Les annes se succdent, les technologies open source voluent, mais de nouvelles vulnrabilits apparaissent, gardant la question des vulnrabilits de la scurit de lopen source toujours au cur de la communaut. Alors que nous sommes dans une nouvelle anne, lquipe de WhiteSource une plateforme de gestion de la scurit et de la conformit des licences open source s’est plonge dans la base de donnes des vulnrabilits de sa plateforme pour dresser sa liste Top 10 des nouvelles vulnrabilits de scurit de l’open source pour lanne 2019, afin de tenir informe la communaut.

Selon le rapport de WhiteSource, la base de donnes de la plateforme a enregistr en 2019 prs de 3,5 millions de fichiers et de paquets vulnrables regroups partir de dizaines de sources, dont la NVD (National Vulnerability Database), les avis de scurit et autres bases de donnes de suivi des problmes lis lopen source, afin de garantir la couverture la plus complte possible des vulnrabilits open source. La liste des dix principales vulnrabilits de scurit open source connues, selon WhiteSource, comprend des problmes dans des projets crits dans des langages populaires comme JavaScript, Java, Go, C et Ruby. Les projets vulnrables comprennent tout, de l’orchestration des conteneurs aux systmes d’exploitation, des environnements de serveurs web pour Java aux services d’hbergement Ruby, et plus encore.

La nouvelle liste 2019 des nouvelles vulnrabilits open source comporte des vulnrabilits avec un identifiant qui commence par WS, diffrent du prfixe CVE plus familier qui identifie les vulnrabilits rpertories par la NVD. En effet, selon le rapport du WhiteSource, la NVD n’inclut pas les vulnrabilits open source publies en dehors du dictionnaire des informations publiques relatives aux vulnrabilits de scurit. En raison de la nature collaborative et non centralise de la communaut du logiciel libre, certaines vulnrabilits du logiciel libre sont publies en dehors du CVE, sur les bases de donnes de suivi des problmes lis aux projets open source ou autres. WhiteSource recueille ces vulnrabilits open sources et leur affecte un numro d’index de prfixe WS plutt qu’un prfixe CVE.

Voici, ci-dessous, les premiers lments du Top 10 des vulnrabilits open source publi en 2019 par la plateforme, qu’il s’agisse d’une vulnrabilit WS ou CVE :

1- Lodash

Prcdemment connue sous lidentifiant WS-2018-0210, cette vulnrabilit open source dans la bibliothque Lodash dans les versions qui ont prcd 4.17.11 est un nouveau CVE. Maintenant nomme CVE-2018-16487, cest une vulnrabilit de score critique 9,8 qui a t sous le radar de WhiteSource, et dans sa base de donnes, pendant un certain temps. Publie en 2019 dans le NVD, en raison de la popularit du projet et du score de vulnrabilit lev, WhiteSource a dcid de l’inclure dans son Top 10 des nouvelles vulnrabilits open source les plus importantes en 2019.

Ce prototype de vulnrabilit a t dcouvert dans quelques-unes des fonctions du module du nud Lodash, daprs le rapport. Plus prcisment, les fonctions merge, mergeWith et defaultsDeep peuvent tre utilises pour ajouter ou modifier les proprits du prototype Object. Lodash est un projet open source extrmement populaire qui contribue faciliter le JavaScript en simplifiant le travail avec des tableaux, des nombres, des objets, des chanes de caractres, etc. Les dveloppeurs utilisent les mthodes modulaires de Lodash pour itrer les tableaux, les objets et les chanes, manipuler et tester les valeurs et crer des fonctions composites.

2- JS-YAML

Les versions de JS-YAML antrieures la version 3.13.1 se sont avres vulnrables une attaque par injection de code en 2019, et, selon le rapport, ce composant JavaScript trs populaire a connu une difficile anne de mise au jour de scurit, cause de ce problme et dautres. Cest une vulnrabilit WS nomme WS-2019-0063 et de score lev gal 8. Selon l’avis de scurit de npm, la fonction load() pourrait excuter un code arbitraire inject par un fichier YAML malveillant.

JS-YAML est un analyseur et diteur de YAML 1.2 pour JavaScript. C’est une implmentation de YAML, un standard de srialisation de donnes convivial pour tous les langages de programmation, selon le rapport. Selon la documentation de JS-YAML sur GitHub et npm, le projet a commenc comme port PyYAML, et a t compltement rcrit pour devenir trs rapide, et supporter la spcification 1.2. Selon WhiteSource, les plus de 14 millions de tlchargements hebdomadaires et plus de 9 400 personnes dpendantes prsentes sur la page npm de JS-YAML montrent quel point le projet est populaire et largement utilis.

3- fstream

Cette vulnrabilit nomme CVE-2019-13173 et de score lev gal 7,5 est prsente dans les versions de fstream antrieures la version 1.0.12. Selon l’avis de scurit de npm, la fonction fstream.DirWriter() est vulnrable. L’extraction de tarballs contenant un lien dur vers un fichier qui existe dj dans le systme et un fichier qui correspond au lien dur crasera le fichier du systme avec le contenu du fichier extrait.

Fstream est un projet open source extrmement populaire, qui compte actuellement plus de 4,7 millions de tlchargements hebdomadaires sur npm, selon whiteSource. Le projet offre un service de streaming FS avanc pour Node. La documentation du projet sur GitHub le dcrit comme similaire aux flux FS, mais avec des statuts dessus, et des rpertoires et des liens symboliques de support, ainsi que des fichiers normaux. Ils peuvent galement tre utiliss pour dfinir les statistiques d’un fichier, mme si les utilisateurs ne modifient pas son contenu, ou pour crer un lien symbolique. Selon l’avis de scurit de npm, la mise niveau vers la version 1.0.12 ou ultrieure devrait rsoudre le problme.

4- Python

Ce numro, CVE-2019-16056 de score lev 7,5, est prsent dans les versions 2.7.16, 3.x 3.5.7, 3.6.x 3.6.9, et 3.7.x 3.7.4. Ce problme a t trouv dans des versions vulnrables du module de messagerie lectronique complexe de Python. Les versions vulnrables peuvent analyser les adresses lectroniques de manire incorrecte si elles contiennent plusieurs caractres @. Un attaquant pourrait exploiter ce problme pour tromper une application vulnrable et lui faire accepter une adresse lectronique qui devrait tre refuse.

5- Noyau Linux

Selon le rapport, 2019 n’tait pas diffrent par rapport aux annes pour le noyau Linux. De nombreuses vulnrabilits, dont CVE-2019-15292 de score critique 9,8, publies et corriges par l’quipe du noyau Linux ont t dcouvertes. Compte de la taille de la communaut et du volume de code, il est tout fait naturel que la communaut s’investisse beaucoup pour trouver et rsoudre les problmes de ce projet open source, qui fait vivre une grande partie de notre industrie, selon le rapport.

Ce numro est l’une des vulnrabilits les plus critiques publies en aot dernier, selon WhiteSource. L’avis de scurit d’Ubuntu signalait que l’implmentation du pilote de priphrique USB EM28xx DVB d’Empia contenait une vulnrabilit “use-after-free” lors de la dconnexion du priphrique. L’avis expliquait ensuite, selon le rapport, qu’un pirate informatique pouvait exploiter cette vulnrabilit pour provoquer un dni de service (crash du systme).

6- Apache Tomcat

Dans les versions du projet qui contiennent la vulnrabilit CVE-2019-0232 de score 8,1, lorsqu’il tourne sous Windows avec enableCmdLineArguments activ, le servlet Common Gateway Interface (CGI) dans Apache Tomcat est ouvert l’excution de code distance en raison d’une faille dans la faon dont le JRE transmet les arguments de la ligne de commande Windows.

Selon le Whitesource, ce problme ne peut tre exploit que si la cible s’excute sous Windows dans une configuration non par dfaut, en conjonction avec des fichiers batch. Lorsque ces conditions se produisent, la vulnrabilit pourrait conduire une vulnrabilit de validation d’entre (CWE-20).

WhiteSource a identifi quatre autres nouvelles vulnrabilits open source dans cURL, RubyGems, Kubernetes, Sudo et une mention spciale a t attribue une vulnrabilit open source de score 9,8 dans SQLite, dans les versions de 3.6.0 3.27.2. Cette mention sexplique par le fait que l’quipe de SQLite a corrig de nombreux problmes de scurit en 2019, y compris une faille de scurit critique dcouverte dans les versions vulnrables de SQLite3.

Selon lquipe de WhiteSource, bien quelle se soit efforce de rduire le nombre dix, des milliers de nouvelles vulnrabilits de scurit de lopen source sont publies chaque anne, la majorit d’entre elles avec une correction. Cette grande varit des projets montre que tout projet open source, rcent ou ancien, lger ou massif, peut avoir une version vulnrable qui ncessite une mise jour. WhiteSource recommande de suivre les composants open source et de soccuper des versions vulnrables ds que de nouvelles vulnrabilits sont publies dans la communaut.

Source : WhiteSource

Et vous ?

Que pensez-vous de la grande diversit de vulnrabilits dans lopen source ?

Lire aussi

Les vulnrabilits de la chane logistique des logiciels libres ont doubl en 1 an, cependant, leur utilisation a augment de 120 % selon un rapport
Les entreprises utilisent des logiciels open source sans suivre l’volution de la scurit de ces logiciels, qui sont aussi cibls par les pirates
Quel langage de programmation comporte le plus de vulnrabilits en matire de scurit ? Une tude de WhiteSource
Licences open source 2020 : les licences permissives en croissance continue, tandis que les licences copyleft connaissent un lent dclin, selon un rapport



Source link

Write a comment:
*

Your email address will not be published.