Le 06/09/2024 à 15:15, Paul Rolland (ポール・ロラン) a écrit :

Tiens, d'ailleurs, en parlant de passoire... On est tous ici bien au
courant que les bugs de secu, ca existe, et que les distributions mettent a
jour (plus ou moins vite).


Un exemple sur un cas concret : le CVE-2021-41773 (https://blog.qualys.com/vulnerabilities-threat-research/2021/10/27/apache-http-server-path-traversal-remote-code-execution-cve-2021-41773-cve-2021-42013)

Dans les logs (/var/log/apache2/error.log), cela donne quelque chose comme ça : 
AH00126: Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1

Il est apparu le 16/09/21 avec la 2.4.49 (https://www.apachelounge.com/Changelog-2.4.html).

Il a été corrigé le 07/10/21 avec la 2.4.51(https://httpd.apache.org/security/vulnerabilities_24.html)

Les serveurs sur lesquels on applique des mises à jour quotidiennes automatiques ont donc été exposés pendant 21 jours…

Bon, faut relativiser : il est très probable que les pirates n'aient pas été en mesure d'exploiter la faille dès le 16/09/21. Par contre elle est toujours régulièrement tentée d'après ce que je vois encore aujourd'hui comme attaques sur les serveurs que je gère.

On est évidemment toujours plus intelligent a posteriori mais lorsque les développeurs ont adapté la gestion des chemins de répertoire ("The path traversal vulnerability was introduced due to the new code change added for path normalization i.e., for URL paths to remove unwanted or dangerous parts from the pathname,") ils auraient pu être un peu proactif pour imaginer comment un pirate aurait pu exploiter le risque d'un chemin dangereux et faire des tests (encore des tests, toujours des tests).

Cela dit, je ne critique pas ici le travail des développeurs ni celui de l'équipe de sécurité. L'introduction involontaire d'un bug est inhérent au travail d'un développeur, quelque soit le soin qu'il mette à l'anticiper. Et débusquer un bug en seulement 21 jours (le plus dur étant de le repérer, la correction est ensuite souvent triviale) c'est déjà une belle performance.

Cependant, je reste convaincu qu'il est préférable d'attendre que d'autres prennent les risques de déployer une nouvelle évolution ; merci à eux :-)