Synetis 2016 Q1 : Contributions au monde de l’open source

Synetis 2016 Q1 : Contributions au monde de l’open source

Les collaborateurs Synetis œuvrent fréquemment dans le monde de l’open-source via des contributions sur différents projets.

Il est fréquent que des projets open-source soient audités et que des vulnérabilités soient remontées aux équipes de développement. Durant le premier trimestre 2016, plusieurs contributions au monde de l’open-source ont été réalisées :

  • PHP IPAM version 1.1.010

phpipam_logo_small@2x

PHP IPAM est une application web qui permet de gérer les IP d’un système d’information, ce projet utilise les technologies PHP/MySQL. Durant le premier trimestre, les membres de l’équipe Synetis ont remonté des vulnérabilités de type CSRF, XSS et SQL Injection à Miha Petkovsek, le développeur principal du projet. Ces vulnérabilités permettaient entre autres de dumper le contenu de la base de données de l’installation PHP IPAM ciblée et de procéder à un vol du cookie de session de l’administrateur par différents vecteurs d’attaque. Après quelques semaines, ces vulnérabilités ont été corrigées et une nouvelle version de PHP IPAM est maintenant disponible en téléchargement.

  • Mautic version 1.3.0

Logo-Mautic

Mautic est un une plateforme dédiée à la gestion des campagnes marketing développée par David Hurley. En mars 2016, plusieurs vulnérabilités de type CSRF et XSS ont été remontées par les membres de l’équipe Synetis. Une version corrigée de Mautic a pu être proposée trois jours plus tard, permettant ainsi aux utilisateurs de Mautic de mettre à jour leur installation vers une version plus sécurisée (v1.3.1) de Mautic.

  • IP Fire 2.19ipfire_tux_512x512

IPFire est une distribution GNU/Linux, orientée routeur et pare-feu. Durant le premier trimestre 2016, plusieurs vulnérabilités de type XSS, CSRF et RCE  (Remote Code Execution) ont été remontées à l’équipe de développement d’IP Fire, ces vulnérabilités permettaient d’aller d’une exécution de code arbitraire dans le navigateur de l’administrateur jusqu’à une exécution de code à distance sur le serveur. Suite à une divulgation responsible disclosure, ces différentes vulnérabilités sont maintenant corrigées dans le dernière release d’IPFire.

  • Dolibarr version 3.8.3

Dolibarr_logo

Dolibarr est un des CRM/ERP open-source les plus utilisés. Créé en 2002, il est avant tout dédié aux petites et moyennes entreprises. Le site web du projet déclare que Dolibarr possède plus d’un million d’utilisateurs réguliers dans le monde et est disponible en plusieurs dizaines de langages. Durant le premier trimestre 2016, plusieurs failles de types XSS ont été remontées à l’équipe de développement de Dolibarr. Ces failles permettaient, entre autres, de prendre le contrôle de l’installation en volant le cookie de session de l’administrateur. Suite à la remontée de ces vulnérabilités à l’équipe de développement par les membres de l’équipe Synetis, une version corrigée a ensuite été proposée aux utilisateurs de ce CRM.

Les contributions au monde de l’open-source, au même titre que les vulnérabilités trouvées sur des produits propriétaires, sont systématiquement remontées en suivant un modèle responsible disclosure, ce modèle permet de travailler en collaboration avec les développeurs des projets open-source et d’attendre que les vulnérabilités soient corrigées avant de les diffuser publiquement, s’assurant ainsi que les utilisateurs des projets puissent disposer d’un correctif à appliquer.

Les contributions à des projets open-source permettent d’améliorer la sécurité d’outils utilisés par des centaines de milliers d’entreprises et de particuliers, certains projets comme Dolibarr sont très utilisés et actifs dans les entreprises de petite et moyenne taille. D’autres projets plus modestes ne demandent qu’à gagner en popularité et se doivent donc d’avoir des bases solides en terme développement sécurisé.

Au delà de la conception, de l’architecture et du développement, les projets open-source ont un besoin important en terme de contribution au niveau sécurité. Le principe du secure-by-design n’y est pas plus appliqué que dans les produits propriétaires et il est toujours intéressant d’aider les équipes de développement à améliorer la sécurité de leur projet.

Sources :

 

Mickaël

Consultant Sécurité 

2016-06-02T16:35:24+00:00

About the Author:

  • Français
  • English
For privacy reasons Twitter needs your permission to be loaded. For more details, please see our Politique de confidentialité.
I Accept