Un chercheur remet en question la gestion des failles de sécurité des projets open source
Et propose quelques bonnes pratiques

Le , par Cedric Chevalier, Expert éminent sénior
Jusqu’à quel point les communautés en charge des projets open source sont réactives face à la publication des rapports de vulnérabilité ?

Un chercheur indépendant nommé Brandon Perry a réalisé un audit de sécurité pour sept logiciels open source populaires à savoir Moodle, vTiger CRM, Zabbix, ISPConfig, OpenMediaVault, NAS4Free et Openbravo ERP, tous domiciliés sur sourceforge.

Rapidement, Brandon a pu venir à bout des logiciels. Il a ainsi découvert des failles de sécurité pour toutes ces applications, et développé des modules Metasploit pour les exploiter.

Par la suite, les différentes communautés open source responsables des projets ont été alertées. Comme on s’y attendait, leurs réactions ont été promptes.

Les communautés des projets Zabbix, OpenMediaVault, et Moodle ont fait part de leurs intentions de ne créer en aucun moment de patchs pour les vulnérabilités qui leur ont été soumises.

Par contre, les équipes de vTiger CRM, Openbravo ERP et ISPConfig ont publié des correctifs de sécurité.

L’équipe de NAS4Free quant à elle, s’est tenue de toutes formes de commentaires. En effet, elle n’a pas annoncé ses intentions de publier quoi que ce soit.


Cela peut paraître déroutant que des communautés de projets open source ne produisent pas des correctifs pour des vulnérabilités qui leur ont été explicitement adressées. En effet, les vulnérabilités reportées ont toutes besoin que le hacker soit correctement authentifié avec la combinaison nom d’utilisateur et mot de passe, avant de faire quoi que ce soit.

De plus, les communautés réfractaires à la publication de correctifs ont avancé l’argument qu’en fait, il ne s’agissait pas d’une vulnérabilité, mais d’une condition normale de fonctionnement de l’application.

Par ailleurs, le chercheur de Metasploit déplore le fait que les responsables de ces projets open source ne respectent pas scrupuleusement la RFPolicy disponible depuis quelque temps déjà et mise en pratique par les organismes comme Microsoft ou encore Apache.

Ladite politique décrit précisément les relations que le chercheur en sécurité qui a découvert la faille et les responsables de la maintenance du logiciel concerné doivent entretenir avant la publication officielle de la vulnérabilité. En effet, la RFPolicy stipule que le chercheur contacte les mainteneurs du logiciel pour leur faire part de la vulnérabilité découverte, et ceux-ci sont tenus d'apporter les correctifs nécessaires avant que la faille ne soit rendue publique.

Or, pour certains des logiciels testés, les mainteneurs ont soumis la vulnérabilité à un "Bug Tracker List" où l'échange de message se faisait en texte clair.

Pour terminer, Tod Beardsley de Rapid7 donne huit bonnes pratiques pour améliorer le processus de suivies des vulnérabilités logicielles depuis leur découverte jusqu'à leur publication. C'est ainsi qu'il recommande entre autres, d'utiliser un bon format pour l'adresse mail à laquelle les chercheurs devront envoyer les découvertes de failles logicielles, d'utiliser PGP (Pretty Good Privacy) pour chiffrer les communications, ou encore aux mainteneurs logiciels d'accusé réception d'un mail en relation avec la découverte d'une vulnérabilité qui leur a été adressée par un chercheur.

Source: Blog Rapid7

Et vous ?

Quelle est votre opinion ?

Les responsables des projets Zabbix, OpenMediaVault, et Moodle ont-ils raison de ne pas publier de correctifs ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Mishulyna Mishulyna - Traductrice https://www.developpez.com
le 01/11/2013 à 19:55
Citation Envoyé par Cedric Chevalier  Voir le message

De plus, les communautés réfractaires à la publication de correctifs ont avancé l’argument qu’en fait il ne s’agissait pas d’une vulnérabilité mais d’une condition normale de fonctionnement de l’application.

Et vous ?

Quelle est votre opinion ?

