Le Pentagone a renforcé ses capacités de défense en intégrant des solutions d’IA avancées dérivées de la famille de modèles Grok, annonçant ce développement dans un communiqué de presse récent. Si vous êtes un ennemi des États-Unis, cela pourrait vous rendre mal à l’aise. Cette expansion s’inscrit dans le cadre de l’initiative plus large de […]
En 2016, je vous parlais de
Gogs
, ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.
Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.
L’attaque est vicieuse car un attaquant n’a besoin que d’un compte utilisateur standard pour compromettre votre serveur. Il crée un dépôt, y ajoute un lien symbolique pointant vers un fichier sensible, puis utilise l’API PutContents pour écrire à travers ce lien et modifier le fichier .git/config. Ensuite, en bidouillant la directive sshCommand, il peut alors exécuter n’importe quelle commande sur votre serveur. Voilà, c’est plié !
Cette faille est en fait un contournement d’un ancien correctif (CVE-2024-55947). Les développeurs avaient patché le problème mais avaient oublié de gérer le cas des liens symboliques. Et ce n’est même pas la première fois que Gogs se retrouve dans cette situation puisqu’en juillet 2024, quatre failles critiques avaient été publiées (CVE-2024-39930, CVE-2024-39931, CVE-2024-39932, CVE-2024-39933), toutes avec des scores CVSS de 9.9 sur 10, et au final, les mainteneurs avaient tout simplement… cessé de répondre aux chercheurs. C’est moche !
Sur les 1400 instances Gogs exposées sur Internet identifiées par Wiz, plus de 700 ont donc été compromises. Les attaquants utilisent le framework C2 Supershell pour garder le contrôle des machines et les chercheurs soupçonnent des cybercriminels basés en Asie vu l’usage de cet outil très particulier.
Donc si vous avez un serveur Gogs qui tourne, voici ce qu’il faut faire immédiatement : Vous devez désactiver l’inscription ouverte si vous n’en avez pas besoin (c’est activé par défaut) et mettre votre instance derrière un VPN. Après pour savoir si vous êtes déjà compromis, cherchez des dépôts créés le 10 juillet avec des noms bizarres de 8 caractères.
Après à ce stade, je vous conseille de migrer vers
Gitea
, le fork de Gogs qui est activement (et mieux) maintenu et qui n’est pas affecté par ces failles. Gogs semble être devenu un projet abandonné niveau sécurité, et c’est vraiment dommage parce que le concept était génial.
Linus Torvalds est invité dans cette toute récente vidéo sur la chaîne Linus Tech Tips. La vidéo dure presque une heure, ce qui est inhabituellement long pour cette chaîne, et permet de laisser s'exprimer un Linus Torvalds invité. Torvalds s'exprime sur de nombreux sujets tout en regardant un PC « idéal » être monté pour lui et ses travaux sur le noyau Linux.
Il discute du Libre, Gaming, Linux, Git, A.I., de son travail, dans une atmosphère bon enfant et avec un humour mordant.
Has My Secret Leaked is a new product developed by GitGuardian to discover potential public leaks of your secrets: ggshield hmsl
Has My Secret Leaked currently monitors GitHub public repositories (Commits, Gists and Issues).
Découvrez Git, l’outil incontournable pour versionner votre code, collaborer en équipe et sécuriser vos projets, avec des exemples simples et concrets.
C'est la reprise après une pause estivale qui a fait souffrir les ventilateurs de nos ordinateurs. Voici donc un petit panorama, forcément subjectif et parti{e,a}l, de la presse papier disponible en cette rentrée 2025.
Voici donc les nouveautés sorties en septembre dernier des éditions Diamond et disponibles jusqu'à fin octobre. Pour rappel, Linux Pratique est devenu SysOps Pratique, pour acter un état de fait et mieux refléter son contenu dédié aux administrateurs de systèmes libres et open source.
GNU/Linux Magazine France no 277 vous explique que finalement, vous ne comprenez rien à Git ;
SysOps Pratique no 151 détecte les vulnérabilités avant de déployer ;
MISC magazine no 141 regarde de plus près GitHub et la sécurité des plateformes DevOps ;
Hackable no 62 débogue facilement avec GDB.
Et les éditions Diamond continuent de fêter leur 30 ans. À cette occasion, elles proposent de (re)découvrir l'une de leurs publications en offrant le numéro 270 de GNU/Linux Magazine via leur support de lecture en ligne, Kiosk Online (en HTML).
Un petit mémo sur comment installer Forgejo sur Debian 12 en utilisant les paquets officiels. La procédure repose sur le système de paquets APT pour simplifier l’installation, la mise à jour et l’intégration avec systemd. Elle permet ainsi de déployer rapidement une forge Git auto-hébergée. Forgejo Forgejo est un logiciel libre sous licence MIT, léger, […]
Connexion
