Le PCI Security Standards Council (PCI SSC) a publié la version 3.2 de sa norme de chiffrement point à point (P2PE). Cette mise à jour mineure introduit des clarifications importantes concernant les tests de dispositifs POI, la gestion des listes blanches et des logiciels non-paiement. Elle intègre également des réponses à des commentaires d’acteurs du secteur ainsi que des corrections issues des FAQ techniques. La version 3.2 n’affecte pas les validations en cours ou passées (v3.0 et v3.1), qui restent valides. Les nouvelles soumissions devront adopter la v3.2 à partir du 1er janvier 2026. Un guide de transition est disponible pour accompagner les organisations concernées.
La CISA a inscrit la CVE-2024-54085 à son catalogue KEV le 25 juin. Cette faille critique dans les contrôleurs serveurs AMI MegaRAC SPx permet un contournement de l’authentification via l’interface Redfish. L’exploitation réussie entraîne des risques sur la confidentialité, l’intégrité et la disponibilité du système. Bien que non encore associée à des campagnes de ransomware, sa sévérité impose une attention immédiate. Shodan révèle plus de 1000 hôtes accessibles publiquement.
Depuis le 4 juin de cette année, Let's Encrypt n'envoie plus de rappel lors de l'expiration de certificats X509 générés via leur autorité. Cela fait suite à une volonté de réduction de coûts et ressources (plusieurs dizaines de milliers de dollars annuel), une augmentation des outils pour gérer le renouvellement automatique et suppression de l'association entre les certificats et une adresse mail (amélioration de la confidentialité). Aucune action de la part des utilisateurs n'est nécessaire. Si vous n'avez pas encore de solution de supervision pour les certificats, Let's encrypt en donne une liste ici.
La vulnérabilité CVE-2025-5777, surnommée CitrixBleed 2, affecte les appliances Citrix NetScaler ADC et Gateway configurées pour l’accès distant ou via un serveur AAA virtuel. Corrigée le 17 juin, elle permet une lecture non authentifiée de la mémoire, exposant potentiellement des jetons de session et facilitant le détournement de sessions et le contournement de la MFA.
Inspirée de CitrixBleed (CVE-2023-4966), cette faille pourrait déjà être exploitée dans la nature. ReliaQuest a observé des signes d’activités malveillantes : réutilisation de sessions, contournement de l’authentification, reconnaissance AD et connexions depuis des VPN. Contrairement aux cookies, les jetons visés peuvent prolonger l'accès des attaquants.
La CISA n’a pas encore publié d’IoC. Cependant, l’exploitation semble probable et pourrait impliquer des groupes de rançongiciels.
L’IETF a publié en juin 2025 la RFC 9773, introduisant l’extension ARI (ACME Renewal Information), qui permet aux serveurs ACME de suggérer dynamiquement aux clients un créneau optimal pour renouveler leurs certificats. Objectif : éviter les pics de charge, mieux gérer les incidents massifs (comme les révocations) et permettre un équilibrage temporel du trafic.
Le serveur ACME fournit un champ renewalInfo avec une fenêtre de renouvellement recommandée. Le client peut ainsi s’adapter intelligemment, au lieu de s’appuyer sur des règles fixes ou des heuristiques locales. L’extension prévoit aussi la notification de remplacement de certificat via le champ replaces.
Cette évolution améliore la résilience et la souplesse de l’écosystème ACME.
Un utilisateur sur le serveur Graylog peut obtenir un jeton API pour n'importe quel utilisateur du serveur, privilégié ou non, s'il connaît l'ID associé. Il est possible de désactiver cette option depuis la version 6.2.0 pour restreindre la création de jeton aux administrateurs (System > Configuration > Users > "Allow users to create personal access tokens"). Une nouvelle version corrigeant le souci a été publié : 6.2.4 et 6.3.0-rc.2. Il est conseillé de revoir les jetons créés pour valider leur usage : System > Users and Teams > Token Management.
GHSA a publié un bulletin de sécurité concernant une vulnérabilité identifiée dans le firmware DIR-816A2_FWv1.10CNB05_R1B011D88210 du routeur D-Link DIR-816-A2. Référencée sous le code CVE-2025-45931, cette faille permet à un attaquant distant non authentifié d’exécuter du code arbitraire en exploitant l’appel direct à la fonction system() dans le binaire bin/goahead. Le code malveillant peut être injecté à travers une requête HTTP vers l’interface web du routeur.
GHSA a publié un bulletin de sécurité : une vulnérabilité critique, identifiée sous le code CVE-2025-32463, affecte les versions de Sudo antérieures à la 1.9.17p1. Elle permet à un utilisateur local d’obtenir des privilèges root en exploitant l’option --chroot de Sudo, en détournant la résolution du fichier /etc/nsswitch.conf.
Note du CERT Illicium : Pour savoir si vous êtes vulnérable :
whereis chroot ou find /usr/sbin | grep chrootsudo --versionSi votre version de Sudo est comprise entre la 1.9.14 et la 1.9.17 et que chroot est installé sur la machine, vous êtes concerné.
La prochaine réunion de l'OSSIR se tiendra le mardi 8 juillet 2025 à 14h, en format hybride.
Trois interventions rythmeront l'après-midi :
L'événement est accessible :
Regroupant des ateliers et conférences, cet événement majeur pour l'écosystème Python sera sur le Campus René Cassin (47 rue du Sergent Michel Berthet, Lyon) à Lyon pour quatre jours. Les deux premiers jours seront consacrer à coder ensemble sur des projets Python open-source. Les deux suivants proposent ateliers et conférences. L'entrée est gratuite pour l'ensemble de l'événement.