"It's not a bug, it's a feature!"
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 08/11/2013 à 10:04
Il a choisi des projets pas très connus (je ne connaissais que Zabbix, personnellement), et il en tire des conclusions pour toute la communauté open-source. Ça parait plutôt spécieux.

Ensuite et surtout, il serait effectivement intéressant de savoir quels sont les fameuses vulnérabilités en question, et ce que font les "exploits" il affirme avoir été en mesure d'écrire. Si les personnes qui maintiennent ces projets affirment qu'il ne s'agit pas de vulnérabilité alors que lui dit l'inverse, lui donner raison sans plus d'explication ne me parait pas très sérieux.
Avatar de 6-MarViN 6-MarViN - Membre confirmé https://www.developpez.com
le 08/11/2013 à 10:21
Citation Envoyé par Traroth2  Voir le message
Il a choisi des projets pas très connus (je ne connaissais que Zabbix), et il en tire des conclusions pour toutes la communauté open-source. Ca parait plutôt spécieux.

Ensuite et surtout, il serait effectivement intéressant de savoir quels sont les fameuses vulnérabilités en question, et ce que font les "exploits" il affirme avoir été en mesure d'écrire. Si les personnes qui maintiennent ces projets affirment qu'il ne s'agit pas de vulnérabilité alors que lui dit l'inverse, lui donner raison sans plus d'explication ne me parait pas très sérieux.

Moodle est quand meme relativement connu.

Ensuite pour ce qui est de Zabbix, le tableau affiche que la faille est que l'on peut executer une commande sur un OS apres authentification. Or Zabbix etant un outil de monitoring permettant d'executer des commande distantes pour resoudre des probleme (par example redemarrer un serveur Apache qui tombe), il est normal que cela soit possible. La vrai faille serait de pouvoir faire ca AVANT l'authentification.
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 08/11/2013 à 10:28
Citation Envoyé par 6-MarViN  Voir le message
Moodle est quand meme relativement connu.

Ensuite pour ce qui est de Zabbix, le tableau affiche que la faille est que l'on peut executer une commande sur un OS apres authentification. Or Zabbix etant un outil de monitoring permettant d'executer des commande distantes pour resoudre des probleme (par example redemarrer un serveur Apache qui tombe), il est normal que cela soit possible. La vrai faille serait de pouvoir faire ca AVANT l'authentification.

Ah oui, j'avais zappé cette colonne. En fait, toutes les "vulnérabilités" sont post-authentification. C'est donc une notion de la vulnérabilité qui est quand même assez... particulière.
Avatar de tontonnux tontonnux - Membre expérimenté https://www.developpez.com
le 08/11/2013 à 10:33
Moi, j'ai trouvé une grosse faille de sécurité dans phpMyadmin.
En effet, une fois qu'on est identifié avec un compte qui dispose de suffisamment de droits, on peut faire un DROP DATABASE (wé, carrément !).

<<<<<*

*already out...
Avatar de imikado imikado - Rédacteur https://www.developpez.com
le 08/11/2013 à 10:47
La gestion est a peu près la même que pour le propriétaire: on averti l'editeur/responsable du projet et il prend ou non du temps pour corriger le produit.

La seul différence avec un projet opensource, c'est qu'au pire, si le responsable ne veut vraiment pas corriger des failles sur son projet, il verra rapidement naitre un fork les corrigeant
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 08/11/2013 à 10:47
Citation Envoyé par tontonnux  Voir le message
Moi, j'ai trouvé une grosse faille de sécurité dans phpMyadmin.
En effet, une fois qu'on est identifié avec un compte qui dispose de suffisamment de droits, on peut faire un DROP DATABASE (wé, carrément !).

<<<<<*

*already out...

Pas besoin de sortir. C'est de cet ordre, les "vulnérabilités" que cet "expert" a trouvé. J'imagine bien la gueule des "exploits", là...
Avatar de fredoche fredoche - Membre chevronné https://www.developpez.com
le 08/11/2013 à 11:12
Citation Envoyé par Traroth2  Voir le message
Ah oui, j'avais zappé cette colonne. En fait, toutes les "vulnérabilités" sont post-authentification. C'est donc une notion de la vulnérabilité qui est quand même assez... particulière.

pas du tout

c'est plutôt penser que n'importe quel utilisateur loggué est digne de confiance qui est une notion assez particulière

La sécurité ce n'est pas juste authentifier un utilisateur, c'est aussi gérer ses privilèges, l'autorité dont il dispose au sein de l'application.

J'ai regardé au moins pour Moodle le mécanisme qui est bien un XSS, cela permet de modifier les privilèges tout en usurpant une identité.

Quand dans une appli tu gères différents rôles, c'est gênant tout de même.

Si une fois loggué sur mon compte en banque, j'accède à celui de l'ensemble des clients de la banque, ça va être "la fête du slip "
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 08/11/2013 à 11:51
Citation Envoyé par fredoche  Voir le message
pas du tout

c'est plutôt penser que n'importe quel utilisateur loggué est digne de confiance qui est une notion assez particulière

La sécurité ce n'est pas juste authentifier un utilisateur, c'est aussi gérer ses privilèges, l'autorité dont il dispose au sein de l'application.

J'ai regardé au moins pour Moodle le mécanisme qui est bien un XSS, cela permet de modifier les privilèges tout en usurpant une identité.

Quand dans une appli tu gères différents rôles, c'est gênant tout de même.

Si une fois loggué sur mon compte en banque, j'accède à celui de l'ensemble des clients de la banque, ça va être "la fête du slip "

Ca dépend fortement du type d'application, ce que tu dis. Toutes les applications ne gèrent pas de notion de rôle, justement. Pour Zabbix, par exemple, ces affirmations me paraissent carrément fantaisistes. Et là, ça entame quand même méchamment sa crédibilité. Déjà qu'il a quand sélectionné des projets pas franchement parmi les plus importants de la planète, ce qui me parait quand même une coïncidence un peu bizarre, on peut commencer à se poser des questions sur sa bonne foi.

Bon, je vais me fendre de lire en détail, mais comme dit, à partir du moment où le type raconte du bullshit sur un des sujets, quelle crédibilité accorder au reste de ces propos ?

-Moodle, effectivement, la faille est sérieuse. Moodle est une plateforme de e-learning, et un "étudiant" (utilisateur sans privilèges) peut accéder au statut admin. Je dois reconnaitre que j'avais déjà entendu parler de cette application, à la réflexion.
-vTiger (il n'explique même pas ce que c'est. Pas évident pour replacer le comportement problématique dans le contexte général du fonctionnement de l'application). Déjà, il faut avoir les droits admin pour utiliser l'exploit, qui permet d'uploader des scripts php avec l'extension "php3". Le bug a là été corrigé par l'équipe.
-Zabbix, qui est une application de monitoring système. La "faille", c'est qu'un administrateur peut exécuter une commande shell à distance, y compris sur localhost. Vus les cas d'usage de Zabbix, on a du mal à voir l'aspect problématique. Au mieux, il coupe les cheveux en quatre, si on veut être indulgent.
-Openbravo ERP a corrigé la faille, qui permettait à un utilisateur authentifié de downloader des fichiers situés sur le serveur
-ISPConfig a aussi été corrigé. La faille permettait à un administrateur d'uploader un script PHP sur le serveur et de le faire exécuter...
-OpenMediaVault est une variante de Debian Linux, apparemment. Il est possible de créer un cron qui exécute un script, même en root. J'aurais tendance à dire qu'en root, il doit même être possible de faire un rm -rf /*, mais j'ai du mal à y voir quelque chose d'anormal.
-NAS4Free est une variante de système BSD. Il est donc possible entre autre d'exécuter un script PHP. Là aussi, je pense qu'on peut faire bien pire, mais je ne vois toujours pas où est le problème.

Franchement, le cas de Moodle me semble le seul réellement problématique. Le reste est vraiment tiré par les cheveux coupés en quatre.
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 08/11/2013 à 14:33
J'ajouterais que, pour Moodle, j'aimerais bien connaitre le numéro d'incident, parce que je n'ai pas trouvé sur le JIRA...

https://tracker.moodle.org/secure/Dashboard.jspa

C'est dommage, les commentaires de l'équipe de Moddle m'auraient intéressés.
Offres d'emploi IT
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil