Les rapports sur les vulnrabilits des logiciels open source chappent-ils tout contrle ? Le dveloppeur du projet open source « node-ip » a alert sur le fait que certains chercheurs en scurit exagrent outrageusement les rapports sur les vulnrabilits afin de se forger la rputation d’avoir trouv une vulnrabilit critique. Il a t contraint d’archiver temporairement le dpt GitHub de son projet aprs des rapports exagrs sur une vulnrabilit critique avec un score de 9,8 qui affecterait son utilitaire. Mais il ne s’agissait que d’une vulnrabilit de gravit faible. Les critiques suggrent que cette tendance pourrait dtruire la rputation des projets open source.
Fedor Indutny est le dveloppeur du projet node-ip, un paquetage de gestion d’adresses IP pour Node.js. En vrifiant les informations sur le paquetage de node-ip, l’on peut voir qu’il s’agit d’un projet populaire qui est tlcharg plus de 17 millions de fois par semaine. Le 9 fvrier 2024, une vulnrabilit dans node-ip a t signale. La description indique qu’il s’agit d’une vulnrabilit dans laquelle « les adresses IP prives peuvent tre traites comme des adresses IP publiques ». Et l’exploitation de cette vulnrabilit pourrait permettre une attaque de falsification de requtes ct serveur (Server-side Request Forgery – SSRF).
La vulnrabilit est lie au fait que l’utilitaire n’identifie pas correctement les adresses IP prives qui lui sont fournies dans un format non standard, tel que l’hexadcimal. Ainsi, l’utilitaire node-ip traiterait une adresse IP prive (au format hexadcimal) telle que « 0x7F.1… » (qui reprsente 127.1…) comme une adresse publique. Et si une application s’appuie uniquement sur node-ip pour vrifier si une adresse IP fournie est publique, des entres non standard peuvent entraner des rsultats incohrents renvoys par les versions concernes de l’utilitaire. Indutny considre cette vulnrabilit comme tant mineure et non critique.
Elle a t enregistre comme une vulnrabilit « critique » avec un score lev de 9,8 dans la National Vulunerability Database (NVD), une base de donnes de vulnrabilits gre par le National Institute of Standards and Technology (NIST). Le CVE est CVE-2023-42282. Aprs qu’elle a t signale dans la NVD, la vulnrabilit a t rpertorie sur la page de rsum des informations sur les vulnrabilits de GitHub appele GitHub Advisory Database (base de donnes d’avis de GitHub). En outre, Indutny a annonc le 19 fvrier 2024 avoir corrig la vulnrabilit et s’attendait ce que les rapports sur celle-ci cessent d’affluer.
Mais les choses se sont empires. Mme aprs que la vulnrabilit a t corrige, les utilisateurs qui ont excut l’outil de signalement des vulnrabilits npm « npm-audit » ont continu recevoir un grand nombre de rapports indiquant que node-ip est vulnrable. Pour cette raison, Indutny a archiv le dpt GitHub de node-ip. Indutny s’est ensuite rendu sur les rseaux sociaux le mardi 25 juin pour expliquer les raisons qui l’ont pouss archiver le rfrentiel. Il y a quelque chose qui m’a drang ces derniers mois, et qui m’a pouss archiver le dpt node-ip sur GitHub , a dclar le dveloppeur via son compte Mastodon.
Quelqu’un a dpos un CVE douteux propos de mon paquet npm, et ensuite j’ai commenc recevoir des messages de toutes les personnes qui reoivent des avertissements de « npm audit » , a-t-il ajout. Les dveloppeurs Node.js qui utilisent d’autres projets ouverts, tels que les paquetages et les dpendances npm dans leur application, peuvent lancer la commande « npm audit » pour vrifier si l’un de ces projets utiliss par leur application a fait l’objet d’un rapport sur les vulnrabilits. Indutny reconnat l’existence de la vulnrabilit CVE-2023-42282, mais s’est plaint du fait que sa gravit a t exagre sans raison.
Selon les experts, contester un rapport CVE n’est pas une tche aise, mais Indutny semble avoir partiellement obtenu gain de cause. la suite de ses messages sur les mdias sociaux, GitHub a abaiss la gravit de la vulnrabilit dans sa base de donnes et a suggr Indutny d’activer le signalement priv des vulnrabilits afin de mieux grer les rapports entrants et de rduire le bruit. En revanche, la gravit de la vulnrabilit dans la base de donnes NVD reste « critique ». Pour contester ce score, Indutny doit se retrouver les autorits de numrotation des CVE qui ont initialement rdig le rapport sujet polmiques.
Malheureusement, le cas d’Indutny n’est pas isol. Ces derniers temps, les dveloppeurs de logiciels open source ont t confronts une augmentation du nombre de rapports CVE discutables ou, dans certains cas, carrment faux, dposs pour leurs projets sans confirmation. Cela peut entraner une panique injustifie parmi les utilisateurs de ces projets et des alertes gnres par les scanners de scurit, ce qui inquite les dveloppeurs. Le niveau de gravit est une connerie depuis quelques annes. C’est comme si chaque CVE recevait 9.x, mme si pour l’exploiter il faut utiliser de la magie , note un dveloppeur.
Certains critiques remettent en cause le fonctionnement du systme CVE. Donc les personnes qui dveloppent des produits ventuellement concurrents peuvent maintenant soulever des CVE bidons contre l’quivalent FOSS pour le forcer mettre la cl sous la porte ? Ce systme a certainement besoin d’tre rform , a crit un critique. Le systme CVE, conu l’origine pour aider les chercheurs en scurit signaler de manire thique les vulnrabilits d’un projet et les rpertorier aprs une divulgation responsable, a rcemment attir un segment de membres de la communaut dposant des rapports non vrifis.
Alors que de nombreux CVE sont dposs de bonne foi par des chercheurs responsables et reprsentent des failles de scurit crdibles, une tendance qui s’est rcemment dveloppe concerne des passionns de scurit dbutants et des chasseurs de bogues qui collectent ostensiblement des CVE pour enrichir leur CV au lieu de signaler des bogues de scurit dont l’exploitation aurait des consquences pratiques dans le monde rel. De nombreux projets open source populaires, dont cURL et micromatch, ont t victime de ces signalements abusifs au cours des deux dernires annes. Ils dnoncent une tendance dangereuse.
Les incidents rcurrents de ce type soulvent la question suivante : comment trouver un quilibre ? Le signalement incessant de vulnrabilits critiques thoriques peut puiser les dveloppeurs de logiciels open source, qui sont souvent des bnvoles, force de trier le bruit. D’un autre ct, serait-il conforme l’thique que les praticiens de la scurit, y compris les novices, s’assoient sur ce qu’ils pensent tre une faille de scurit, afin de ne pas gner les responsables du projet ?
Un troisime problme se pose pour les projets sans un responsable actif. Les projets de logiciels abandonns qui n’ont pas t touchs depuis des annes contiennent des vulnrabilits qui, mme si elles sont divulgues, ne seront jamais corriges et il n’existe aucun moyen de contacter leur mainteneur d’origine. Dans de tels cas, les intermdiaires, y compris les autorits de numrotation CVE et les plateformes de recherche de failles, sont laisss dans l’incertitude.
Aprs la dcision de GitHub d’abaisser le score de gravit de la vulnrabilit CVE-2023-42282, Indutny a dsarchiv le projet node-ip. L’on ignore toutefois si le dveloppeur a t en mesure de contacter les autorits de numrotation des CVE qui ont initialement rdig le rapport polmique.
Sources : billet de blogue, CVE-2023-42282, node-ip (1, 2)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la chasse aux bogues polmique dont font l’objet les projets open source ?
Quels pourraient tre les impacts de la multiplication des rapports CVE douteux, voire faux, sur les projets open source ?
Quels pourraient tre les impacts de ces rapports sur la communaut open source ?
Le besoin d’enrichir son CV justifie-il des comportements prjudiciables aux mainteneurs de projets de open source ?
Voir aussi