Microsoft a annoncé la disponibilité la préversion publique de la bibliothèque Microsoft AI Chat Protocol pour créer des interfaces basées sur l'IA en JavaScript. La bibliothèque et la spécification API correspondante sont disponibles sur GitHub.

La bibliothèque est construite sur une base similaire à celle d’Azure Core, le processus d’utilisation de la bibliothèque devrait sembler familier aux clients du SDK Azure. La bibliothèque AI Chat Protocol est disponible sur npm.

npm i @microsoft/ai-chat-protocol

Une fois la bibliothèque installée, vous commencez par créer un objet client, tout comme les autres bibliothèques Azure SDK. Ensuite, un point de terminaison est transmis lors de l'instanciation du client. Ce point de terminaison doit respecter la spécification de l'API AI Chat Protocol. Si vous utilisez une authentification, vous pouvez également transmettre votre TokenCredential.

import {
    AIChatMessage,
    AIChatProtocolClient,
} from "@microsoft/ai-chat-protocol";

const client = new AIChatProtocolClient("/api/chat");

La bibliothèque Microsoft AI Chat Protocol est un logiciel libre sous licence MIT.

Google a annoncé que ChromeOS sera prochainement développé sur de grandes parties de la pile Android, comme le noyau Android Linux et les frameworks Android. Dans quel but ? Comme en sans doute, le but de de mettre de l'IA dans ChromeOS.

Google explique : "L'intégration de la pile technologique basée sur Android dans ChromeOS nous permettra d'accélérer le rythme de l'innovation en matière d'IA au cœur de ChromeOS, de simplifier les efforts d'ingénierie et d'aider différents appareils tels que les téléphones et les accessoires à mieux fonctionner avec les Chromebooks. Dans le même temps, nous continuerons à offrir une sécurité inégalée, une apparence cohérente et des fonctionnalités de gestion étendues que les utilisateurs, les entreprises et les écoles de ChromeOS adorent."

On n'échappe pas à l'IA de Google facilement (à celle de Microsoft non pkus d'ailleurs, mais c'est un autre sujet). Quand cette IA arrivera-t-elle sur ChromeOS ? Google l'a précisé d'une manière que n'aurait pas reniée Fernand Raynaud : Ces améliorations de la pile technologique commencent maintenant, mais ne seront pas prêtes pour les consommateurs avant un certain temps... :-)

Une vulnérabilité critique de PHP sur Windows a été découverte  sur toutes les versions de PHP de 5.x à 8.x. Sur Windows signifie qu'un server Web IIS avec le module php-cgi est vulnérable. Mais cela signifie aussi que les utilisateurs de XAMPP sont vulnérables. De plus il est important de savoir que si cette vulnérabilité est liée à php-cgi elle peut malgré tout être exploitée en dehors su mode cgi si les exécutables php.exe ou php-cgi.exe sont accessibles au serveur web.

Cette vulnérabilité est estampillée CVE-2024-4577. Elle existe sur Windows car si le système est configuré pour utiliser certaines pages de codes, il peut utiliser le comportement « Best-Fit » pour remplacer les caractères dans la ligne de commande donnée aux fonctions de l'API Win32. Le module PHP CGI peut alors interpréter à tort ces caractères comme des options PHP, ce qui peut permettre à un utilisateur malveillant de transmettre des options au binaire PHP en cours d'exécution, et ainsi de révéler le code source des scripts, d'exécuter du code PHP arbitraire sur le serveur, etc.

Cette vulnérabilité est exploitable via la simple insertion d’un caractère « Soft Hyphen » dans les paramètres d’une URL. Ce caractère est converti automatiquement en trait d’union classique via la fonctionnalité « Best-Fit » de Windows. Ce qui permet de contourner un mécanisme de vérification de PHP, et ainsi lui faire exécuter du code via l’exécutable « php.exe ».

Une URL attaquante peut-être repérée par la présence d’un caractère « Soft-Hyphen »  dedans, caracère dont l'encodage est %ad.

Le site beaglesecurity.com précise qu'à l'heure actuelle, il a été confirmé qu'un attaquant non autorisé peut exécuter du code arbitraire sur des serveurs distants exécutant Windows dans les paramètres régionaux suivants :

• Chinois traditionnel (page de code 950)
• Chinois simplifié (page de codes 936)
• Japonais (page de code 932)

Pour Windows exécuté dans d'autres langues telles que l'anglais, le coréen et l'Europe occidentale, la diversité des scénarios d'utilisation de PHP rend difficile l'énumération et l'élimination de toutes les voies d'exploitation potentielles.

