Discussion :

[SQLpro]

Bonjour,

selon l'étude de RiskSense publiée récemment, MySQL est le 2e logiciel le plus vulnérable au monde, parmi les logiciels "open source" :
https://securite.developpez.com/actu/305691/

À lire sur les dangers de MySQL :
https://sqlpro.developpez.com/tutori...mysql-mariadb/

les CVE :
https://www.cvedetails.com/vulnerabi...sql-Mysql.html
Le dernier bulletin de CVE recensé en france :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-218/


L'étude :
https://info.risksense.com/open-sour...ght-report-web
https://cdn2.hubspot.net/hubfs/58400...OpenSource.pdf


Pour information, PostgreSQL compte 47 vulnérabilité recensées an 2019 contre 624 pour MySQL... MySQL est donc plus de 13 fois plus vulnérable que PG...
PostGreSQL est pointé du doigt dans cette étude parce que les responsable du développement sont parmi les moins réactifs en cas de découverte d'une faille de sécurité...
Extrait de l'étude :
"
PostgreSQL a enregistré le retard moyen le plus long de 246 jours sur 47 CVE. Les chiffres de Postgres étaient fortement biaisés de 6 CVE avec des temps de latence supérieurs à 1 000 jours
"


A +

[escartefigue]

Salut Frédéric

https://securite.developpez.com/actu...-de-RiskSense/

Pièce jointe 572352



Et pour les autres pages :

https://sqlpro.developpez.com/tutori...mysql-mariadb/
https://www.cvedetails.com/vulnerabi...cle-Mysql.html
https://cdn2.hubspot.net/hubfs/58400...OpenSource.pdf

404 Not Found




Celle-ci fonctionne :

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-218/

[StringBuilder]

[...]

Souci DNS chez toi ? VPN allumé ?

Chez moi ça fonctionne.

A moins qu'il n'ait corrigé les liens entre temps ?

[SQLpro]

J'ai corrigé !

Pour info, cette étude :
https://www.imperva.com/blog/the-sta...ities-in-2019/
Sur les vulnérabilités découvertes en 2019, montre le graphique suivant :



On voit que MySQL est le plus mal positionné avec plus de 20 fois plus de vulnérabilité que IBM DB2 ou Microsoft SQL Server
On voit aussi que Oracle est plus vulnérable que IBM DB2 ou Microsoft SQL Server
On voit enfin que PostGreSQL est à peu près 2 fois plus vulnérable que IBM DB2 ou Microsoft SQL Server
Rapporté au nombre de ligne de code, l'amplification est énorme...

SQL server c’est à peu près 30 fois plus de lignes de code que MySQL et 15 fois plus que PostGreSQL, car non seulement il y a le moteur relationnel et une grande quantité d’outils d’admin, de tuning et profiling, mais aussi :
1) Le moteur décisionnel OLAP
2) L’outil de datamining avec SQL Server Analysis Services (SSAS)
3) L’outil de reporting avec SQL Server Reporting Services (SSRS)
4) L’ETL avec SQL Server Integration Services (SSIS)
5) … et bien d’autres briques… (python, R, polybases, cloud computing…)
Dans PostgreSQL ne sont même pas comptés les contributions externes...

Cette analyse confirme aussi que les logiciels libres sont plus vulnérables. L'exemple de PHP est édifiant :



On note près de 20 fois plus de vulnérabilités dans PHP que dans .net, avec, là aussi une différence en terme de nombre de ligne de code très significative !
La vulnérabilité la plus virale dans les technologies d'applications Web, était (CVE-2019-11043), une vulnérabilité d'exécution de code à distance dans PHP-FPM...

Confirmé encore dans Linux, par cette autre étude :
https://actu.epfl.ch/news/un-outil-d...systemes-d--3/
Failles de sécurité dans la pile de code des clefs USB :
16 dans Linux
3 dans MacOS
4 dans Windows
1 dans FreeBSD
Bref Linux, quatre fois plus de failles de sécurité !

Conclusion : contrairement aux dires de la communauté qui se targue du fait de l’ouverture du code, que les bugs sont plus vite détectés que dans les logiciels commerciaux, la réalité montre l’inverse.

A +

[escartefigue]

Un truc étonnant avec MariaDB c'est ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

   select cast(cast(3 as integer) / cast(2 as integer) as integer)

Qui donne pour résultat 2 !

[voran]

J

https://actu.epfl.ch/news/un-outil-d...systemes-d--3/

Conclusion : contrairement aux dires de la communauté qui se targue du fait de l’ouverture du code, que les bugs sont plus vite détectés que dans les logiciels commerciaux, la réalité montre l’inverse.

A +

Après lecture de l'article cité, cette conclusion ressemble plus à un souhait qu'à une réalité

extrait de l'article :

Nous sommes très impressionnés par la réactivité et l’ouverture d’esprit de la communauté au cœur de la sécurité de Linux

De plus, juger du niveau de vulnérabilité d'un système uniquement par le nombre de "faille" détectés sans tenir compte du degré de compromission, me semble léger, voire suspect

[tatayo]

D'un autre côté il n'y a pas contradiction:

contrairement aux dires de la communauté qui se targue du fait de l’ouverture du code, que les bugs sont plus vite détectés que dans les logiciels commerciaux, la réalité montre l’inverse.

Pour information, PostgreSQL compte 47 vulnérabilité recensées an 2019 contre 624 pour MySQL... MySQL est donc plus de 13 fois plus vulnérable que PG...

A aucun moment ils n'indiquent que les bugs sont plus vites corrigés, mais juste qu'ils sont plus vite détectés.

Mais ça ne change rien à la conclusion, évidemment.

Tatayo.

[voran]

Tatayo, je n'ai pas compris ce que tu voulais démontrer

Mais je n'ai aucun doute sur la volonté de nuire de SQLpro envers tout ce qui n'est pas microsoft !
Depuis le temps ...

[SQLpro]

Pour votre information, dans l'étude RiskSense :
https://cdn2.hubspot.net/hubfs/58400...OpenSource.pdf
Extrait :
"
Widespread Problems in NVD Disclosure LatencyVulnerabilities in open source software are taking a very long time to be added to the U.S. National Vulnerability Database (NVD). The average time between the first public disclosure of a vulnerability and its addition to the NVD was 54 days. The longest observed lag was 1,817 days for a critical PostgreSQL vulnerability. 119 CVEs had lags of more than 1 year, and almost a quarter (24%) had lags of more than a month. These lags were consistent across all severities of vulnerabilities, with critical severity vulnerabilities having some of the longest average lag times. This latency creates a dangerous lack of visibility for organizations who rely on the NVD as their main source of CVE data and context information.
"

traduction :

Le problème général dans NVD est que la latence de divulgation des vulnérabilités dans les logiciels open source mettent très longtemps à être ajoutées à la base de données nationale sur la vulnérabilité des États-Unis (NVD). Le délai moyen entre la première divulgation publique d'une vulnérabilité et son ajout au NVD était de 54 jours. Le délai le plus long observé était de 1 817 jours pour une vulnérabilité critique de PostgreSQL. 119 CVE avaient des retards de plus d'un an, et près d'un quart (24%) avaient des retards de plus d'un mois. Ces décalages étaient identiques pour toutes les gravités de vulnérabilités, les vulnérabilités de gravité critiques présentant certains des décalages moyens les plus longs. Cette latence crée un dangereux manque de visibilité pour les organisations qui comptent sur le NVD comme principale source de données CVE et pour les informations contextuelles.

Alors vous pouvez dire que je suis un fanatique de ce que vous voulez.... Je m'en fou. Je constate des faits. L'imbécilité consiste à ne pas reconnaître les faits...

A +

[tatayo]

Voran: rien de particulier, j'aurai dû ajouter un smiley

Je rebondissait sur le "contrairement" de SQLpro.
D'un côté ils déclarent ("la communauté") que le côté Open-Source permet de trouver plus facilement les bugs, et de l'autre on trouve plus de bug. On trouve plus quand on facilite la recherche

Je ne prends surtout pas position dans ce débat.

Tatayo.