Le 06/09/2024 à 15:15, Paul Rolland (ポール・ロラン) a écrit :
…
Tiens, d'ailleurs, en parlant de passoire... On est tous ici bien au
courant que les bugs de secu, ca existe, et que les distributions mettent a
jour (plus ou moins vite).
…
Un exemple sur un cas concret : le CVE-2021-41773
(https://blog.qualys.com/vulnerabilities-threat-research/2021/10/27/apache-http-server-path-traversal-remote-code-execution-cve-2021-41773-cve-2021-42013)
Dans les logs (/var/log/apache2/error.log), cela donne quelque chose comme ça :
AH00126: Invalid URI in request
POST/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
Il est apparu le 16/09/21 avec la 2.4.49
(https://www.apachelounge.com/Changelog-2.4.html).
Il a été corrigé le 07/10/21 avec la
2.4.51(https://httpd.apache.org/security/vulnerabilities_24.html)
Les serveurs sur lesquels on applique des mises à jour quotidiennes automatiques
ont donc été exposés pendant 21 jours…
Bon, faut relativiser : il est très probable que les pirates n'aient pas été en
mesure d'exploiter la faille dès le 16/09/21. Par contre elle est toujours
régulièrement tentée d'après ce que je vois encore aujourd'hui comme attaques
sur les serveurs que je gère.
On est évidemment toujours plus intelligent a posteriori mais lorsque les
développeurs ont adapté la gestion des chemins de répertoire ("The path
traversal vulnerability was introduced due to the new code change added for path
normalization i.e., for URL paths to remove unwanted or dangerous parts from the
pathname,") ils auraient pu être un peu proactif pour imaginer comment un pirate
aurait pu exploiter le risque d'un chemin dangereux et faire des tests (encore
des tests, toujours des tests).
Cela dit, je ne critique pas ici le travail des développeurs ni celui de
l'équipe de sécurité. L'introduction involontaire d'un bug est inhérent au
travail d'un développeur, quelque soit le soin qu'il mette à l'anticiper. Et
débusquer un bug en seulement 21 jours (le plus dur étant de le repérer, la
correction est ensuite souvent triviale) c'est déjà une belle performance.
Cependant, je reste convaincu qu'il est préférable d'attendre que d'autres
prennent les risques de déployer une nouvelle évolution ; merci à eux :-)
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
