Les collaborateurs Synetis œuvrent fréquemment dans le monde de l’open-source via des contributions sur plusieurs projets. Il est fréquent que des projets open-source soient audités et que des vulnérabilités soient remontées aux équipes de développement. Durant le premier trimestre 2016, plusieurs contributions au monde de l’open-source ont été réalisés :

– PHP IPAM version 1.1.010

PHP IPAM est une application web qui permet de gérer les IP d’un système d’information, ce projet utilise les technologies PHP/MySQL. Durant le premier trimestre, les membres de l’équipe Synetis ont remontés des vulnérabilités de type CSRF, XSS et SQL Injection à Miha Petkovsek, le développeur principal du projet. Après quelques semaines, ces vulnérabilités ont été corrigée et une nouvelle version de PHP IPAM est maintenant disponible.

– Mautic version 1.3.0

Mautic est un une plateforme dédiée à la gestion des campagnes marketing développée par David Hurley. En mars 2016, plusieurs vulnérabilités de type CSRF et XSS ont été remontées par les membres de l’équipe Synetis. Une version corrigée Mautic a pu être proposée trois jours plus tard, permettant ainsi aux utilisateurs de Mautic de mettre à jour leur installation vers une version plus sécurisée (1.3.1) du produit Mautic.

– IP Fire

IPFire est une distribution GNU/Linux, orientée routeur et pare-feu, durant le premier trimestre 2016, plusieurs vulnérabilités de type XSS CSRF et RCE ont été remontées à l’équipe de développement d’IPFire, ces vulnérabilités permettaient d’aller d’une prise de contrôle du pare-feu jusqu’à une exécution de commande à distance. Suite à une divulgation reponsible disclosure, ces différents vulnérabilités sont maintenant corrigée et sont disponibles dans le dernière release d’IPFire

– Dolibarr version 3.8.3

Dolibarr est un des CRM/ERP open-source les plus utilisé. Créé en 2002, il est avant tout dédié aux petites et moyennes entreprises. Le site web du projet déclare que Dolibarr possède plus d’un million d’utilisateur régulier dans le monde et est disponible en plusieurs dizaines de langages. Durant le premier trimestre 2016, plusieurs failles de types XSS ont été remontées à l’équipe de développement de Dolibarr. Ces failles permettaient entre autre de prendre le contrôle de l’installation en volant le cookie de session de l’administrateur. Suite à la remontée de ces vulnérabilités à l’équipe de développement, une version corrigée à ensuite été proposée aux utilisateurs de ce CRM.

Les contributions au monde de l’open-source, au même titre que les vulnérabilités trouvées sur des produits propriétaires sont systématiquement remontées en suivant un modèle responsible disclosure, ce modèle permet de travailler en collaboration avec les développeurs des projets open-source et d’attendre que la vulnérabilité soit corrigée avant de la diffuser publiquement, s’assurant ainsi que les utilisateurs des projets puissent disposer d’un correctif.

La contribution à des projets open-source permet d’améliorer la sécurité d’outils utilisés par des centaines de milliers d’entreprises et de particuliers, certains projets comme Dolibarr sont très utilisés et actifs dans les entreprises de petite et moyenne taille, d’autres, plus modestes, ne demandes qu’à gagner en popularité et se doivent donc d’avoir des bases solides en terme développement sécurisé.

Au dela de la conception, de l’architecture et du développement, les projets open-source ont un besoin important en terme de contribution au niveau sécurité. Le principe du secure-by-design n’y est pas plus appliqué que dans les produits propriétaires et il est toujours intéressant d’aider les équipes de développement à améliorer la sécurité de leur projet.

Source :
– https://packetstormsecurity.com/files/136517/Mautic-1.3.0-CSRF-XSS-User-Enumeration-DoS.html
– https://packetstormsecurity.com/files/135201/Dolibarr-3.8.3-Cross-Site-Scripting.html
– https://packetstormsecurity.com/files/135124/PHPIPAM-1.1.010-CSRF-XSS-SQL-Injection.html
– http://www.information-security.fr/xss-csrf-sqli-php-ipam-version-1-1-010/
– http://www.information-security.fr/xss-dolibarr-version-3-8-3/