Le projet Debian vient de sortir une nouvelle version 12.10. Elle comprend notamment 43 correctifs de sécurité. La prochaine version majeure, 13 (Trixie), est toujours prévue pour cet été et le verrouillage des paquets commence ce mois-ci.
La CISA a ajouté deux nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities (KEV):
L'équipe de Cato CTRL a découvert un nouveau botnet. Il utilise une ancienne vulnérabilité datant de 2023 (CVE-2023-1389). Elle permet l'exécution de code à distance. Cato CTRL indique avoir détecté un début d'activité le 10 janvier 2025 et les tentatives les plus récentes le 17 février. Il serait constitué d'au moins 6000 périphériques.
Nous évoquions une possible exécution de code arbitraire lors de notre bulletin du 11 mars 2025. Une preuve de concept et d'autres indices indiquent que cette vulnérabilité est maintenant activement utilisée. Il est donc important de faire la mise à jour.
Le support de la version 20.04 prendra fin le 31 mai 2025. Le LTS (long-term support) apporte une garantie de support pour cinq ans. Il est donc recommandé de migrer, si possible, vers une nouvelle version LTS : 22.04 ou 24.04. Il faut cependant s'assurer que les applications seront compatibles avec cette montée de version. Si la mise à jour n'est pas possible, vous pouvez souscrire à l'offre de support étendu de Canonical (Expanded Security Maintenance, Ubuntu Pro).
Open Source Matters a rédigé un bulletin de sécurité concernant son produit Joomla!.
Référencée sous le code CVE-2025-22213, cette faille permet aux utilisateurs disposant de privilèges d'édition de modifier l'extension des fichiers téléversés, y compris vers des extensions exécutables comme .php
L'ensemble des versions mineur actuellement en support de PHP 8 reçoit une mise à jour : 8.1.32, 8.2.28, 8.3.19 et 8.4.5. Celle-ci corrige notamment des problèmes avec le composant Stream HTTP, un dépassement mémoire en lecture en utilisant XML_OPTION_SKIP_TAGSTART, un Use-After-Free dans php_request_shutdown (CVE-2024-11235) et un mauvais en-tête dans libxml (CVE-2025-1219).
HP vient de mettre en ligne une mise à jour du micro-logiciel des imprimantes HP LaserJet Pro, HP LaserJet Enterprise, et HP LaserJet Managed Printers pour corriger trois vulnérabilités : CVE-2025-26506, CVE-2025-26508 et CVE-2025-26507. Elles concernent tous une potentielle exécution de code à distance et une élévation de privilèges durant le traitement d'une impression PostScript. Le bulletin donne l'ensemble des références concernées et la version de la mise à jour à appliquer.
Schneider a publié un bulletin de sécurité concernant une vulnérabilité sous le code CVE-2025-2002 dans les produits EcoStruxure Panel Server.
Cette vulnérabilité est possible lorsque le système EcoStruxure est en mode débogage et qu'un serveur FTP est présent. Lorsqu'un administrateur souhaite exporter les journaux de logs du produit via le serveur FTP, les identifiants du serveur FTP sont alors stockés en clair dans les journaux de logs exportés.
Cette vulnérabilité est présente sur les versions v2.0 et antérieures des produits EcoStruxure. Schneider a mis à disposition une correction en version 2.1.
Une vulnérabilité de sévérité élevée a été découverte dans GitHub Action tj-actions/changed-files, qui permet de suivre les modifications de fichiers dans les dépôts.
Référencée sous le code CVE-2025-30066: des acteurs ont introduit un commit malveillant dans le dépôt tj-actions/changed-files. Ils ont ensuite mis à jour rétroactivement plusieurs balises de version pour pointer vers ce commit compromis, exposant ainsi les secrets des workflows CI/CD dans les journaux d'actions. Cette vulnérabilité peut affecter des dépôts publics et privés.
Juniper a publié un bulletin de sécurité concernant ses produits Junos OS.
Référencée sous le code CVE-2025-21590, cette vulnérabilité d'isolation ou de compartimentation a été identifiée dans le noyau de Junos OS, permettant à un attaquant local disposant de privilèges élevés de compromettre l'intégrité du dispositif.
La vulnérabilité est présente dans le catalogue de la CISA des vulnérabilités en cours d'exploitation.
Les 19 et 20 mars 2025, la Porte de Versailles à Paris accueillera la 40ᵉ édition de l'I-Expo & Data Intelligence Forum, réunissant des experts en veille, information, connaissance et data intelligence. Au programme, 39 conférences et ateliers le 19 mars, suivis de 40 sessions le 20 mars, abordant des thématiques telles que l'intelligence artificielle, la veille stratégique et la gouvernance de l'information.
Organisée par OCTO Technology, la Duck Conf est une conférence annuelle dédiée à l'architecture des systèmes d'information. L'édition 2025 se tiendra le 19 mars au Parc Floral de Paris.
Au programme, des conférences et des ateliers tels que :