�mes vuln�rables

:fleche: La CISA signale qu'une faille critique du noyau Linux est activement exploit�e et demande instamment aux utilisateurs concern�s de proc�der � une mise � jour le plus rapidement possible

:fleche: Des milliers de syst�mes Linux infect�s par le logiciel malveillant furtif Perfctl depuis 2021, illustrant les d�fis de s�curit� auxquels Linux fait face

Forum du club des d�veloppeurs et IT Pro - S�curit�

Probl�me bizarre ce matin

comment faire en sortes que les fichiers php.bak ne soient pas t�l�chargeable ?

De nouvelles failles critiques dans Linux permettent aux pirates d'acc�der aux droits root