[:fr]Les collaborateurs Synetis œuvrent fréquemment dans le monde de l’open-source via des contributions sur différents projets.
Il est fréquent que des projets open-source soient audités et que des vulnérabilités soient remontées aux équipes de développement. Durant le premier trimestre 2016, plusieurs contributions au monde de l’open-source ont été réalisées :
- PHP IPAM version 1.1.010
PHP IPAM est une application web qui permet de gérer les IP d’un système d’information, ce projet utilise les technologies PHP/MySQL. Durant le premier trimestre, les membres de l’équipe Synetis ont remonté des vulnérabilités de type CSRF, XSS et SQL Injection à Miha Petkovsek, le développeur principal du projet. Ces vulnérabilités permettaient entre autres de dumper le contenu de la base de données de l’installation PHP IPAM ciblée et de procéder à un vol du cookie de session de l’administrateur par différents vecteurs d’attaque. Après quelques semaines, ces vulnérabilités ont été corrigées et une nouvelle version de PHP IPAM est maintenant disponible en téléchargement.
- Mautic version 1.3.0
Mautic est un une plateforme dédiée à la gestion des campagnes marketing développée par David Hurley. En mars 2016, plusieurs vulnérabilités de type CSRF et XSS ont été remontées par les membres de l’équipe Synetis. Une version corrigée de Mautic a pu être proposée trois jours plus tard, permettant ainsi aux utilisateurs de Mautic de mettre à jour leur installation vers une version plus sécurisée (v1.3.1) de Mautic.
- IP Fire 2.19
IPFire est une distribution GNU/Linux, orientée routeur et pare-feu. Durant le premier trimestre 2016, plusieurs vulnérabilités de type XSS, CSRF et RCE (Remote Code Execution) ont été remontées à l’équipe de développement d’IP Fire, ces vulnérabilités permettaient d’aller d’une exécution de code arbitraire dans le navigateur de l’administrateur jusqu’à une exécution de code à distance sur le serveur. Suite à une divulgation responsible disclosure, ces différentes vulnérabilités sont maintenant corrigées dans le dernière release d’IPFire.
- Dolibarr version 3.8.3
Dolibarr est un des CRM/ERP open-source les plus utilisés. Créé en 2002, il est avant tout dédié aux petites et moyennes entreprises. Le site web du projet déclare que Dolibarr possède plus d’un million d’utilisateurs réguliers dans le monde et est disponible en plusieurs dizaines de langages. Durant le premier trimestre 2016, plusieurs failles de types XSS ont été remontées à l’équipe de développement de Dolibarr. Ces failles permettaient, entre autres, de prendre le contrôle de l’installation en volant le cookie de session de l’administrateur. Suite à la remontée de ces vulnérabilités à l’équipe de développement par les membres de l’équipe Synetis, une version corrigée a ensuite été proposée aux utilisateurs de ce CRM.
Les contributions au monde de l’open-source, au même titre que les vulnérabilités trouvées sur des produits propriétaires, sont systématiquement remontées en suivant un modèle responsible disclosure, ce modèle permet de travailler en collaboration avec les développeurs des projets open-source et d’attendre que les vulnérabilités soient corrigées avant de les diffuser publiquement, s’assurant ainsi que les utilisateurs des projets puissent disposer d’un correctif à appliquer.
Les contributions à des projets open-source permettent d’améliorer la sécurité d’outils utilisés par des centaines de milliers d’entreprises et de particuliers, certains projets comme Dolibarr sont très utilisés et actifs dans les entreprises de petite et moyenne taille. D’autres projets plus modestes ne demandent qu’à gagner en popularité et se doivent donc d’avoir des bases solides en terme développement sécurisé.
Au delà de la conception, de l’architecture et du développement, les projets open-source ont un besoin important en terme de contribution au niveau sécurité. Le principe du secure-by-design n’y est pas plus appliqué que dans les produits propriétaires et il est toujours intéressant d’aider les équipes de développement à améliorer la sécurité de leur projet.
Sources :
- https://packetstormsecurity.com/files/136517/Mautic-1.3.0-CSRF-XSS-User-Enumeration-DoS.html
- https://packetstormsecurity.com/files/135201/Dolibarr-3.8.3-Cross-Site-Scripting.html
- https://packetstormsecurity.com/files/135124/PHPIPAM-1.1.010-CSRF-XSS-SQL-Injection.html
- http://www.information-security.fr/xss-csrf-sqli-php-ipam-version-1-1-010/
- http://www.information-security.fr/xss-dolibarr-version-3-8-3/
- https://packetstormsecurity.com/files/136910/IPFire-XSS-CSRF-Command-Execution.html
Mickaël
Consultant Sécurité
[:en]Les collaborateurs Synetis œuvrent fréquemment dans le monde de l’open-source via des contributions sur plusieurs projets. Il est fréquent que des projets open-source soient audités et que des vulnérabilités soient remontées aux équipes de développement. Durant le premier trimestre 2016, plusieurs contributions au monde de l’open-source ont été réalisés :
– PHP IPAM version 1.1.010
PHP IPAM est une application web qui permet de gérer les IP d’un système d’information, ce projet utilise les technologies PHP/MySQL. Durant le premier trimestre, les membres de l’équipe Synetis ont remontés des vulnérabilités de type CSRF, XSS et SQL Injection à Miha Petkovsek, le développeur principal du projet. Après quelques semaines, ces vulnérabilités ont été corrigée et une nouvelle version de PHP IPAM est maintenant disponible.
– Mautic version 1.3.0
Mautic est un une plateforme dédiée à la gestion des campagnes marketing développée par David Hurley. En mars 2016, plusieurs vulnérabilités de type CSRF et XSS ont été remontées par les membres de l’équipe Synetis. Une version corrigée Mautic a pu être proposée trois jours plus tard, permettant ainsi aux utilisateurs de Mautic de mettre à jour leur installation vers une version plus sécurisée (1.3.1) du produit Mautic.
– IP Fire
IPFire est une distribution GNU/Linux, orientée routeur et pare-feu, durant le premier trimestre 2016, plusieurs vulnérabilités de type XSS CSRF et RCE ont été remontées à l’équipe de développement d’IPFire, ces vulnérabilités permettaient d’aller d’une prise de contrôle du pare-feu jusqu’à une exécution de commande à distance. Suite à une divulgation reponsible disclosure, ces différents vulnérabilités sont maintenant corrigée et sont disponibles dans le dernière release d’IPFire
– Dolibarr version 3.8.3
Dolibarr est un des CRM/ERP open-source les plus utilisé. Créé en 2002, il est avant tout dédié aux petites et moyennes entreprises. Le site web du projet déclare que Dolibarr possède plus d’un million d’utilisateur régulier dans le monde et est disponible en plusieurs dizaines de langages. Durant le premier trimestre 2016, plusieurs failles de types XSS ont été remontées à l’équipe de développement de Dolibarr. Ces failles permettaient entre autre de prendre le contrôle de l’installation en volant le cookie de session de l’administrateur. Suite à la remontée de ces vulnérabilités à l’équipe de développement, une version corrigée à ensuite été proposée aux utilisateurs de ce CRM.
Les contributions au monde de l’open-source, au même titre que les vulnérabilités trouvées sur des produits propriétaires sont systématiquement remontées en suivant un modèle responsible disclosure, ce modèle permet de travailler en collaboration avec les développeurs des projets open-source et d’attendre que la vulnérabilité soit corrigée avant de la diffuser publiquement, s’assurant ainsi que les utilisateurs des projets puissent disposer d’un correctif.
La contribution à des projets open-source permet d’améliorer la sécurité d’outils utilisés par des centaines de milliers d’entreprises et de particuliers, certains projets comme Dolibarr sont très utilisés et actifs dans les entreprises de petite et moyenne taille, d’autres, plus modestes, ne demandes qu’à gagner en popularité et se doivent donc d’avoir des bases solides en terme développement sécurisé.
Au dela de la conception, de l’architecture et du développement, les projets open-source ont un besoin important en terme de contribution au niveau sécurité. Le principe du secure-by-design n’y est pas plus appliqué que dans les produits propriétaires et il est toujours intéressant d’aider les équipes de développement à améliorer la sécurité de leur projet.
Source :
– https://packetstormsecurity.com/files/136517/Mautic-1.3.0-CSRF-XSS-User-Enumeration-DoS.html
– https://packetstormsecurity.com/files/135201/Dolibarr-3.8.3-Cross-Site-Scripting.html
– https://packetstormsecurity.com/files/135124/PHPIPAM-1.1.010-CSRF-XSS-SQL-Injection.html
– http://www.information-security.fr/xss-csrf-sqli-php-ipam-version-1-1-010/
– http://www.information-security.fr/xss-dolibarr-version-3-8-3/[:]