Cloud public

Nouvelle documentation AWS orientée sécurité

C’est avec un simple tweet que AWS nous informe de cette nouvelle page qui centralise la documentation sur la sécurité. Déjà très fournie, elle devrait encore s’étoffer dans les semaines qui viennent. Au menu, des tutoriels et des exemples de configuration, ainsi que des rappels aux modèles de menaces.

AWS CLI v2 GA

La version 2 de la CLI AWS est disponible ! Au programme : une meilleure autocomplétion, du SSO et des fonctionnalités interactives. Je vous laisse découvrir tout cela par vous-même, personnellement c’est déjà installé sur ma machine.

Sortie du CNI VPC AWS pour K8s en version 1.6.0

Au menu, tout un tas de correction de bugs et de nouveaux paramètres (Cf release notes) dont MINIMUM_IP_TARGET permettant de limiter le nombre d’IP associés aux nodes et ainsi réduire le temps de démarrage des pods, ou AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS qui améliore la prise en charge des VPC appairés en permettant l’exclusion de plages CIDR du SNAT. Au besoin, la doc EKS vous explique comment faire la mise à niveau du CNI dans EKS.

DevOps & tools

Github sort sa CLI

Pour tous les amateurs d’automatisations ou bien les aficionados de CLI voici une super nouvelle: Github CLI. Pour l’instant les fonctionnalités se limitent aux PRs et Issues, mais espérons que dans un futur proche Github en ajoute de nouvelles.

Molecule en version 3.0

Bonne nouvelle pour vous qui testez vos playbooks Ansible ! Et vous qui ne le faites pas encore mais allez bientôt le faire :)
Évidemment un lien vers le changelog qui contient pas mal de changements majeurs (providers retirés du core et installables en modules python etc), et un autre sur une issue qui cible les problèmes de migration depuis les versions 2.x.

Graylog 3.2

Sans être une mise à jour transcendante, cette nouvelle version est la bienvenue notamment concernant les fonctions de recherche. Je vous invite à regarder le détail ici.

Kubernetes

Video K8S in real life

Petite vidéo détournée d’un film, et faite par Memenetes qui nous a bien fait rire donc on partage Video

kube-router arrive en version v1.0.0

C’est précisément la version v1.0.0-rc1 qui a été dévoilée par le projet, réalisant un saut de numérotation depuis la v0.4.0. La petite taille du changelog rassure quand au fait que le produit est maintenant prêt pour la production : une véritable solution réseau alternative à considérer pour vos clusters Kubernetes.

Si vous n’êtes pas familiers du produit, kube-router s'appuie sur la pile réseau du kernel des nodes pour monter un réseau à plat, sans réinventer la roue. Au menu, routing BGP, loadbalancing IPVS/LVS et pod firewalling par iptables, le tout de manière légère, simple et efficace (philosophie Unix inside).

Sécurité et vie privée

Faille WiFi dans les puces Broadcom et Cypress

Délicieusement nommée CVE-2019-15126, cette faille touche le protocole WPA2 mais il n’est pas en cause. C’est bel et bien l’implémentation technique par deux fabriquants de puces parmis les plus vendues qui coince. En bref, un attaquant peu décrypter le flux chiffré en WPA2 et cela touche les vendeurs de matériels les plus connus nous explique NextInpact : Apple (iPhone & iPad), Amazon (Kindle & Echo), Cisco (points d’accès), Google (Nexus), Samsung (Galaxy) et bien d’autres. Les mises à jours sont en cours de publication et disponibles pour la plupart des fabriquants : appliquez-les rapidement !

Les backdoors, de quoi parle-t-on ?

Un peu d’historique et de mise en contexte de l’existence des backdoors dans divers équipements et logiciels. Si vous voyez régulièrement ce terme passer et qu’il vous interroge, vous trouverez là quelques explications bienvenues.

Sortie de OpenSSH en version 8.2

Attention si vous avez des vieux serveurs qui trainent, cette version perd le support de l’algo ssh-rsa pour la génération de clés. L’annonce est accompagnée d’une commande permettant de vérifier si votre serveur distant est concerné, la voici ssh -oHostKeyAlgorithms=-ssh-rsa user@host. Vous aurez aussi l’occasion d’y trouver trois propositions d’algorithmes alternatifs et la liste détaillée des changements apportés.
Autre point saillant de cette release, le support des clés FIDO/U2F. Il ne s’agit pas encore de FIDO2, mais c’est déjà une très bonne nouvelle.

RFC 8709 : nouveaux algos PubKeys pour SSH

En lien avec la nouvelle précédente, et pour vous montrer qu’une RFC ce n’est pas forcément long et compliqué : deux nouveaux algorithmes à courbes elliptiques rejoignent de le protocole SSH par cette extension de la RFC 4253. L’algorithme ed25519 est déjà embarqué dans OpenSSH depuis quelques années mais entre maintenant au rang de standard officiel, accompagné de ed448. L’excellent et court article de Stéphane Bortzmeyer vous en dira plus.

Keycloak 9.0.x est de sortie !

Vous avez sûrement une instance de Keycloak qui tourne quelque part : à la fois incontournable sans être une solution parfaite, voici la sortie de la version 9 (en attendant l’arrivée de la réécriture complète Keycloak.X).
Le résumé du changelog est dispo sur le blog, et comme les versions précédentes nous vous invitons à regarder les issues fermées pour avoir un changelog plus exhaustif.

Miscellaneous

Apache a 25 ans

Et chez Bearstech c’est l’occasion de faire un petit retour en arrière sur l’histoire de l'emblématique serveur Web et de sa fondation éponyme.

D-Wave met à jour son offre d’ordinateurs quantiques as-a-service

D-Wave passe la seconde avec une mise à jour de son service QaaS (Quantum computing as a service). Au delà de l’offre hardware mise à disposition, c’est un IDE et un SDK dédié à leur archi hybride qui sont mis à disposition des devs. Plus d’infos dans l’article de TechCrunch.