Yahoo dépense des milliers de dollars pour des failles graves


Yahoo a accordé des milliers de dollars à un couple de chercheurs qui ont réussi à trouver de graves vulnérabilités dans les systèmes de l'entreprise. Les chasseurs de primes ont publié des articles de blog au cours du week-end décrivant leurs résultats.

Un expert qui utilise le moniker en ligne "Th3G3nt3lman" a déclaré qu'il a reçu 5 500 $ de Yahoo pour une vulnérabilité d'exécution de code à distance dans Apache Struts 2. Le pirate informatique de chapeau blanc a découvert le défaut sur un sous-domaine Yahoo hébergeant une connexion Page pour un produit de marketing Selligent.

Le trou de sécurité est CVE-2017-5638, une vulnérabilité de Struts 2 que les acteurs malveillants ont commencé à exploiter en mars, peu après l'émission d'un patch. On a constaté que la faiblesse affecte les produits et les systèmes de nombreuses entreprises, y compris Cisco, VMware et AT & T.

Selon Th3G3nt3lman l'exploit initial publié pour CVE-2017-5638 n'a pas fonctionné sur le site Yahoo, mais il a trouvé un exploit différent sur Twitter – celui qui peut contourner Firewalls d'applications Web (WAF) – qui auraient pu être utilisés pour réaliser l'exécution de code à distance.

L'enthousiasme de la cryptographie et de la sécurité de l'information, Sam Curry, a également publié une publication sur le blog au cours du week-end décrivant une vulnérabilité critique dans un système appartenant à Yahoo. Contrairement à Th3G3nt3lman, qui a trouvé le défaut de RCE sur un domaine de Yahoo, Curry et un chasseur de primes connu en ligne comme "Dawgyg" a découvert un bug sur le site de streaming vidéo SnackTV, que Yahoo a repris à la fin de 2014 avec l'acquisition de Media Group One.

En plus d'une faible gravité …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils