IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

MySQL Discussion :

MySQL, 2e logiciel "open source" le plus vulnérable au monde . . .


Sujet :

MySQL

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    Mai 2002
    Messages
    21 998
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : Mai 2002
    Messages : 21 998
    Billets dans le blog
    6
    Par défaut MySQL, 2e logiciel "open source" le plus vulnérable au monde . . .
    Bonjour,

    selon l'étude de RiskSense publiée récemment, MySQL est le 2e logiciel le plus vulnérable au monde, parmi les logiciels "open source" :
    https://securite.developpez.com/actu/305691/

    À lire sur les dangers de MySQL :
    https://sqlpro.developpez.com/tutori...mysql-mariadb/

    les CVE :
    https://www.cvedetails.com/vulnerabi...sql-Mysql.html
    Le dernier bulletin de CVE recensé en france :
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-218/


    L'étude :
    https://info.risksense.com/open-sour...ght-report-web
    https://cdn2.hubspot.net/hubfs/58400...OpenSource.pdf


    Pour information, PostgreSQL compte 47 vulnérabilité recensées an 2019 contre 624 pour MySQL... MySQL est donc plus de 13 fois plus vulnérable que PG...
    PostGreSQL est pointé du doigt dans cette étude parce que les responsable du développement sont parmi les moins réactifs en cas de découverte d'une faille de sécurité...
    Extrait de l'étude :
    "
    PostgreSQL a enregistré le retard moyen le plus long de 246 jours sur 47 CVE. Les chiffres de Postgres étaient fortement biaisés de 6 CVE avec des temps de latence supérieurs à 1 000 jours
    "


    A +
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

  2. #2
    Modérateur
    Avatar de escartefigue
    Homme Profil pro
    bourreau
    Inscrit en
    Mars 2010
    Messages
    10 600
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loir et Cher (Centre)

    Informations professionnelles :
    Activité : bourreau
    Secteur : Finance

    Informations forums :
    Inscription : Mars 2010
    Messages : 10 600
    Billets dans le blog
    10

  3. #3
    Expert confirmé
    Avatar de StringBuilder
    Homme Profil pro
    Chef de projets
    Inscrit en
    Février 2010
    Messages
    4 197
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Chef de projets
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2010
    Messages : 4 197
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par escartefigue Voir le message
    [...]
    Souci DNS chez toi ? VPN allumé ?

    Chez moi ça fonctionne.

    A moins qu'il n'ait corrigé les liens entre temps ?

  4. #4
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    Mai 2002
    Messages
    21 998
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : Mai 2002
    Messages : 21 998
    Billets dans le blog
    6
    Par défaut
    J'ai corrigé !

    Pour info, cette étude :
    https://www.imperva.com/blog/the-sta...ities-in-2019/
    Sur les vulnérabilités découvertes en 2019, montre le graphique suivant :

    Nom : MySQL vulnérabilité comparées aux autres SGBDR 2019.jpg
Affichages : 307
Taille : 45,1 Ko

    On voit que MySQL est le plus mal positionné avec plus de 20 fois plus de vulnérabilité que IBM DB2 ou Microsoft SQL Server
    On voit aussi que Oracle est plus vulnérable que IBM DB2 ou Microsoft SQL Server
    On voit enfin que PostGreSQL est à peu près 2 fois plus vulnérable que IBM DB2 ou Microsoft SQL Server
    Rapporté au nombre de ligne de code, l'amplification est énorme...

    SQL server c’est à peu près 30 fois plus de lignes de code que MySQL et 15 fois plus que PostGreSQL, car non seulement il y a le moteur relationnel et une grande quantité d’outils d’admin, de tuning et profiling, mais aussi :
    1) Le moteur décisionnel OLAP
    2) L’outil de datamining avec SQL Server Analysis Services (SSAS)
    3) L’outil de reporting avec SQL Server Reporting Services (SSRS)
    4) L’ETL avec SQL Server Integration Services (SSIS)
    5) … et bien d’autres briques… (python, R, polybases, cloud computing…)
    Dans PostgreSQL ne sont même pas comptés les contributions externes...

    Cette analyse confirme aussi que les logiciels libres sont plus vulnérables. L'exemple de PHP est édifiant :

    Nom : PHP vulnérabilité comparées aux autres serveurs objets 2019.jpg
Affichages : 292
Taille : 35,8 Ko

    On note près de 20 fois plus de vulnérabilités dans PHP que dans .net, avec, là aussi une différence en terme de nombre de ligne de code très significative !
    La vulnérabilité la plus virale dans les technologies d'applications Web, était (CVE-2019-11043), une vulnérabilité d'exécution de code à distance dans PHP-FPM...

    Confirmé encore dans Linux, par cette autre étude :
    https://actu.epfl.ch/news/un-outil-d...systemes-d--3/
    Failles de sécurité dans la pile de code des clefs USB :
    16 dans Linux
    3 dans MacOS
    4 dans Windows
    1 dans FreeBSD
    Bref Linux, quatre fois plus de failles de sécurité !

    Conclusion : contrairement aux dires de la communauté qui se targue du fait de l’ouverture du code, que les bugs sont plus vite détectés que dans les logiciels commerciaux, la réalité montre l’inverse.

    A +
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

  5. #5
    Modérateur
    Avatar de escartefigue
    Homme Profil pro
    bourreau
    Inscrit en
    Mars 2010
    Messages
    10 600
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loir et Cher (Centre)

    Informations professionnelles :
    Activité : bourreau
    Secteur : Finance

    Informations forums :
    Inscription : Mars 2010
    Messages : 10 600
    Billets dans le blog
    10
    Par défaut
    Un truc étonnant avec MariaDB c'est ceci :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
       select cast(cast(3 as integer) / cast(2 as integer) as integer)
    Qui donne pour résultat 2 !

  6. #6
    Membre confirmé Avatar de voran
    Profil pro
    Inscrit en
    Janvier 2005
    Messages
    242
    Détails du profil
    Informations personnelles :
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations forums :
    Inscription : Janvier 2005
    Messages : 242
    Par défaut
    Citation Envoyé par SQLpro Voir le message
    J

    https://actu.epfl.ch/news/un-outil-d...systemes-d--3/

    Conclusion : contrairement aux dires de la communauté qui se targue du fait de l’ouverture du code, que les bugs sont plus vite détectés que dans les logiciels commerciaux, la réalité montre l’inverse.

    A +
    Après lecture de l'article cité, cette conclusion ressemble plus à un souhait qu'à une réalité

    extrait de l'article :
    Nous sommes très impressionnés par la réactivité et l’ouverture d’esprit de la communauté au cœur de la sécurité de Linux
    De plus, juger du niveau de vulnérabilité d'un système uniquement par le nombre de "faille" détectés sans tenir compte du degré de compromission, me semble léger, voire suspect

  7. #7
    Expert confirmé
    Homme Profil pro
    Responsable Données
    Inscrit en
    Janvier 2009
    Messages
    5 428
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Responsable Données

    Informations forums :
    Inscription : Janvier 2009
    Messages : 5 428
    Par défaut
    D'un autre côté il n'y a pas contradiction:
    contrairement aux dires de la communauté qui se targue du fait de l’ouverture du code, que les bugs sont plus vite détectés que dans les logiciels commerciaux, la réalité montre l’inverse.
    Pour information, PostgreSQL compte 47 vulnérabilité recensées an 2019 contre 624 pour MySQL... MySQL est donc plus de 13 fois plus vulnérable que PG...
    A aucun moment ils n'indiquent que les bugs sont plus vites corrigés, mais juste qu'ils sont plus vite détectés.

    Mais ça ne change rien à la conclusion, évidemment.

    Tatayo.

Discussions similaires

  1. Quelle licence logicielle Open Source choisir ?
    Par rozwel dans le forum Débats sur le développement - Le Best Of
    Réponses: 53
    Dernier message: 01/09/2008, 14h56
  2. Comment développer un logiciel open source
    Par ouadie99 dans le forum Linux
    Réponses: 6
    Dernier message: 15/03/2007, 17h57
  3. Réponses: 16
    Dernier message: 06/07/2006, 01h28
  4. [xp] chat avec un logiciel open source ?
    Par sali dans le forum Autres Logiciels
    Réponses: 2
    Dernier message: 19/02/2006, 14h45
  5. Requete MySql pour Mambo Open source
    Par azman0101 dans le forum Requêtes
    Réponses: 2
    Dernier message: 22/06/2004, 09h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo