Développeurs Rust, vous allez devoir créer de nouvelles clés API sur crates.io*.
Le groupe de travail chargé de piloter la sécurité du langage de programmation et de son écosystème a fait cette annonce mardi 14 juillet.
En cause, deux problèmes, aujourd’hui résolus. D’un côté, les clés API étaient stockées en clair. De l’autre, elles dépendaient d’un générateur de nombres aléatoires insuffisamment sécurisé.
Le générateur en question était une fonction PostgreSQL. Un membre de la communauté Rust a constaté qu’en prenant connaissance de suffisamment d’informations, un tiers avait la possibilité de déterminer toutes les clés API générées depuis le dernier redémarrage du serveur de base de données.
https://twitter.com/j4cob/status/1283151299920330753?ref_src=twsrc%5Etfw » rel= »nofollow
Les modifications nécessaires ont été effectuées pour basculer vers un générateur « sécurisé ». Et pour éviter le stockage en clair (implémentation d’un système de hachage).
Le ton de l’alerte est rassurant. Officiellement, il n’y a pas de traces d’une quelconque attaque et il aurait été « très difficile » d’en lancer une.
* crates.io est le registre officiel des paquets qu’a créées la communauté Rust. Il en regroupe environ 43 000, pour plus de 3,3 milliards de téléchargements.
Logo © Mozilla – CC/BY
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.