Discussion :

[Arsene Newman]

Heartbleed ne doit pas nous faire oublier l’existence des autres failles de sécurité
Voilà le constat d’un expert en sécurité

Après le grand émoi qu’a provoqué la découverte de la faille Heartbleed dans la librairie OpenSSL, Brian Fox, chercheur en sécurité chez Sonatype met en garde la communauté IT contre les différentes failles existantes et tient à rappeler vivement que Heartbleed ne doit pas faire oublier l’existence des autres failles dont certaines sont connues depuis des années. En effet, pour lui cette faille n’est que la partie apparente de l’iceberg.

Quelques semaines seulement après l’épisode Heartbleed, une autre découverte est venue bousculer l’ordre établi : OAuth 2.0 et OpenID exposeraient des millions d’utilisateurs et les plus grandes firmes IT à des attaques suite à une vulnérabilité découverte dans le Covert Redirect.

Dans un second temps, Fox dresse un constat accablant sur les autres failles qui se baladent encore dans la nature. Dans son blog, il en cite quatre :

• Le client HTTP Java qui met en danger des millions d’applications et qui continue d’être téléchargé même par les entreprises ;
• Le framework d’application web Strust2 : une des versions du framework est corrompue et permet l’exécution à distance d’un code malicieux, pour autant Strust2 continue d’être téléchargé par des milliers d’entreprises ;
• L’API cryptographique Bouncy Castle : une des versions de l’API Java contient une vulnérabilité qui permet à l’attaquant de compromettre des données chiffrées, l’API vulnérable continue d’être utilisé par 4000 entreprises ;
• Le serveur d’applications web Jetty : dans sa version 6.x et 7.0.0, il contient des vulnérabilités qui permettent à l’attaquant de modifier à distance des données sensibles via des requêtes HTTP.

Au final, Fox explique qu’« étant donné que les attaquants sont notifiés par le même mécanisme qui permet la découverte et le fix de la vulnérabilité, ils ont effectivement l’avantage du premier entrant, car il est généralement plus facile d’exploiter une faille que de mettre à jour votre famework ». Ainsi, si rien n’est fait, la situation actuelle pourrait donner lieu à un futur Heartbleed aux conséquences monstrueuses.

Sources : annonce des vulnérabilités d’OAuth et OpenID, blog.sonytape.com

Et vous ?

Qu’en pensez-vous ?

[Angelsafrania]

Ca va peut être motivé les grandes entreprises (surtout les SSII) à contribuer un peu plus à l'open source.
Parce que c'est bien l'open source mais s'il y a que 3 gus pour développer le truc dans leur temps libre alors ça va pas avancer vite, les corrections ne seront pas au top, le développement pas forcement plus ...
Parce que les SSII profitent beaucoup de l'open source. Elle se font énormément d'argent sur le dos de la communauté, attention je ne juge pas ; mais ils pourraient bien redistribuer un peu cette argent sous forme de contribution et donc à terme rendre l'open source plus fiable ce qui leur serait avantageux.


Après on voit que le mec il fait surtout du Java vu que toutes les failles cité sont lié à Java. A moins que la majorité des contribution open source soient en Java et donc la majorité des bugs/failles critiques.

[Shuty]

Je partage grossièrement ton point de vue, mais il ne faut pas oublier qu'il y a un énorme fossé technique entre utilisateurs des solutions open source et contributeurs...

[Gugelhupf]

Ca va peut être motivé les grandes entreprises (surtout les SSII) à contribuer un peu plus à l'open source.

Faut pas rêver

[Voyvode]

Toutes les failles évoquées sont déjà corrigées depuis longtemps. Par ailleurs, tous les projets évoqués sont bien vivants et ont des moyens.

Le problème est l’intégration de versions obsolètes dans des frameworks ou des logiciels tellement gros (et mal conçus ?) qu’une « simple » mise à jour de bibliothèque peut être très couteuse. Mais ce problème n’est absolument pas spécifique à l’open source.

[Traroth2]

Bon, après avoir jeté un oeil à la vulnérabilité Struts 2, il apparait qu'elle a été corrigé dans la version 2.3.15.1. Le problème est donc un problème de mise à jour par les utilisateurs de Struts 2, pas dans le développement du framework.

Les statistiques proviennent du repo central maven, et donc il est parfaitement envisageable que les versions défaillantes soient toujours downloadées aujourd'hui, si des développeurs peu avertis continuent à les inclure dans leurs pom.xml...

[ghost-404]

Si toutes ces organisations montrée du doigts dans l'infographie concernait réellement le monde de l'opensource; leurs canaux de distributions (a savoir les dépôts des distributions/OS opensource) eux ne sont pas concernés par ces failles car ces dépendances ont toutes étés corrigées depuis un certain temps (Au minimum pour toutes les distributions basées sur debian/redhat/archlinux/slackware.. ainsi que les divers BSD).
Ensuite en oubliant que toutes les dates des CVE sont erronées, ces failles datent de plusieurs années et certaines d'entre elles ont étés même résolue avant même leur publication..
Heartbleed a au contraire eu un effet de piqure de rappel a toutes ces communautés, et un nombre record d'audits ont étés lancés sur beaucoups d'outils de l'opensource.

Je ne comprend juste pas l’intérêt de l'article ici qui tire l'alarme; après l'alarme; et sans raisons... En plus les différents échantillons d'aperçu de téléchargements sont tronqués juste pour faire peur au lecteur au lieu de montrer un aperçu global.
Ce n'est pas parceque quelques personnes téléchargent des versions comprenant des failles de sécurité déjà dévoilés que le reste du monde a plus de risque d'avoir une autre faille ayant le même impact qu'HeartBleed. On ne compare pas les télévisions aux tomates.

[coolspot]

Ca va peut être motivé les grandes entreprises (surtout les SSII) à contribuer un peu plus à l'open source.
Parce que c'est bien l'open source mais s'il y a que 3 gus pour développer le truc dans leur temps libre alors ça va pas avancer vite, les corrections ne seront pas au top, le développement pas forcement plus ...
Parce que les SSII profitent beaucoup de l'open source. Elle se font énormément d'argent sur le dos de la communauté, attention je ne juge pas ; mais ils pourraient bien redistribuer un peu cette argent sous forme de contribution et donc à terme rendre l'open source plus fiable ce qui leur serait avantageux.

La je pense que tu rêve. Les SSII n'en n'ont strictement rien à cirer de l'open-source et de la sécurité encore plus. C'est même avantageux pour eux vu qu'ils vont refourguer leur package merdique de vente d'une presta pour sécurisé le truc suivant la faille.
Bref ils faut savoir que les SSII c'est les fast-food/voyage low cost de la prestation informatique. Ils te vendent de la merde "industriel" par kilos et si tu veut plus de service/qualité ben faut le payer très très cher.

De toute façon les SSII se moque de faire des application pérennes et sécurisé sur le long terme vu que leur marché c'est TMA à la con étalé sur 3-4 ans avec une partie évolution/forfait qu'ils vendent au prix d'or.


Alors ne compte pas sur les SSII pour combler les faille sur Struts 2, car elles en ont strictement rien à cirer de ce genre de problème. Surtout que les contributions à la communauté open-source/libre ca se vend pas comme prestation au client et donc ca n'existe pas pour une SSII (surtout depuis ces 5 dernières années ou c'est la prime à la SSII la plus low-cost)

[Invité]

Bref ils faut savoir que les SSII c'est les fast-food/voyage low cost de la prestation informatique. Ils te vendent de la merde "industriel" par kilos et si tu veut plus de service/qualité ben faut le payer très très cher.
...
Alors ne compte pas sur les SSII pour combler les faille sur Struts 2, car elles en ont strictement rien à cirer de ce genre de problème. Surtout que les contributions à la communauté open-source/libre ca se vend pas comme prestation au client et donc ca n'existe pas pour une SSII (surtout depuis ces 5 dernières années ou c'est la prime à la SSII la plus low-cost)

En SSII ou pas, un développeur compétent peut envoyer le signalement d'un bug et son correctif...

[Zefling]

En SSII ou pas, un développeur compétent peut envoyer le signalement d'un bug et son correctif...

Perso, c'est que je fais, que ça soit en pro ou perso. Après sur la vitesse de la correction dépend de :
- de son importance et sa pertinence
- la taille de la communauté
- du nombre de bugs à traiter
- du temps qu'il faut pour le corriger

[4sStylZ]

@Coolspot Je suis d'accord avec toi sur le fait que les SSII n'évoluerons pas envers l'opensource.

Mais c'est quoi alors l'alternative aux SSII, le type de société que tu conseillerait à une entreprise qui a besoin d'une solution informatique?

[Pierre GIRARD]

Un chercheur tire la sonnette d'alarme sur les failles de nombreuses applications open source ... Qui ne doivent pas être oubliées à cause de Heartbleed.
Et vous ?

Qu’en pensez-vous ?

Que les applications privates sources ne sont pas plus exemptes de failles que les applications open source, et donc que Heartbleed ne fait que mettre en évidence que les failles dans le code ouvert finissent toujours par être détectées et finalement corrigées. Je suis beaucoup moins confiant dans le code fermé, car rien ne s'y passe jamais dans la transparence (par définition).

[tngan]

pourquoi on tire la sonnette d'alarme sur les solution Open Source, mais on ne tire pas l'alarme sur les solutions proprétaires qui ont des millions de failles comme microsoft et qui tant bien que mal resolu à temps donc les gens sont exposé. Je pense que c'est un faux débat