92 est la moitié de 99

Nouvelles de la KW49.2025

PUBLICATION: «Voici peut-être votre introduction!» 😉

Plex Pass | Drame de l'ePA | Aisuru record DDoS | SRC suisse | React2Shell | UbuntuPro WSL | PDM 1.0 Release | Windows 11 25H2 | Écart de Grafana

Article premier

Plex met fin à l'accès à distance gratuit : ce qui change pour les utilisateurs

À partir de cette semaine, Plex appliquera ses nouvelles politiques qui mettront fin à l'accès gratuit à distance aux serveurs de médias personnels.

Les modifications concernent d'abord les utilisateurs de Roku avant d'être étendues à toutes les autres plateformes en 2026.

Qu'est-ce qui change concrètement?

Jusqu'à présent, les utilisateurs en dehors du réseau d'un propriétaire de serveur pouvaient accéder gratuitement à sa bibliothèque multimédia. Les nouvelles règles annoncées en mars Il faut maintenant que le propriétaire du serveur Abonnement au Plex Pass (à partir de 7 $ par mois), ou les utilisateurs externes doivent se Plex Pass ou le moins cher Passeport de surveillance à distance (à partir de 2 dollars par mois).

Les nouvelles dispositions sont officiellement entrées en vigueur le 29 avril. Selon un récent post sur le forum d'un employé de Plex, la mise en œuvre commence cette semaine avec l'application Roku OS. Toutes les autres applications Plex TV, telles que Fire TV, Apple TV et Android TV, ainsi que les clients tiers suivront en 2026.

Contexte de la modification

Plex justifie ces mesures par l'augmentation des coûts de prise en charge de nombreux appareils et codecs. L'entreprise prévoit également de financer de nouvelles fonctionnalités, notamment une intégration avec Common Sense Media, une application de gestion de serveur améliorée et une API ouverte pour les intégrations de serveurs.

La société subit une pression économique croissante: en janvier 2024, selon TechCrunch, Plex était proche de la rentabilité et a levé 40 millions de dollars de financement (après 50 millions en 2021). Les nouvelles obligations d'abonnement visent à augmenter les revenus et à permettre aux investisseurs d'obtenir des rendements.

Réactions et alternatives

Le développement pourrait irriter les utilisateurs de longue date qui utilisent Plex principalement comme serveur multimédia et n'ont aucun intérêt pour les abonnements, les chaînes de streaming ou la distribution de films. Fait intéressant, Plex a annoncé en 2023 que, depuis 2022, plus de personnes utilisent le service de streaming en ligne que les fonctionnalités du serveur de médias, ce qui indique que la société a modifié ses priorités.

Pour les utilisateurs qui recherchent une solution axée sur l'hébergement multimédia, des alternatives telles que Jellyfin deviennent de plus en plus attrayantes. Ceux-ci offrent des fonctionnalités similaires sans la commercialisation croissante que Plex a subie au cours des dernières années.

Conclusion

Les changements apportés à Plex marquent une nouvelle étape dans la transformation de l'entreprise, qui passe d'un simple fournisseur de serveurs multimédias à un service de streaming complet. L'adoption de cette stratégie à long terme dépendra du nombre d'utilisateurs fidèles que l'entreprise conservera ou du nombre d'utilisateurs qui passeront à des alternatives open source.

Article 2

Le dossier médical électronique (ePA) : entre sécurité des données et introduction cahoteuse

Le dossier médical électronique (ePA) est au cœur de la numérisation du système de santé allemand. Elle promet une meilleure vue d'ensemble de ses propres antécédents médicaux, des traitements plus efficaces et moins de paperasserie.

Mais alors que les avantages sont évidents, les thèmes Sécurité, vulnérabilités et déploiement auprès des assurés et des fournisseurs de prestations.

Des normes de sécurité élevées: la pierre angulaire de l'ePA

La sécurité des données de santé sensibles a fait l'objet d'une enquête auprès de l'ePA. La plus haute priorité. Les exigences légales sont strictes et des mesures importantes ont été prises pour protéger les données:

  • Chiffrement: Toutes les données de l'ePA sont stockées sous forme cryptée et la communication s'effectue de bout en bout sous forme cryptée au sein de l'ePA. Infrastructure télématique (TI), Un réseau sécurisé et fermé.
  • Stockage décentralisé: Les données sont stockées sur des serveurs sécurisés Centres de données en Allemagne, qui sont exploitées pour le compte des caisses d’assurance maladie.
  • Accès strictement réglementé: Seuls les assurés eux-mêmes ou les personnes autorisées par eux (médecins, pharmaciens, par exemple) peuvent consulter le contenu. Les Caisses d'assurance maladie ont Pas d'accès au contenu médical.
  • Procès-verbal: Tout accès à l'ePA sera consignée Elle peut être comprise par les assurés.
  • Procédure de non-participation: Depuis le début à l'échelle nationale, les assurés légaux reçoivent automatiquement un ePA, mais peuvent le faire. Contredire à tout moment (opt-out).

Vulnérabilités de sécurité: le test de résistance par des experts informatiques

Malgré des mesures de sécurité élevées, des notifications ont été faites, en particulier avant l'introduction généralisée: failles de sécurité potentielles.

  • Critique du CCC: professionnels de la sécurité informatique, tels que le Chaos Computer Club (CCC), ont souligné à plusieurs reprises des faiblesses. Celles-ci concernaient, entre autres, les Processus de sortie des cartes de santé et la possibilité, dans certains scénarios Accès non autorisé à générer, par exemple au moyen de certificats électroniques de remplacement.
  • Réaction cohérente: L'autorité compétente: gematik (Agence nationale de médecine numérique) a réagi rapidement à ces alertes et a signalé les faiblesses correspondantes. fermé. Les ministres de la Santé ont également reconnu les lacunes peu de temps après le lancement, tout en remerciant la grammaire pour la réaction rapide.
  • Risque résiduel: Comme avec n'importe quel système numérique, Pas de sécurité à 100% garantis. Les experts avertissent qu'en plus des attaques directes contre l'ePA, les Systèmes informatiques dans les cabinets et les hôpitaux doit être considéré comme un point d'attaque potentiel pour le chemin le plus rapide vers les données des patients.

Introduction Holprige: Défis techniques et organisationnels

L'introduction de l'ePA à l'échelle nationale n'a pas été sans obstacles. La complexité du projet et la multiplicité des acteurs impliqués ont conduit à: Problèmes techniques et organisationnels:

  • Retards techniques: Le début des essais a été plusieurs fois Problèmes techniques accompagné. Ainsi, par exemple, les cabinets ont dû Mises à jour en attente de leurs systèmes de gestion de cabinet. En outre, le déblocage des dossiers dans certaines caisses a été retardé par la nécessité de Autorisations BSI (Office fédéral pour la sécurité dans les technologies de l'information).
  • Manque de transparence et de communication: Les médecins, mais aussi les associations de consommateurs, ont critiqué les Manque de transparence et de communication des caisses d'assurance maladie et de la grammaire. Il s’agissait principalement de fournir des informations sur la procédure de non-participation et sur les applications réellement disponibles au début (par exemple, le carnet de vaccination).
  • Obstacles d'utilisabilité: Pour les assurés, il peut Accès à l'application ePA les exigences d'authentification complexes (eGK, PIN, ID de santé) sont perçues comme compliquées. En outre, les personnes qui n'ont pas de terminal approprié ou qui n'ont pas de connaissances techniques suffisantes restent exclues d'une utilisation autonome.
  • Utilisation initiale: L'acceptation est faible jusqu'à présent: selon les rapports, dans le passé, seul un petit pourcentage l'assuré utilise régulièrement l'application ePA.

Malgré ces défis, l'agence numérique s'efforce de résoudre les problèmes rencontrés et d'améliorer constamment la fiabilité technique de l'ePA afin d'exploiter pleinement son potentiel en tant que cœur numérique des soins de santé.

Cette vidéo montre comment les données du dossier médical électronique sont protégées:

Article 3

Nouveau record DDoS : le botnet Aisuru attaque à 29,7 térabits par seconde

Le botnet Aisuru se développe rapidement et établit constamment de nouveaux records DDoS. Maintenant, Cloudflare a repoussé une attaque sans précédent à 29,7 térabits par seconde. Et le botnet est loué, c'est-à-dire que pour quelques centaines de dollars, tout le monde peut théoriquement paralyser l'Internet de régions entières.

Le nouveau record en chiffres

Cloudflare a publié son rapport trimestriel pour le T3 2025 documente un nouveau record DDoS que l'entreprise affirme avoir réussi à repousser:

  • 29,7 térabits par seconde (Tbps) Taux de données
  • 14,1 milliards de paquets par seconde (pps)

La source? Encore une fois le Botnet d'Aisuru, qui est responsable de nombreuses attaques hypervolumétriques cette année, ce qui signifie que des attaques avec des débits de données supérieurs à un Tbps et à plus d'un milliard de pps sont possibles.

Le botnet se développe de manière explosive

Cloudflare estime à environ un à quatre millions le nombre d'appareils infiltrés utilisés par Aisuru dans le monde. À titre de comparaison:

  • Microsoft a récemment enregistré une attaque de 15,72 Tbps sur environ 500 000 appareils
  • Quelques semaines auparavant, des chercheurs avaient attribué au botnet une taille d'environ 300 000 appareils.

La croissance est donc massive. Du deuxième au troisième trimestre 2025, le nombre d'attaques DDoS hypervolumétriques d'Aisuru a augmenté de 54 %. Rien qu'en Q3, il y a eu 1 304 attaques de ce type. Depuis le début de l'année 2025, il y en a déjà 2 867 au total.

Botnet-as-a-Service : la démocratisation du chaos

Cela devient vraiment inquiétant: Aisuru semble être loué au moins en partie. Cloudflare met en garde:

«Peut-être que n’importe quel pays entier peut sombrer dans le chaos en paralysant les réseaux dorsaux et en surchargeant les connexions à l’internet, perturbant des millions d’utilisateurs et compromettant l’accès aux services essentiels pour quelques centaines à quelques milliers de dollars.»

En d'autres termes, pour le prix d'un ordinateur portable d'occasion, vous pouvez maintenant acheter des attaques d'infrastructure massives. Ce n'est plus de la science-fiction, c'est de la réalité.

Les attaques DDoS explosent en général

Le botnet Aisuru C'est juste la pointe de l'iceberg. Les chiffres globaux sont alarmants:

Comparaison annuelle:

  • 2023: 14 millions d'attaques DDoS
  • 2024: 21,3 millions d'attaques DDoS
  • 2025 (Q1-Q3 uniquement): 36,2 millions d’attaques DDoS – déjà 70% plus que tout au long de l’année 2024!

T3 2025:

  • 8,3 millions d'attaques DDoS
  • Cela correspond approximativement à 3 780 attaques de surcharge par heure
  • 15% Croissance par rapport au Q2

La tendance est clairement à la hausse, aussi bien en glissement annuel qu'en glissement trimestriel.

D'où viennent les attaques?

Les pays avec le plus grand nombre d'attaques DDoS observées sont l'Indonésie, la Thaïlande, le Bangladesh, l'Équateur, la Russie et le Vietnam

Qui est le plus souvent attaqué?

Les principales cibles des attaquants sont la Chine, la Turquie, Allemagne (à la 3e place !), Brésil, États-Unis et Russie

Secteur(s) concerné(s):

Principalement l'informatique, les télécommunications, les jeux d'argent et de hasard

Qu'est-ce que cela signifie pour vous?

Si vous travaillez dans l'un des secteurs concernés ou si vous exploitez une infrastructure en ligne critique, vous devez vérifier de toute urgence vos mesures de protection contre les attaques DDoS. Les attaques sont non seulement plus fréquentes, mais aussi plus massives.

Cloudflare a dans un article de blog séparé Les détails de sa stratégie défensive seront certainement intéressants à lire si vous devez aborder le sujet.

Conclusion

Le botnet Aisuru montre de manière impressionnante où va le voyage: des botnets de plus en plus grands, des attaques de plus en plus massives, un accès de plus en plus facile pour les attaquants. La combinaison de la croissance rapide et de la disponibilité en tant que service de location fait d'Aisuru une menace sérieuse pour les infrastructures critiques du monde entier.

Avec 3 780 attaques par heure uniquement sur Cloudflare, il est clair que les attaques DDoS ne sont plus un phénomène marginal, mais un problème massif et croissant pour Internet.

Article 4

La justice suisse suspend la surveillance de masse des services secrets

Un jugement historique venu de Suisse: le Tribunal administratif fédéral a déclaré inconstitutionnelle la surveillance généralisée exercée par le Service de renseignement de la Confédération (SRC). Les défenseurs des droits civiques se plaignaient et avaient raison.

Que font les services secrets suisses?

Le SRC fait de la plongée libre sur l'ensemble des télécommunications transfrontalières, c'est-à-dire tous les appels, e-mails et messages qui franchissent la frontière suisse. Le tout est automatisé : d'énormes flux de données sont capturés et analysés à la recherche de termes de recherche. Une surveillance de masse classique, comme l'a déjà dit le Tribunal fédéral suisse.

Officiellement, il s’agit de «renseignements stratégiques sur les télécommunications» pour obtenir des informations sur des événements importants pour la politique de sécurité à l’étranger. Dans la pratique, cela signifie: recherche de trames indépendantes des soupçons à grande échelle. Le SRC l'a d'ailleurs reconnu lui-même.

Qui a porté plainte?

L'association Digitale Gesellschaft et plusieurs particuliers, dont des journalistes et un avocat. Leur argument: grâce à la surveillance sans motif, leurs données sont également collectées et éventuellement évaluées, ce qui viole leurs droits fondamentaux.

Que dit le tribunal?

Le Tribunal administratif fédéral s'est clairement positionné le 19 novembre: la pratique actuelle n'est pas compatible avec la Constitution fédérale suisse et la Convention européenne des droits de l'homme. La raison principale: il n'y a pas de protection suffisante contre les abus.

Les critiques concrètes:

Absence de contrôle: Il n'est pas garanti que le SRC traite uniquement des données importantes et correctes.

Pas de règles spéciales pour les communications sensibles: La loi ne protège pas les sources journalistiques ni les communications particulièrement dignes de protection, comme c'est le cas entre l'avocat et le client.

Manque de surveillance: Il n'existe pas de contrôle suffisamment efficace de la collecte d'informations.

Absence de voies de recours effectives: Les personnes concernées ne peuvent pas se défendre efficacement par la suite.

Le tribunal s'est basé sur les exigences strictes de la Cour européenne des droits de l'homme, qui dans son arrêt contre la Grande-Bretagne (Big Brother Watch) a exigé des garanties continues pour la protection contre les abus.

Cinq ans de grâce

En fait, l'information par radio et par câble devrait maintenant être immédiatement arrêtée. Mais le tribunal accorde généreusement cinq ans au législateur pour remédier aux lacunes. Justification: les éclaircissements sont importants pour l'obtention d'informations par le SRC et une révision de la loi est déjà en cours.

L'annonce claire: Si aucun état conforme n’est établi d’ici à 2030, la surveillance doit obligatoirement être interrompue. Le jugement peut encore faire l'objet d'un recours devant le Tribunal fédéral.

Les défenseurs des droits civiques se réjouissent

La société numérique célèbre le jugement comme une décision historique. Leur opinion: la surveillance de masse est une atteinte si grave à la liberté qu'elle devrait être immédiatement arrêtée. Les erreurs juridiques sont trop graves pour maintenir la pratique.

Et en Allemagne?

La situation vous semble familière? Rien d'étonnant: le SRC suisse est le plus proche d'une combinaison du Service fédéral de renseignement allemand (BND) et de la Protection constitutionnelle (BfV).

En Allemagne, après les révélations de Snowden, la Cour constitutionnelle fédérale a également déclaré l'aspirateur de données BND inconstitutionnel. Cependant, le Bundestag a estimé que l'outil était indispensable et n'a réformé que les conditions d'utilisation. Business as usual, avec quelques nouvelles règles.

Article 5

Vulnérabilité critique dans React (CVSS 10/10)

Attention, tous les développeurs React: Une faille de sécurité critique menace la bibliothèque JavaScript et certaines applications qu'elle crée. Les attaquants peuvent exécuter du code malveillant et prendre le contrôle total des systèmes. Bonne nouvelle : des mises à jour de sécurité sont disponibles. La mauvaise, c'est que vous devriez l'installer tout de suite.

Dans quelle mesure la situation est-elle critique?

Très critique. La faiblesse (CVE-2025-55182) a le score CVSS 10 sur 10, donc le score le plus élevé. Elle est donc qualifiée de « critique ». Un chercheur en sécurité l’a déjà baptisée «React2Shell» en référence à la fameuse faille Log4j. Cela seul montre à quel point les choses sont sérieuses. Selon les chercheurs en sécurité de Wizz et Aikido l’écart est fondé sur une «désérialisation incertaine» dans le protocole de vol du cadre React. 

Qu'est-ce qui est concerné?

La faille se trouve dans les composants du serveur React. Concrètement, les composants suivants des versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de React sont vulnérables:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Attention: même les applications sans fonctions de serveur sont en danger!

C’est vraiment dommage: selon les développeurs, les applications qui n’utilisent pas activement les fonctionnalités du serveur React sont probablement vulnérables. La seule possibilité de les utiliser est suffisante pour une attaque potentielle. Cela signifie que même si vous n'utilisez pas ces fonctionnalités, vous pouvez toujours être en danger.

Autres frameworks concernés

Les frameworks et bundlers React suivants sont également vulnérables:

  • next
  • react-router
  • waku
  • @parcel/rsc
  • @vitejs/plugin-rsc
  • rwsdk

Dans ces cas, les développeurs veulent fournir des mises à jour de sécurité. Alors, gardez les yeux ouverts!

Les versions corrigées

Les développeurs de React ont corrigé le problème de sécurité dans les versions suivantes:

  • React 19.0.1
  • React 19.1.2
  • React 19.2.1

Si vous utilisez l'une des versions vulnérables, mettez immédiatement à jour vers la version corrigée correspondante!

Comment se déroule une attaque?

Les attaques sont possibles à distance sans authentification. C'est ce qui rend les choses particulièrement dangereuses. Lors du développement d'applications, les attaquants peuvent manipuler les requêtes HTTP dans le contexte de la communication entre les clients et les serveurs et, en fin de compte, exécuter du code malveillant.

Les détails techniques complets de la vulnérabilité seront publiés par les développeurs à une date ultérieure. Ils attendent probablement que la plupart des systèmes soient corrigés.

Une attaque est-elle imminente?

C'est la grande question. Un chercheur en sécurité a Posté un hachage mystérieux sur X/Twitter. Le lien avec un exploit de preuve de concept (PoC) est proche, mais les chercheurs en sécurité de Tenable disent qu'il n'y a actuellement aucune preuve d'un PoC fonctionnel pour les instances avec des configurations standard.

Et pourtant, ne vous y fiez pas. Une fois que les détails techniques seront publics, les attaquants n'auront pas besoin de beaucoup de temps pour développer des exploits fonctionnels.

Que devez-vous faire maintenant?

Vérifiez votre version de React
Utilisez-vous 19.0, 19.1.0, 19.1.1 ou 19.2.0?

Mise à jour immédiate sur 19.0.1, 19.1.2 ou 19.2.1

Vérifiez vos frameworks
Utilisez-vous next, react-router ou d'autres outils concernés?
Attendez les mises à jour annoncées

Informez votre équipe
S'assure que tous les développeurs sont au courant

Surveille les alertes
Vous trouverez plus d'informations sur le processus de mise à jour dans l'alerte officielle

Conclusion

Avec un score CVSS de 10/10, ce n'est pas un écart que vous devriez pousser sur le long banc. La combinaison de la gravité critique, de l'absence d'authentification pour les attaques et du fait que même les applications sans fonctionnalités de serveur actif peuvent être affectées, rend les choses brûlantes.

Donc, patchez-le maintenant, pas demain!

Article 6

Ubuntu Pro est maintenant disponible pour Windows! Enterprise-Linux rencontre le WSL

Canonical introduit Ubuntu Pro dans le sous-système Windows pour Linux (WSL). La version Enterprise promet 15 ans de mises à jour et peut être gérée de manière centralisée à l'aide d'outils de gestion Microsoft. Elle est désormais disponible dans le Microsoft Store.

Qu'est-ce qu'Ubuntu Pro pour WSL?

Ubuntu Pro est la version d'entreprise d'Ubuntu avec tout ce que les services informatiques d'entreprise veulent: des cycles de maintenance plus longs, un support professionnel et des fonctionnalités de sécurité avancées. Maintenant, tout cela est également disponible pour le sous-système Windows pour Linux.

Vous pouvez désormais installer Ubuntu Pro sur le Microsoft Store. Ceux qui aiment expérimenter trouveront également des versions bêta et le code source sur GitHub.

15 ans de mises à jour de sécurité : voici l'accord

Au cœur d'Ubuntu Pro: Canonical promet jusqu'à 15 ans de correctifs de sécurité CVE pour les paquets des référentiels Ubuntu. Cela signifie que, selon le fabricant, votre WSL devient un logiciel d'entreprise entièrement pris en charge, qui doit également répondre à des exigences strictes en matière de sécurité et de conformité.

L'Expanded Security Maintenance (ESM) fournit en permanence des correctifs pour les failles de sécurité. Non seulement pour le système d'exploitation lui-même, mais aussi pour les chaînes d'outils de développement populaires telles que Python, Go et Rust. En tant qu'administrateur, vous pouvez contrôler les mises à jour selon vos propres directives.

Pourquoi est-ce important?

Le sous-système Windows pour Linux est très pratique : vous pouvez utiliser les outils Linux de manière native sous Windows sans avoir à configurer de machines virtuelles ou de double démarrage. En collaboration avec Nvidia, WSL 2 offre même des performances GPU presque natives, c'est-à-dire que vos applications accèdent directement aux pilotes GPU de l'hôte Windows.

Mais, selon Canonical, le manque de support d'entreprise a été un obstacle pour de nombreux services informatiques. Avec Ubuntu Pro, cela devrait changer.

Gestion centralisée avec Landscape

Particulièrement intéressant pour les clients d'entreprise: l'intégration avec Landscape, l'outil de gestion du système de Canonical pour Ubuntu. La fonction de gestion du WSL est actuellement en phase bêta.

En tant qu'administrateur, il vous permet de surveiller toutes les instances WSL déployées après la configuration d'Ubuntu Pro. Landscape vous montre quels hôtes Windows sont conformes à vos stratégies de déploiement et de configuration WSL d'entreprise et lesquels ne le sont pas.

Intégration transparente de Microsoft

Ubuntu Pro pour WSL s'intègre parfaitement aux infrastructures Microsoft existantes:

  • Format de paquet MSIX: S'intègre parfaitement à vos workflows d'entreprise
  • Microsoft Intune: Installation et configuration basées sur le cloud
  • Active Directory: Gestion par stratégie de groupe
  • Option d'hébergement interne: Pour les entreprises avec des règles de pare-feu strictes, vous pouvez héberger et gérer de manière centralisée les images Ubuntu en interne

Support et coûts

Canonical propose différents modèles de support. La variante «Ubuntu Pro + Support» comprend l’assistance téléphonique et l’assistance par ticket si vous ne pouvez pas aller plus loin.

La bonne nouvelle pour les utilisateurs privés: Ubuntu Pro est disponible gratuitement pour vous. Les entreprises peuvent acheter des abonnements commerciaux directement auprès de Canonical.

Pour qui cela en vaut-il la peine?

Ubuntu Pro pour WSL s'adresse principalement à:

  • Développeurs en entreprise, qui souhaitent utiliser les outils Linux sous Windows
  • Administrateurs informatiques, qui doivent gérer et sécuriser de manière centralisée les instances WSL
  • Entreprises soumises à des exigences de conformité strictes, qui ont besoin de longues périodes de support
  • Tous ceux qui dépendent des performances du GPU tout en souhaitant bénéficier d'un support d'entreprise

En bref, si vous utilisez le WSL dans un environnement professionnel et que vous attachez de l'importance à la sécurité, au support et à la gestion centralisée, Ubuntu Pro pourrait être fait pour vous.

Article 7

Proxmox Datacenter Manager v 1.0 Enfin une gestion centralisée de votre infrastructure Proxmox

Bonne nouvelle pour tous les administrateurs Proxmox : la société viennoise Proxmox Server Solutions GmbH Datacenter Manager 1.0 Il s'agit de la première version d'un outil que beaucoup d'entre vous attendaient. Cela vous permet enfin de gérer toutes vos instances, serveurs de sauvegarde, clusters et nœuds Proxmox Virtual Environment (VE) de manière centralisée à partir d'une seule console Web. Plus de va-et-vient entre les différentes interfaces!

Qu'est-ce que le Datacenter Manager vous apporte?

L'essentiel, c'est que vous ayez un Vue d'ensemble consolidée sur l'ensemble de votre infrastructure Proxmox. Le tableau de bord central vous montre en un coup d'œil l'état et les performances de tous les systèmes connectés, y compris les KPI importants tels que l'utilisation du CPU, de la RAM et des E/S de stockage. Pratique : grâce au cache local, le dernier état connu reste également disponible hors ligne si quelque chose n'est pas accessible.

Ils sont particulièrement cool Custom Views avec RBAC: Vous pouvez créer des tableaux de bord basés sur les rôles qui n'affichent que des systèmes ou des ressources spécifiques. Parfait pour les environnements multi-locataires, où différentes équipes doivent surveiller différents domaines sans avoir un accès direct aux hôtes sous-jacents.

Gestion multicluster et migration en direct

Un véritable point culminant est le Fonctionnalité de migration en direct cross-cluster. Cela vous permet de déplacer des machines virtuelles entre différents clusters sans temps d'arrêt; super pratique pour la répartition des charges ou la maintenance sans temps d'arrêt.

La plate-forme apporte également Fonctionnalités SDN centralisées avec support EVPN avec. Vous pouvez configurer des zones EVPN et des VNets sur plusieurs distances dans une seule interface, ce qui réduit considérablement la complexité dans des environnements plus vastes.

En outre, il y a Gestion centralisée des mises à jour: Découvrez en un coup d'œil où les mises à jour sont disponibles et distribuez les correctifs pour Proxmox VE et Backup Server directement à partir de la console centrale. Plus : un accès shell unifié à tous les systèmes distants à partir d'une seule console.

Base technique: Debian 13.2 «Trixie»

Comme d'habitude, Proxmox utilise également Datacenter Manager 1.0 (et le serveur de sauvegarde 4.1 qui est apparu en parallèle) Debian GNU/Linux «Trixie» 13.2 comme fondation. Avec à bord: noyau Linux 6.17.2 et OpenZFS 2.3.4. Les mises à jour s'exécutent facilement via le WebGUI ou via apt dans le terminal.

N'oubliez pas la sécurité!

Un indice important: le Datacenter Manager est bien sûr une cible d'attaque attrayante en tant que point d'entrée central. Si elle est compromise, non seulement vos nœuds et clusters seront affectés, mais dans le pire des cas, les sauvegardes seront également affectées. Proxmox recommande donc fortement:

  • Bloque le trafic entrant inutile vers Datacenter Manager
  • Crypte également les sauvegardes côté client
  • Utilise un VPN sécurisé pour accéder à des réseaux non sécurisés

Bonne nouvelle : Datacenter Manager contacte les instances de VE et de serveur de sauvegarde (et non l'inverse). Cela rend la protection plus facile. Proxmox travaille également sur d'autres mesures de sécurité pour les futures versions.

Dans other news: Proxmox Backup Server 4.1 est également apparu

En parallèle, il y a aussi une mise à jour pour le Proxmox Backup Server version 4.1. Principales nouveautés:

  • Limites de bande passante basées sur l'utilisateur: Vous pouvez maintenant mieux prioriser les utilisateurs ou les services qui obtiennent plus de bande passante pour les sauvegardes et les restaurations
  • Threads configurables pour la vérification: Ajustez le nombre de threads pour les lectures et le calcul de la somme de contrôle en fonction de votre matériel, ce qui accélère considérablement les vérifications
  • Limites de bande passante S3: La prise en charge de S3 introduite dans la version 4.0 a été étendue avec une limitation de bande passante, parfaite pour les environnements partagés

Prix et disponibilité

Comme vous le savez de Proxmox, tout est sous la GNU AGPLv3 et est Utilisable gratuitement. Les téléchargements sont disponibles gratuitement. Si vous voulez le référentiel d'entreprise et le support, vous payez pour le serveur de sauvegarde 540 euros nets par an pour l'accès au dépôt, le support coûte entre 1080 et 4320 euros par an en fonction du niveau.

Important pour Datacenter Manager: Vous n'aurez accès au référentiel et à l'assistance Enterprise que si au moins 80 % de vos systèmes distants configurés disposent d'un abonnement Basic valide ou supérieur.

Conclusion: Avec Datacenter Manager 1.0, Proxmox fait un grand pas vers la gestion d'infrastructures de plus grande taille. Si vous exploitez plusieurs clusters Proxmox, vous devriez certainement jeter un coup d'œil à l'outil!

Article 8

Windows 11 25H2 : Microsoft lance une mise à jour automatique pour les utilisateurs de 24H2

Microsoft continue de tourner sur la roue de déploiement: depuis la nuit dernière, l'entreprise distribue le Mise à jour Windows 11 25H2 (également appelée «mise à jour 2025») est désormais automatiquement transmise aux ordinateurs exécutant Windows 11 24H2. Donc, si vous faites partie des personnes concernées, votre PC pourrait bientôt vouloir passer à la nouvelle version par lui-même.

Qui recevra la mise à jour automatique?

Pour la première fois, seuls les Éditions Home et Pro de Windows 11 24H2, qui non géré par un service informatique Il s'agit généralement d'ordinateurs privés et de petites entreprises sans gestion centralisée. Microsoft utilise un processus de déploiement basé sur l’apprentissage automatique pour la distribution, qui vérifie si votre appareil est «prêt» pour la mise à jour.

La bonne nouvelle, c'est que vous n'avez rien à faire activement. Microsoft écrit dans les notes de santé de la version Windows que la mise à jour viendra automatiquement si votre système est éligible. Vous pouvez toutefois choisir vous-même l’heure de redémarrage ou bien reporter complètement la mise à jour si cela ne vous convient pas.

Comment contrôler la mise à jour

Si vous souhaitez contrôler le déploiement automatique, vous avez plusieurs options:

Influence de l'heure de redémarrage: Configurez vos «temps d’utilisation» dans les paramètres de Windows. Ensuite, Windows évite les redémarrages pendant ces périodes.

Déplacer la mise à jour: Accédez à «Démarrer» → «Paramètres» → «Windows Update» et utilisez l’option «Suspendre les mises à jour». Vous pouvez ainsi retarder l'installation.

Les premiers oiseaux peuvent se mettre à jour immédiatement

Qui dans les paramètres de mise à jour Windows l'option «Recevez les dernières mises à jour dès qu’elles sont disponibles» activé, c'est encore plus rapide. Pour ces utilisateurs, la distribution commence également sur tous les appareils appropriés.

Vous voulez vérifier par vous-même si vous êtes prêts? Allez simplement dans «Paramètres» → «Windows Update» et cliquez sur «Rechercher les mises à jour». Lorsque votre ordinateur est prêt, vous pouvez télécharger et installer Windows 11 25H2.

Contexte: les utilisateurs de 23H2 sont déjà à l'écoute

Il y a environ trois semaines, Microsoft avait déjà mis à jour Windows 11 23H2 à 25H2 commencé. Cependant, cela avait un arrière-plan différent, car la version 23H2 a atteint sa fin de service et doit donc impérativement être mise à jour.

Pour les utilisateurs de 24H2, il s’agit donc maintenant du déploiement «normal» de la nouvelle version, et non d’une mise à jour forcée en raison de la fin du support.

Article 9

Écart critique de Grafana avec CVSS 10.0 : usurpation d'identité et droits d'administrateur possibles

Attention, tous les utilisateurs de Grafana Enterprise: Il y a une vulnérabilité extrêmement critique avec le score CVSS maximum possible de 10.0!

À l'aide de la vulnérabilité CVE-2025-41115, les attaquants peuvent, sous certaines conditions, pirater les identités des utilisateurs et même obtenir des droits d'administration. Grafana a déjà fourni des mises à jour, vous devez l'installer dès que possible.

Sujet: Qu'est-ce que Grafana?

Pour ceux qui ne connaissent pas Grafana, il s'agit d'un outil populaire de visualisation et d'analyse de données. Cela vous permet de créer des tableaux de bord interactifs, de définir des alarmes et de surveiller l'ensemble de votre infrastructure et de vos applications. Grafana est disponible à la fois en version open source et en version d’entreprise avec des fonctionnalités avancées.

Quel est le problème?

L'écart est dans Grafana Enterprise dans les versions 12.0.0 à 12.2.1. Si vous avez activé SCIM (System for Cross-domain Identity Management), les attaquants peuvent créer un utilisateur avec un ID externe numérique. Grafana associe alors par erreur cet ID SCIM externe à un ID utilisateur interne et interprète les valeurs numériques en tant qu'ID utilisateur interne.

Dans le pire des cas, cela signifie qu'un attaquant pourrait créer un nouvel utilisateur, qui sera alors traité comme un compte interne existant -> Comprend un compte administrateur. Le résultat : vol d'identité, extension des droits et accès complet à votre instance Grafana.

Qui est concerné?

La faiblesse ne vous concerne que si les deux ces conditions sont remplies:

  1. Le drapeau des fonctionnalités «enableSCIM» est défini sur «true»;
  2. L'option de configuration «user _sync _enabled» le bloc «[auth.scim]» est également défini sur «true»;

La bonne nouvelle, c'est que si vous n'utilisez pas SCIM, vous n'êtes pas vulnérable. Mieux encore, ils L'édition open source Grafana OSS n'est pas affectée. Les offres managées aussi Amazon Managed Grafana et Azure Managed Grafana sont déjà sécurisés. Grafana s'est directement coordonné avec AWS et Microsoft.

Que devez-vous faire?

Grafana a annoncé Enterprise version 12.3 En même temps, nous publions trois versions corrigées:

  • Grafana Enterprise 12.2.1
  • Grafana Enterprise 12.1.3
  • Grafana Enterprise 12.0.6

Les trois versions corrigent la vulnérabilité critique CVE-2025-41115. Si vous utilisez une version affectée et que vous avez activé SCIM, vous devez immédiatement Mettre à jour vers l'une des versions corrigées.

Sun-Tsu dérivation cette semaine traite des vulnérabilités.
«Le lieu de la moindre préparation est la porte d’entrée de l’ennemi. Protégez vos plus faibles, car ils déterminent la force de vos murs.»

Signification : Faiblesses dans la Chaîne d'approvisionnement (Third-Party Risk) et Utilisateurs finaux (Ingénierie sociale, phishing) sont les principaux vecteurs d'attaque et nécessitent la plus grande attention.

Stephan
|
| | | | | | |
vers le haut | accueil | pour la recherche