Bonjour,

Souci avec le certificat ce matin sur notre serveur de mail, le nouveau n’a pas pris le relais, aussi n’hésitez pas à accepter le certificat non valide en attendant que le nouveau soit re généré et prenne effet Cela n’impacte en rien la sécurité, c’est juste qu’il est expiré.

=======================

11h00, tout est rentré dans l’ordre, nouveau certif opérationnel en place.

Entre 11 et 15 MAJ à réaliser avec reboot obligatoire.

A peine avait-il lancé la mise à jour 4.2 que WordPress incite ses utilisateurs à installer la mouture 4.2.1, qui comble une faille critique XSS permettant potentiellement de prendre le contrôle d’un site à distance. 

C’est le chercheur finlandais Jouko Pynnönen qui a découvert cette faille zero-day dans WordPress 4.2 : elle permet, en injectant du code JavaScript dans les commentaires, de profiter d’une faille cross-site scripting (XSS) qui s’exécute lorsque le commentaire est lu par une personne connectée avec des droits d’administrateurs.

C’est ainsi que l’attaquant peut potentiellement exécuter du code sur le serveur via l’éditeur de thèmes et de plugins. D’autant plus qu’il est possible de « changer le mot de passe administrateur, créer de nouveaux comptes administrateurs ou faire tout ce que peut faire un administrateur sur le site », écrit Jouko Pynnönen.

http://www.linformaticien.com/actualites/id/36499/wordpress-4-2-1-comble-une-faille-critique-de-securite.aspx

Huit MAJ à réaliser avec reboot obligatoire.

Après les 10 MAJ de la semaine, même motif même punition avec deux MAJ et un reboot à la clé.

Ne cherchez plus, PhP5.5 ne fonctionne pas sur IIS6, utilisez la version PhP5.4.

Pas moins de 6 MAJ avec reboot obligatoire.

Upgrade de Merak vers la 11.1.2, suite à deux vulnérabilités détectées au niveau des interfaces Web.

Les vulnérabilités corrigées dans la 11.1.2 :
– Un attaquant pouvait potentiellement récupérer un fichier sur le serveur – seulement s’il connaissait le chemin complet de ce fichier
– Une attaque ‘cross scripting’ pouvait permettre à un attaquant d’envoyer une fausse URL dans un email. L’ouverture du dit email pouvait déclencher l’exécution du code JavaScript (malicieux)

D’autres modifications fonctionnelles incluses dans la 11.1.2 :
– Les invitations acceptées dans le Webmail ne sont plus dupliquées dans Outlook
– Le téléchargement des pièces jointes sur les appareils Android est plus fiable pour tous les niveaux du protocole ActiveSync
– Contournement d’un bug iOS 8 qui transforme les événements en invitations non acceptées, les rendant non-éditables
– Une nouvelle version du Client Desktop en phase avec la nouvelle version du serveur