Pour se protéger de cette vulnérabilité, les administrateurs doivent mettre leur PHP à jour sur leurs systèmes. Mais s'ils ne peuvent pas le faire, par exemple en étant obligés de travailler avec un PHP 5.x qui n'est plus maintenu, beaglesecurity.com suggère une réécriture d'URL comme mesure d'atténuation :

RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? - [F,L]

Google est une compétition en ligne proposée par Google pour mettre en valeur vos prouesses techniques. Google CTF 2027 débutera le 21 juin 2024 à 18h00 UTC et se poursuivra jusqu'au 23 juin 2024 à 18h00 UTC. Les inscriptions sont désormais ouvertes sur goo.gle/ctf.

La compétition Google CTF consiste en un ensemble d'énigmes (ou défis) de sécurité informatique impliquant de l'ingénierie inverse, la corruption de la mémoire, la cryptographie, les technologies Web, etc. Les participants peuvent utiliser des connaissances obscures en matière de sécurité pour trouver des exploits à travers des bugs et des utilisations abusives créatives, et à chaque défi terminé, votre équipe gagnera des points et gravira les échelons.

Les 8 meilleures équipes du Google CTF se qualifieront pour la compétition de Google Hackceler8 qui se déroulera à Málaga, en Espagne, plus tard cette année, dans le cadre de l'événement Escal8. Hackceler8 est une compétition de jeu de hacking expérimental de style esport, conçue sur mesure pour mélanger CTF et speedrunning. 

wal2mongo est un plugin de sortie de décodage logique PostgreSQL conçu pour simplifier la réplication logique de PostgreSQL vers MongoDB en formatant la sortie dans un format de type JSON accepté par MongoDB. wal2mongo est édité par HighGo Software qui vient d'annoncer la première version communautaire GitHub de wal2mongo v1.0.7.

wal2mongo v1.0.7 peut être utilisée pour répliquer les modifications de la base de données PostgreSQL dans un format de sortie pouvant être directement introduit dans l'outil client mongo pour réaliser une réplication logique entre PostgreSQLet MongoDB. Le plugin Wal2mongo est utile dans le cas où PostgreSQL est utilisé comme principale source de données brutes pour collecter des données du monde extérieur, mais MongoDB est utilisé en interne à des fins d'analyse de données. La migration manuelle des données entre PostgreSQL et MongoDB pose de nombreux problèmes potentiels et disposer d'un plugin de décodage logique comme wal2mongo peut aider à réduire la complexité de la migration des données entre les deux bases de données

wal2mongo est un logiciel libre sous licence Apache 2.0 disponible sur GitHub.

Mirantis annonce k0smotron 1.0, une solution de gestion des clusters Kubernetes de qualité production qu selon l'éditeur 'conjugue efficacité et souplesse."

La solution open source k0smotron 1.0, adossée à une assistance Mirantis, assure un déploiement et une gestion Kubernetes uniforme, personnalisable, sécurisée et performante à l’échelle de l’entreprise, à partir de toutes les combinaisons possibles d’infrastructures (clouds privés, clouds publics, serveurs bare metal et en périphérie notamment).

« k0smotron facilite, côté opérateurs, le déploiement et la gestion des clusters Kubernetes, quelle que soit l’infrastructure », affirme Miska Kaipiainen, VP en charge de l’ingénierie, de la stratégie et des logiciels open source chez Mirantis. « Ce niveau de gestion Kubernetes adapté aux déploiements à grande échelle dote les utilisateurs d’une souplesse et d’une mainmise inégalées. »

k0smotron aborde sous un angle différent les implémentations Kubernetes multiclusters et hybrides, qui nécessitent généralement une automatisation complexe difficile à gérer. Cette solution assure le provisionnement rapide, à grande échelle, des clusters Kubernetes, digne des plus grands prestataires de services cloud, tout en offrant la faculté de travailler sur n’importe quelle infrastructure de calcul. Avec ses configurations normalisées, k0smotron simplifie la gestion, renforce la sécurité et améliore la fiabilité tout en réduisant de manière significative les coûts d’exploitation.

k0smotron 1.0 en bref :

• Grâce à la nouvelle prise en charge de ClusterAPI pour les machines distantes connectées via SSH (Secure Shell), k0smotron est une solution idéale pour fédérer les déploiements en périphérie, hybrides et multicloud de Kubernetes, qui peut aussi être utilisée pour déployer k3s et MicroK8s parallèlement à k0s, conférant aux opérateurs un degré de souplesse inédit sur le marché.

• Une fonctionnalité AutoPilot optimisée dans k0smotron est à présent intégrée à ClusterAPI pour réaliser des mises à jour entièrement automatisées de clusters, tout en préservant leur disponibilité.

• Une haute disponibilité optimisée, par la mise à l’échelle séparée de etcd dans un ensemble distinct de pods Kubernetes.

• Les opérateurs peuvent à présent installer et gérer k0smotron directement, via l’interface de ligne de commande (CLI) clusterctl de ClusterAPI, facilitant encore l’ajout des fonctionnalités de k0smotron dans un cluster hôte/de gestion.

