dimanche, 16 janvier 2022

La leçon Log4j pour les utilisateurs open source

Une autre année, un autre incident de cybersécurité. Les exploits zero-day de Log4j comme Log4Shell ont été rendus évidents le mois dernier et ont mis en évidence un certain nombre de problèmes dans de nombreuses piles informatiques d’organisations au-delà de la mise à niveau et de la couverture des politiques qui ne passent pas le cap. À un niveau fondamental, il devient évident que l’on réalise de plus en plus à quel point les logiciels d’aujourd’hui dépendent du code open source.

Voici pourquoi Log4J est « l’une des cybermenaces les plus sérieuses » à ce jour

Les problèmes de sécurité concernent la capacité de la bibliothèque de journalisation (typique à de nombreuses applications) à appeler des services distants (LDAP semble le plus typique) et à exécuter des charges utiles Java téléchargées. En particulier, sur les serveurs Windows, le code peut conserver des avantages complets, fondamentalement des systèmes entiers.

Même sur le plates-formes Linux relativement plus protégées, le code peut être exécuté en tant qu’utilisateur relativement privilégié tel que www-data. Log4Shell, tel qu’il finit par être compris, continue de se développer, avec Apache Software Application Structure (les auteurs de la bibliothèque) au moment de la rédaction des informations de lancement d’un 3e avis de sécurité et d’une toute nouvelle série de correctifs.

Il convient de noter que l’exécution d’exploits de validation de principe sur les systèmes ne signifie pas nécessairement qu’il n’y a pas eu de faille de sécurité actuellement : de nombreux pirates informatiques prendront le contrôle et, après ce correctif, la version actuelle de Log4j empêchera les autres de en les usurpant en tant que contrôleurs système. Il est donc nécessaire d’examiner minutieusement tous les systèmes, et étant donné l’omniprésence de Log4j, il n’y a pas beaucoup d’emplacements de la pile informatique qui ne gagneraient pas à une analyse prudente.

Gratuit comme dans la bière

À un niveau plus profond, la préoccupation commune est d’utiliser du code libre et open source dans des applications logicielles où l’analyse du « complémentaire » est laxiste, que ce soit par accident ou par conception. Bien sûr, le code FOSS (logiciel gratuit et gratuit) n’a pas de prix initial, mais il faut que le « gratuit » soit lu par défaut comme étant gratuit (bien que les informations de la myriade d’accords de licence FOSS varient), pas totalement sans frais.

Dans la plupart des cas, l’inférence d’utilisation totalement gratuite est simple à faire, et c’est là que réside le problème. Si personne ne maintient une bibliothèque (ou une application, une structure, un bit de code ou autre) que tout le monde utilise, alors les failles de sécurité, les bogues et les erreurs seront proportionnels à la variété de fois où ce code est déployé.

METAVERSE

Votre réunion dans le métaverse a en fait été annulée

De nombreuses bibliothèques et applications vitales ne sont pas activement conservées et ont généralement été développées dans le temps supplémentaire des codeurs comme un projet qui, pour utiliser la langue vernaculaire, gratterait une démangeaison spécifique. Les développeurs ont des dépenses à payer et des familles à soutenir, et si personne n’est disposé à les payer pour leur travail, ils ont tendance à passer à des tâches qui couvriront l’hypothèque du logement.

Il incombe à toute entreprise utilisant open -sourcer des ressources à payer en amont dans les projets dont ils utilisent le code. Si chaque entreprise touchée par Log4Shell utilisée au cours des deux derniers mois avait payé 1 $ par mois à la Apache Software Foundation, les concepteurs de Log4j auraient peut-être à la fois couvert leurs dépenses et développé le code afin qu’il ne crée pas les ravages qu’il a.

Les audits d’applications logicielles internes nécessitent d’aller plus loin que de totaliser les variétés de licences Adobe ou Oracle qui doivent être dépensées chaque année. Combien d’entreprises exécutant du code NGINX ou Apache sur des serveurs Web paient réellement en amont pour que les mises à jour nécessaires soient diffusées en continu ? Extrêmement deux dans toutes les possibilités, et certainement insuffisant. Encore moins de brochures sur chacune des bibliothèques et éléments de code de leurs applications en cours d’exécution, et ajoutent à chacune, ou même à certaines des tâches derrière chaque partie constituante.

Les utilisateurs de code « totalement gratuit » doivent contribuer : financièrement, avec du code, ou comme ils le peuvent – des rapports de bogues, des documents, des traductions ou de l’argent dur et froid. Jusqu’à ce que cela se produise, nous pouvons anticiper de nombreuses autres vulnérabilités pour la même raison.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici