Comprendre la CVE-2024-3094

La CVE-2024-3094 est une vulnérabilité de sécurité qui affecte spécifiquement le package xz-utils, une suite d’outils de compression et de décompression largement utilisée dans les systèmes basés sur Linux. Cette faille de sécurité pourrait être exploitée par un attaquant pour exécuter du code malveillant sur le système cible ou pour provoquer un déni de service, compromettant ainsi l’intégrité et la disponibilité des données.

Cette vulnérabilité est le résultat d’une erreur de programmation dans le code source de xz-utils, qui peut être exploitée par des attaquants pour contourner les mécanismes de sécurité du logiciel et accéder à des privilèges non autorisés. 😓

…

Mise à Niveau de PHP sur nos nouveaux serveurs : Bienvenue à PHP 8.3 !

Aujourd’hui, nous sommes heureux de vous annoncer une mise à niveau majeure disponible sur nos serveurs.

Elle contient de nombreuses nouvelles fonctionnalités, telles que le typage explicite des constantes de classe, le clonage profond des propriétés en lecture seule et des ajouts à la fonctionnalité Randomizer. Comme toujours, elle inclut également des améliorations de performance, des corrections de bogues et un nettoyage général.

…

Simplifiez la Gestion de Votre Infrastructure Plesk dans le Cloud avec Kokiris Plesk Management

Si vous êtes à la recherche d’une solution tout-en-un pour la gestion de votre infrastructure Plesk dans le Cloud, vous êtes au bon endroit ! Notre service Kokiris Plesk Management est là pour vous simplifier la vie en offrant une infogérance complète, disponible 24 heures sur 24, 7 jours sur 7, 365 jours par an, grâce à une équipe d’experts en informatique dévouée.

…

Le WordPress Toolkit

Extrait de la documentation Plesk

WP Toolkit est une interface de gestion unique pour installer, configurer et gérer facilement WordPress. Voici les principales fonctionnalités offertes par le WordPress Toolkit :

• Un installateur en un clic pour initialiser et configurer WordPress du début à la fin. Un tableau de bord pour gérer plusieurs instances de WordPress.
• Staging et préprod : testez de nouvelles fonctionnalités et idées dans un bac à sable avant de les mettre en production - Aucun plugin n’est requis, aucun serveur séparé n’est nécessaire.
• Stage, Clone, Sync, Update, Migrate et autres tâches complexes exécutées en un seul clic.
• Sécurité et Mise à jour : durcis votre site par défaut, renforcé par le scanner de sécurité du Toolkit. Restez à jour sans aucune expertise en matière de sécurité.
• Automatisation : exécutez individuellement ou en masse les mises à jour du noyau de WP, des thèmes ou des plugins. Surveillez et gérez tous vos sites WordPress à partir d’un seul tableau de bord.
• Obtenez un contrôle total avec WP-CLI, le mode maintenance, la gestion du débogage, la gestion de l’index des moteurs de recherche et plus encore.
• Gestion des thèmes et des plugins : trouvez et installez rapidement un plugin ou un thème sur une instance WordPress ou plusieurs instances à la fois. Activez et désactivez les plugins. Supprimer en bloc les plugins et les thèmes inutiles. Installer des jeux de plugins et de thèmes sur des sites existants.
• Mode maintenance dans WP Toolkit : activez le mode maintenance de WordPress lors de la mise à jour de WordPress, des plugins ou des thèmes en un seul clic.
• Sauvegarde et points de restauration : en cas de problème, les points de restauration et les sauvegardes vous permettent de rétablir l’état antérieur de votre site.
• Gestion du débogage : gérer toutes les options de débogage importantes dans WordPress ou gérer les options de débogage sur une base par instance à partir d’une interface unique.

Pour en savoir encore plus le lien de la documentation en ligne Plesk.

…

Préambule

Le WAF (Web Application Firewall) ne sera pas abordé dans cet article.

Le réseau OVH, un environnement de facto protégé

Notre infrastructure étant sur le réseau d’OVH Cloud, nous héritons directement des mécanismes de sécurité mise en œuvre par celui-ci.

• le réseau OVH Cloud est protégé des tentatives de DDOS pouvant atteindre 1.3 Tbit/s ;
• tous les équipements sont protégés par une suite d’équipements spécialisés ;
• toutes les adresses ip sont par défaut en mitigation automatique ; ce qui veut dire que lors d’une attaque, en quelques secondes les équipements de protection protégeront le flux arrivant sur les serveurs clients. Cette mitigation, automatiquement déclenchée par défaut, peut aussi l’être manuellement sur décision de l’équipe technique Kokiris.

Pré-positionnement d’outils : l’admin-toolkit Kokiris

Nous déployons sur chaque serveur une boîte à outil d’administration, l’admin-toolkit, celle-ci contient une variété de scripts permettant au technicien d’établir si une attaque est en cours puis de la mitiger/bloquer.

…

Chez Kokiris l’observabilité est un sujet de premier plan, elle nous permet d’optimiser les interventions, de limiter la durée des coupures de service et de circonscrire les incidents. L’observabilité se matérialise par le monitoring qui lui-même se subdivise en alerting et métrologie.

! Sur les captures d’écran, les informations confidentielles ont été floutées !

L’alerting

Chez Kokiris, après plusieurs années sous Shinken, nous avons choisi de migrer sous Icinga2. Icinga2 est une solution complète, modulaire et intuitive.
L’alerting est alimenté par chaque déploiement Ansible, il permet à l’équipe technique Kokiris de livrer au client un serveur totalement surveillé, conforme dans tous ses aspects à la commande passée.

…

---

Le passage d’une architecture mono à multi-serveurs s’accompagne de nouvelles contraintes essentiellement liées au partage des données entre les serveurs. Voici une liste assez exhaustive des questions à prendre en compte.

---

Où sont stockées les sessions utilisateurs ?

Dans un ordre décroissant orienté performance :

• stockage dans un memcache local avec écriture séquentielle sur tous les serveurs ;
• stockage dans un redis local et répliqué ;
• stockage en base SQL commune.

C’est Kokiris qui mettra en place le service de stockage de session partagé.

…