• La prise en charge de la fonctionnalité ClusterClass dans ClusterAPI rend les configurations de clusters réutilisables et réduit considérablement la quantité de code, facilitant son déchiffrage et sa mise à jour.

L’opérateur k0smotron est développé par l’équipe à l’origine de k0s, la distribution Kubernetes open source légère, qui demeure son principal support de développement, et il est exploitable avec tout cluster Kubernetes certifié CNCF.

Mirantis propose trois formules d’assistance pour k0smotron/k0s

Checkmarx a lancé Checkmarx Application Security Posture Management (ASPM) et Cloud Insights pour fournir aux organisations une visibilité sur la posture de sécurité de leurs applications, et ce, du code au cloud. Disponibles sur la plateforme AppSec Checkmarx One, elles permettent aux entreprises qui développent des applications cloud natives de réduire considérablement les risques applicatifs et business en leur fournissant des informations de sécurité de bout-en-bout et en leur permettant de mieux corréler et prioriser les efforts de remédiation.

« Les développeurs et les équipes AppSec sont en quête de consolidation, ils souhaitent regrouper les vulnérabilités et informations issues des scans et des différents outils de sécurité pour se concentrer véritablement sur les corrections les plus importantes et éviter ainsi les problèmes lors de l’exécution sur le cloud. Avec l'augmentation de la complexité inhérente aux applications cloud natives et la pléthore de solutions requises pour détecter les vulnérabilités dans l’ensemble du spectre applicatif, les professionnels sont perdus. » souligne Kobi Tzruya, Chief Product Officer chez Checkmarx. « Checkmarx Cloud Insights révolutionne la sécurité applicative en renvoyant le contexte d’exécution dans le cycle de vie du développement, où Checkmarx accompagne la priorisation. Désormais, les développeurs peuvent concentrer les efforts de remédiation de manière plus efficace et en moins de temps. »

Fonctionnalités de Checkmarx Cloud Insights :

• Corrélation et intégration des données de Checkmarx avec les données des fournisseurs de services cloud (CSP) et des plateformes de protection des applications cloud natives (CNAPP).
• Une nouvelle façon de prioriser la remédiation, notamment par le biais de bibliothèques open source appelées dans l'environnement d'exécution (via l'intégration avec Sysdig) et par l'exposition au réseau Internet lorsqu'il est déployé dans l'environnement cloud (grâce aux partenariats avec Wiz et Amazon Web Services). Les informations sont intégrées dans Checkmarx Application Risk Management.
• La capacité de suivre la correction d'une vulnérabilité tout au long du cycle de vie du développement logiciel (SDLC) par le biais du chemin d'attaque. Par exemple, si une vulnérabilité est détectée dans une application en cours d'exécution, Cloud Insights :
  • Identifie le référentiel et le développeur pour accélérer le processus de remédiation
  • Identifie l'image du conteneur pour vérifier que le correctif y est reflété
  • Répertorie les clusters de conteneurs en cours d'exécution pour vérifier que l'application en cours d'exécution a été redémarrée avec des images fixes et qu'elle n'est plus dans l'environnement d'exécution.
• Amélioration de l'expérience des développeurs grâce à la proposition de renseignements sur les risques priorisés avec l’orientation vers la correction des vulnérabilités les plus critiques, les plus exposées au risque d'exploitation ou les plus à risque.

Site : checkmarx.com/product/aspm

La fondation Raspberry Pi, qui est une association caritative, a été créée en 2009. dans le but de promouvoir les bases de la programmation dans les écoles. Elle est à l'origine du développement du nano ordinateur mono-carte à processeur ARM Raspberry Pi.

En 2012, année au cours de laquelle les premiers Raspberry Pi on été mis en vente, Eben Upton, un des confondateur déclarait : L'absence de matériel programmable pour les enfants - le type de matériel que nous avions dans les années 1980 - compromet la formation de jeunes de 18 ans qui savent programmer. C'est donc un problème pour les universités et cela compromet la formation de jeunes de 21 ans qui savent programmer. Et cela pose des problèmes à l’industrie.

De fait, le Raspberry Pi a été un succès considérable,  avec plus de 60 millions d'unités vendues, non seulement auprès des formateurs mais aussi auprès de tous les passionées et autres makers.

Forte de ce succès, la fondation Raspberry Pi vient d'entrer en bourse, en tant que Raspberry Pi Holdings plc. Et là encore c'est un succès. Avec une valeur de 2,8 livres sterling à l'ouverture de la bourse le 11 juin, l'action a rapidement augmenté d'un tiers. Ainsi la valeur de l'entreprise Raspberry Pi Holdings plc  est passéee au-dessus des 542 millions de livres (soit 643 millions d'euros) au cours de la journée.