IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

XML/XSL et SOAP Discussion :

Des failles critiques en série dans les bibliothèques XML


Sujet :

XML/XSL et SOAP

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Des failles critiques en série dans les bibliothèques XML
    Des failles critiques en série dans les bibliothèques XML, problème résolu ?

    Le langage XML (eXtensible Markup Language) est aujourd'hui un acteur incontournable de la scène informatique. Il est principalement utilisé pour le transfert de données et on le trouve presque partout : .NET, SOAP, VoIP, Web Services, SCADA, etc. ainsi que dans certaines infrastructures bancaires.

    Aussi, lorsque la société spécialisée en sécurité informatique Codenomicon - qui s'est fait connaitre en 1996, avec le projet de recherche PROTOS (OUSPG) mené par ses fondateurs - a sorti sa suite de tests TR-069 (sur les protocoles des telecommunications) en janvier 2009, il était normal qu'elle s'interesse à XML : "Comme XML est aujourd'hui la base de la majorité des procotoles modernes et systèmes d'information, quasiment tout pouvait être testé" indique Sami Petäjäsoja, chef de produit.

    S'ensuivit une batterie de tests de type fuzzing (injection de données multiples dans les entrées d'un programme puis analyse de son comportement)qui allait révéler un nombre important de failles critiques. Quand les bibliothèques XML furent soumises aux tests, de multiples vulnérabilités furent identifiées. Toutes les bibliothèques testées présentaient cette faille.

    Le problème fut signalé dès février 2009 par Codenomicon qui se mit immédiatement à travailler avec le CERT-FI (Finnish National Computer Emergency Response Team) afin de trouver un correctif.

    Ces failles permettraient notamment à un individu malveillant d'opérer une attaque par déni de service, ou bien d'exécuter du code malveillant à distance. Aux commandes du CERT-FI, Erka Koivunen explique : "XML est aujourd'hui implanté partout, même là où on ne l'attend pas. Il est crucial que les personnes ainsi que les entreprises utilisant des bibliothèques XML affectées par ce problème mettent à jour leurs systèmes. Le problème sera vraiment résolu lorsque les patchs seront disponibles".

    De plus amples informations seront données lors du Hacker Halted 2009 qui se tiendra à Miami en Septembre. Codenomicon a promis d'y expliquer en profondeur le mécanisme des failles en question à l'occasion de la sortie de son nouvel outil de tests : DEFENSICS pour XML.

    Source : Codenomicon

    Sun, Apache et Python travaillent actuellement au développement de correctifs (certains sont déjà disponibles). Pensez-vous que cela réglera le problème ?

    L'utilisation massive du XML, peut-elle être remise en cause ?

  2. #2
    Membre émérite

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Avril 2006
    Messages
    666
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 84
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : Avril 2006
    Messages : 666
    Points : 2 735
    Points
    2 735
    Billets dans le blog
    1
    Par défaut
    L'utilisation massive du XML partout parce que c'est la mode est aberrant. XML peut être bien pour certaines utilisations mais pour beaucoup d'usage il révèle plutôt être de l'ordre du marteau-piqueur pour poinçonner une feuille de papier.

    Maintenant je serais bien curieux de savoir comment un format, XML, peut être à l'origine d'un Déni de Service, et ceux quel que soit la bibliothèque utilisée.

  3. #3
    Expert éminent sénior
    Avatar de Skyounet
    Homme Profil pro
    Software Engineer
    Inscrit en
    Mars 2005
    Messages
    6 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Software Engineer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2005
    Messages : 6 380
    Points : 13 380
    Points
    13 380
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    L'utilisation massive du XML partout parce que c'est la mode est aberrant. XML peut être bien pour certaines utilisations mais pour beaucoup d'usage il révèle plutôt être de l'ordre du marteau-piqueur pour poinçonner une feuille de papier.

    Maintenant je serais bien curieux de savoir comment un format, XML, peut être à l'origine d'un Déni de Service, et ceux quel que soit la bibliothèque utilisée.
    En fait c'est les parseurs qui sont en cause.

    Une fichier XML mal formé peut mener à des fuites de mémoires, des boucles infinies et autres joyeusetés.

  4. #4
    Membre habitué
    Profil pro
    Développeur Java
    Inscrit en
    Avril 2006
    Messages
    130
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Avril 2006
    Messages : 130
    Points : 156
    Points
    156
    Par défaut
    Appelez ça une mode si vous le voulez, mais ça permet à plusieurs systèmes hétérogènes de discuter aisément, par l'appui de contrats (dtd, xsd, wsdl, etc.) et sans l'embrouille des typages propres aux langages.

    Si vous voyez un moyen plus simple de faire communiquer des systèmes de 10 ans de différence, faites le savoir, les entreprises (les plus grandes en particulier) en seront ravies.

    PS : je trouve que JSON est beaucoup moins lisible pour les néophytes et que XML peut etre compris par n'importe quel personne d'une entreprise.

    PS2 : Bon courage à toutes les entreprises pour mettre à jour leur libs / parseurs XML =))

  5. #5
    Inactif  
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    885
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 885
    Points : 1 320
    Points
    1 320
    Par défaut
    Je crois que ce Chuck_Norris parlait plutôt des cas où un simple INI ou Properties suffirait : on voit pas mal de monde pondre de l'xml pour stocker quelques simples clefs-valeurs

    Sinon c'est clair, dans les autres domaines, on aurait du mal à se passer de l'xml (comme tu l'as précisé : xsd, wsdl & co).


    Sun, Apache et Python travaillent actuellement au développement de correctifs (certains sont déjà disponibles). Pensez-vous que cela réglera le problème ?
    => Oui, tout simplement. C'est ce qu'on appelle une résolution de bug (ici une faille), c'est tout.
    De plus, on parle ici d'effets de bord non pas de la part du format XML lui-même, mais de certaines implémentations, implémentations permettant par exemple d'entrer plus ou moins dans une boucle infinie (comme ça a été dit), même si rien n'empêche de les détecter (c'est bien ce que je fais dans une lib perso ^^ : après X boucles, hop, exception levée; ça doit bien être aussi le cas dans la plupart des libs, faut pas déconner).

    L'utilisation massive du XML, peut-elle être remise en cause ?
    => Biensûr que non : si l'on devait abandonner une techno juste parce que -un jour- certaines implémentations présentent une faille (temporaire), il n'y aurait plus d'informatique.

    Rhaaaalala ces journalistes, toujours à crier la fin du monde


    PS : y'a qu'un "p" à Apache

  6. #6
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut
    Citation Envoyé par entreprise38 Voir le message
    Rhaaaalala ces journalistes, toujours à crier la fin du monde
    Oh oui, oh oui, qu'est-ce que nous sommes méchants !!!!!!

    Citation Envoyé par entreprise38 Voir le message

    PS : y'a qu'un "p" à Apache
    Corrigé

  7. #7
    Membre émérite
    Avatar de ymoreau
    Homme Profil pro
    Ingénieur étude et développement
    Inscrit en
    Septembre 2005
    Messages
    1 154
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur étude et développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2005
    Messages : 1 154
    Points : 2 834
    Points
    2 834
    Par défaut
    Je trouve ça étonnant que TOUS les parseurs XML aient la même faille, à moins qu'ils soit basés sur des algos/codes communs. Enfin bon une fois détecté, c'est corrigé et on en parle plus.

  8. #8
    Membre confirmé Avatar de saad.hessane
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    315
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2008
    Messages : 315
    Points : 496
    Points
    496
    Par défaut
    Citation Envoyé par entreprise38 Voir le message
    Je crois que ce Chuck_Norris parlait plutôt des cas où un simple INI ou Properties suffirait : on voit pas mal de monde pondre de l'xml pour stocker quelques simples clefs-valeurs
    Moi même pour des clefs-valeurs j'utilise du XML. Question maintenabilité. Si tu veux un jour faire une hiérarchie des clés, XML est plus adapté, avec possibilité de description avec attribut...
    Et ce n'est pas une petite faille de rien du tout qui va changer ça

  9. #9
    Membre éclairé
    Avatar de clavier12AZQSWX
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    Avril 2009
    Messages
    1 428
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : Technicien maintenance

    Informations forums :
    Inscription : Avril 2009
    Messages : 1 428
    Points : 879
    Points
    879
    Par défaut ok
    j'ai toujours préféré les bons vieux fichiers CSV ou .ini ou .cfg....
    c'est tellement simple et light....

  10. #10
    Membre émérite

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Avril 2006
    Messages
    666
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 84
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : Avril 2006
    Messages : 666
    Points : 2 735
    Points
    2 735
    Billets dans le blog
    1
    Par défaut
    Et en ce qui me concerne, je fais de l'AJAJ à la place d'AJAX (XML remplacé par du JSON). C'est bien plus léger et plus efficace. En PHP, une simple instruction convertit une structure PHP au format JSON. Et côté Javascript, le JSON est directement interprété. Nul besoin de générer manuellement puis parser un XML.

Discussions similaires

  1. Réponses: 0
    Dernier message: 19/03/2015, 18h04
  2. Réponses: 18
    Dernier message: 29/08/2014, 22h09
  3. Des failles critiques en série dans les bibliothèques XML
    Par Katleen Erna dans le forum Actualités
    Réponses: 9
    Dernier message: 07/08/2009, 14h57
  4. Réponses: 3
    Dernier message: 20/09/2006, 22h35
  5. Le type Arbre binaire dans les bibliothèques standards ?
    Par sam69 dans le forum API standards et tierces
    Réponses: 6
    Dernier message: 10/05/2006, 13h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo