Discussion :

[SQLpro]

Bonjour,

selon l'étude de RiskSense publiée récemment, MySQL est le 2e logiciel le plus vulnérable au monde, parmi les logiciels "open source" :
https://securite.developpez.com/actu/305691/

À lire sur les dangers de MySQL :
https://sqlpro.developpez.com/tutori...mysql-mariadb/

les CVE :
https://www.cvedetails.com/vulnerabi...sql-Mysql.html
Le dernier bulletin de CVE recensé en france :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-218/


L'étude :
https://info.risksense.com/open-sour...ght-report-web
https://cdn2.hubspot.net/hubfs/58400...OpenSource.pdf


Pour information, PostgreSQL compte 47 vulnérabilité recensées an 2019 contre 624 pour MySQL... MySQL est donc plus de 13 fois plus vulnérable que PG...
PostGreSQL est pointé du doigt dans cette étude parce que les responsable du développement sont parmi les moins réactifs en cas de découverte d'une faille de sécurité...
Extrait de l'étude :
"
PostgreSQL a enregistré le retard moyen le plus long de 246 jours sur 47 CVE. Les chiffres de Postgres étaient fortement biaisés de 6 CVE avec des temps de latence supérieurs à 1 000 jours
"


A +

[escartefigue]

Salut Frédéric

https://securite.developpez.com/actu...-de-RiskSense/

Pièce jointe 572352



Et pour les autres pages :

https://sqlpro.developpez.com/tutori...mysql-mariadb/
https://www.cvedetails.com/vulnerabi...cle-Mysql.html
https://cdn2.hubspot.net/hubfs/58400...OpenSource.pdf

404 Not Found




Celle-ci fonctionne :

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-218/

[StringBuilder]

[...]

Souci DNS chez toi ? VPN allumé ?

Chez moi ça fonctionne.

A moins qu'il n'ait corrigé les liens entre temps ?

[SQLpro]

J'ai corrigé !

Pour info, cette étude :
https://www.imperva.com/blog/the-sta...ities-in-2019/
Sur les vulnérabilités découvertes en 2019, montre le graphique suivant :



On voit que MySQL est le plus mal positionné avec plus de 20 fois plus de vulnérabilité que IBM DB2 ou Microsoft SQL Server
On voit aussi que Oracle est plus vulnérable que IBM DB2 ou Microsoft SQL Server
On voit enfin que PostGreSQL est à peu près 2 fois plus vulnérable que IBM DB2 ou Microsoft SQL Server
Rapporté au nombre de ligne de code, l'amplification est énorme...

SQL server c’est à peu près 30 fois plus de lignes de code que MySQL et 15 fois plus que PostGreSQL, car non seulement il y a le moteur relationnel et une grande quantité d’outils d’admin, de tuning et profiling, mais aussi :
1) Le moteur décisionnel OLAP
2) L’outil de datamining avec SQL Server Analysis Services (SSAS)
3) L’outil de reporting avec SQL Server Reporting Services (SSRS)
4) L’ETL avec SQL Server Integration Services (SSIS)
5) … et bien d’autres briques… (python, R, polybases, cloud computing…)
Dans PostgreSQL ne sont même pas comptés les contributions externes...

Cette analyse confirme aussi que les logiciels libres sont plus vulnérables. L'exemple de PHP est édifiant :



On note près de 20 fois plus de vulnérabilités dans PHP que dans .net, avec, là aussi une différence en terme de nombre de ligne de code très significative !
La vulnérabilité la plus virale dans les technologies d'applications Web, était (CVE-2019-11043), une vulnérabilité d'exécution de code à distance dans PHP-FPM...

Confirmé encore dans Linux, par cette autre étude :
https://actu.epfl.ch/news/un-outil-d...systemes-d--3/
Failles de sécurité dans la pile de code des clefs USB :
16 dans Linux
3 dans MacOS
4 dans Windows
1 dans FreeBSD
Bref Linux, quatre fois plus de failles de sécurité !

Conclusion : contrairement aux dires de la communauté qui se targue du fait de l’ouverture du code, que les bugs sont plus vite détectés que dans les logiciels commerciaux, la réalité montre l’inverse.

A +

[escartefigue]

Un truc étonnant avec MariaDB c'est ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

   select cast(cast(3 as integer) / cast(2 as integer) as integer)

Qui donne pour résultat 2 !

[voran]

J

https://actu.epfl.ch/news/un-outil-d...systemes-d--3/

Conclusion : contrairement aux dires de la communauté qui se targue du fait de l’ouverture du code, que les bugs sont plus vite détectés que dans les logiciels commerciaux, la réalité montre l’inverse.

A +

Après lecture de l'article cité, cette conclusion ressemble plus à un souhait qu'à une réalité

extrait de l'article :

Nous sommes très impressionnés par la réactivité et l’ouverture d’esprit de la communauté au cœur de la sécurité de Linux

De plus, juger du niveau de vulnérabilité d'un système uniquement par le nombre de "faille" détectés sans tenir compte du degré de compromission, me semble léger, voire suspect

[tatayo]

D'un autre côté il n'y a pas contradiction:

contrairement aux dires de la communauté qui se targue du fait de l’ouverture du code, que les bugs sont plus vite détectés que dans les logiciels commerciaux, la réalité montre l’inverse.

Pour information, PostgreSQL compte 47 vulnérabilité recensées an 2019 contre 624 pour MySQL... MySQL est donc plus de 13 fois plus vulnérable que PG...

A aucun moment ils n'indiquent que les bugs sont plus vites corrigés, mais juste qu'ils sont plus vite détectés.

Mais ça ne change rien à la conclusion, évidemment.

Tatayo.