Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Un chercheur tire la sonnette d'alarme sur les failles de nombreuses applications open source
Qui ne doivent pas être oubliées à cause de Heartbleed

Le , par Arsene Newman, Expert éminent sénior
Après le grand émoi qu’a provoqué la découverte de la faille Heartbleed dans la librairie OpenSSL, Brian Fox, chercheur en sécurité chez Sonatype met en garde la communauté IT contre les différentes failles existantes et tient à rappeler vivement que Heartbleed ne doit pas faire oublier l’existence des autres failles dont certaines sont connues depuis des années. En effet, pour lui cette faille n’est que la partie apparente de l’iceberg.

Quelques semaines seulement après l’épisode Heartbleed, une autre découverte est venue bousculer l’ordre établi : OAuth 2.0 et OpenID exposeraient des millions d’utilisateurs et les plus grandes firmes IT à des attaques suite à une vulnérabilité découverte dans le Covert Redirect.

Dans un second temps, Fox dresse un constat accablant sur les autres failles qui se baladent encore dans la nature. Dans son blog, il en cite quatre :
  • Le client HTTP Java qui met en danger des millions d’applications et qui continue d’être téléchargé même par les entreprises ;
  • Le framework d’application web Strust2 : une des versions du framework est corrompue et permet l’exécution à distance d’un code malicieux, pour autant Strust2 continue d’être téléchargé par des milliers d’entreprises ;
  • L’API cryptographique Bouncy Castle : une des versions de l’API Java contient une vulnérabilité qui permet à l’attaquant de compromettre des données chiffrées, l’API vulnérable continue d’être utilisé par 4000 entreprises ;
  • Le serveur d’applications web Jetty : dans sa version 6.x et 7.0.0, il contient des vulnérabilités qui permettent à l’attaquant de modifier à distance des données sensibles via des requêtes HTTP.



Au final, Fox explique qu’« étant donné que les attaquants sont notifiés par le même mécanisme qui permet la découverte et le fix de la vulnérabilité, ils ont effectivement l’avantage du premier entrant, car il est généralement plus facile d’exploiter une faille que de mettre à jour votre famework ». Ainsi, si rien n’est fait, la situation actuelle pourrait donner lieu à un futur Heartbleed aux conséquences monstrueuses.

Sources : annonce des vulnérabilités d’OAuth et OpenID, blog.sonytape.com

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Angelsafrania Angelsafrania - Membre averti http://www.developpez.com
le 13/05/2014 à 13:36
Ca va peut être motivé les grandes entreprises (surtout les SSII) à contribuer un peu plus à l'open source.
Parce que c'est bien l'open source mais s'il y a que 3 gus pour développer le truc dans leur temps libre alors ça va pas avancer vite, les corrections ne seront pas au top, le développement pas forcement plus ...
Parce que les SSII profitent beaucoup de l'open source. Elle se font énormément d'argent sur le dos de la communauté, attention je ne juge pas ; mais ils pourraient bien redistribuer un peu cette argent sous forme de contribution et donc à terme rendre l'open source plus fiable ce qui leur serait avantageux.

Après on voit que le mec il fait surtout du Java vu que toutes les failles cité sont lié à Java. A moins que la majorité des contribution open source soient en Java et donc la majorité des bugs/failles critiques.
Avatar de Shuty Shuty - Membre éprouvé http://www.developpez.com
le 13/05/2014 à 14:15
Je partage grossièrement ton point de vue, mais il ne faut pas oublier qu'il y a un énorme fossé technique entre utilisateurs des solutions open source et contributeurs...
Avatar de Gugelhupf Gugelhupf - Modérateur http://www.developpez.com
le 13/05/2014 à 14:36
Citation Envoyé par Angelsafrania  Voir le message
Ca va peut être motivé les grandes entreprises (surtout les SSII) à contribuer un peu plus à l'open source.

Faut pas rêver
Avatar de Voïvode Voïvode - Membre émérite http://www.developpez.com
le 13/05/2014 à 15:09
Toutes les failles évoquées sont déjà corrigées depuis longtemps. Par ailleurs, tous les projets évoqués sont bien vivants et ont des moyens.

Le problème est l’intégration de versions obsolètes dans des frameworks ou des logiciels tellement gros (et mal conçus ?) qu’une « simple » mise à jour de bibliothèque peut être très couteuse. Mais ce problème n’est absolument pas spécifique à l’open source.
Avatar de Traroth2 Traroth2 - Expert éminent http://www.developpez.com
le 13/05/2014 à 15:39
Bon, après avoir jeté un oeil à la vulnérabilité Struts 2, il apparait qu'elle a été corrigé dans la version 2.3.15.1. Le problème est donc un problème de mise à jour par les utilisateurs de Struts 2, pas dans le développement du framework.

Les statistiques proviennent du repo central maven, et donc il est parfaitement envisageable que les versions défaillantes soient toujours downloadées aujourd'hui, si des développeurs peu avertis continuent à les inclure dans leurs pom.xml...
Avatar de ghost-404 ghost-404 - Nouveau membre du Club http://www.developpez.com
le 14/05/2014 à 0:32
Si toutes ces organisations montrée du doigts dans l'infographie concernait réellement le monde de l'opensource; leurs canaux de distributions (a savoir les dépôts des distributions/OS opensource) eux ne sont pas concernés par ces failles car ces dépendances ont toutes étés corrigées depuis un certain temps (Au minimum pour toutes les distributions basées sur debian/redhat/archlinux/slackware.. ainsi que les divers BSD).
Ensuite en oubliant que toutes les dates des CVE sont erronées, ces failles datent de plusieurs années et certaines d'entre elles ont étés même résolue avant même leur publication..
Heartbleed a au contraire eu un effet de piqure de rappel a toutes ces communautés, et un nombre record d'audits ont étés lancés sur beaucoups d'outils de l'opensource.

Je ne comprend juste pas l’intérêt de l'article ici qui tire l'alarme; après l'alarme; et sans raisons... En plus les différents échantillons d'aperçu de téléchargements sont tronqués juste pour faire peur au lecteur au lieu de montrer un aperçu global.
Ce n'est pas parceque quelques personnes téléchargent des versions comprenant des failles de sécurité déjà dévoilés que le reste du monde a plus de risque d'avoir une autre faille ayant le même impact qu'HeartBleed. On ne compare pas les télévisions aux tomates.
Avatar de coolspot coolspot - Membre confirmé http://www.developpez.com
le 14/05/2014 à 0:35
Citation Envoyé par Angelsafrania  Voir le message
Ca va peut être motivé les grandes entreprises (surtout les SSII) à contribuer un peu plus à l'open source.
Parce que c'est bien l'open source mais s'il y a que 3 gus pour développer le truc dans leur temps libre alors ça va pas avancer vite, les corrections ne seront pas au top, le développement pas forcement plus ...
Parce que les SSII profitent beaucoup de l'open source. Elle se font énormément d'argent sur le dos de la communauté, attention je ne juge pas ; mais ils pourraient bien redistribuer un peu cette argent sous forme de contribution et donc à terme rendre l'open source plus fiable ce qui leur serait avantageux.


La je pense que tu rêve. Les SSII n'en n'ont strictement rien à cirer de l'open-source et de la sécurité encore plus. C'est même avantageux pour eux vu qu'ils vont refourguer leur package merdique de vente d'une presta pour sécurisé le truc suivant la faille.
Bref ils faut savoir que les SSII c'est les fast-food/voyage low cost de la prestation informatique. Ils te vendent de la merde "industriel" par kilos et si tu veut plus de service/qualité ben faut le payer très très cher.

De toute façon les SSII se moque de faire des application pérennes et sécurisé sur le long terme vu que leur marché c'est TMA à la con étalé sur 3-4 ans avec une partie évolution/forfait qu'ils vendent au prix d'or.

Alors ne compte pas sur les SSII pour combler les faille sur Struts 2, car elles en ont strictement rien à cirer de ce genre de problème. Surtout que les contributions à la communauté open-source/libre ca se vend pas comme prestation au client et donc ca n'existe pas pour une SSII (surtout depuis ces 5 dernières années ou c'est la prime à la SSII la plus low-cost)
Avatar de valkirys valkirys - Membre expérimenté http://www.developpez.com
le 14/05/2014 à 13:30
Citation Envoyé par coolspot  Voir le message
Bref ils faut savoir que les SSII c'est les fast-food/voyage low cost de la prestation informatique. Ils te vendent de la merde "industriel" par kilos et si tu veut plus de service/qualité ben faut le payer très très cher.
...
Alors ne compte pas sur les SSII pour combler les faille sur Struts 2, car elles en ont strictement rien à cirer de ce genre de problème. Surtout que les contributions à la communauté open-source/libre ca se vend pas comme prestation au client et donc ca n'existe pas pour une SSII (surtout depuis ces 5 dernières années ou c'est la prime à la SSII la plus low-cost)

En SSII ou pas, un développeur compétent peut envoyer le signalement d'un bug et son correctif...
Avatar de Zefling Zefling - Membre émérite http://www.developpez.com
le 14/05/2014 à 16:30
Citation Envoyé par valkirys  Voir le message
En SSII ou pas, un développeur compétent peut envoyer le signalement d'un bug et son correctif...

Perso, c'est que je fais, que ça soit en pro ou perso. Après sur la vitesse de la correction dépend de :
- de son importance et sa pertinence
- la taille de la communauté
- du nombre de bugs à traiter
- du temps qu'il faut pour le corriger
Avatar de 4sStylZ 4sStylZ - Membre confirmé http://www.developpez.com
le 15/05/2014 à 17:41
@Coolspot Je suis d'accord avec toi sur le fait que les SSII n'évoluerons pas envers l'opensource.

Mais c'est quoi alors l'alternative aux SSII, le type de société que tu conseillerait à une entreprise qui a besoin d'une solution informatique?
Offres d'emploi IT
Ingénieur angularJS & angular2 H/F
ATC - Rennes - Bretagne - Rennes (35000)
2 Développeurs (H/F) Web & Mobile
ROXELLE - Ile de France - Paris (75008)
(H/F) CONSULTANT TECHNICO FONCTIONNEL SIRH CHEZ EDITEUR
STUDIO RH - Ile de France - Paris - 1er arrondissement

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil