Geektionnerd : Le goto fail de GnuTLS

Classé dans : Geektionnerd, Libres Cultures | 5

geektionnerd_184-1_simon-gee-giraudot_cc-by-sa.jpg

geektionnerd_184-2_simon-gee-giraudot_cc-by-sa.jpg

Sources  :

Crédit  : Simon Gee Giraudot (Creative Commons By-Sa)

Auteur/dessinateur de bandes dessinées (Grise Bouille, Le Geektionnerd, Superflu, Bastards Inc, etc.). Et docteur en informatique (généraliste conventionné secteur 42).

5 Réponses

  1. AucuneImportance

    Heureusement que le logiciel libre open source permet un audit de sécurité plus facile ! Surtout sur les bibliothèque sensibles…
    Ah ben non en fait.

  2. libre fan

    D’après un commentaire sur Numérama:(Athropos)
    «>Une erreur de code proche de celle découverte récemment par Apple

    Vous devriez précisez ce que vous entendez par « proche », parce que l’erreur de programmation est très différente (un goto exécuté systématiquement chez Apple, une mauvaise gestion des codes d’erreur dans le cas présent).»

    Je pense qu’on aimerait bien en savoir plus avant de dire l’open source c’est comme Apple: tout du code mal fagoté.

    fredoush dit aussi:
    «À ma connaissance, sur un serveur proprement installé, il n’y a aucune raison que gnutls soit présent.
    Sur la plupart des machines desktop, ça concernera essentiellement glib-networking (en gros, réseau pour interfaces GTK), les plugins multimédia, et éventuellement le client cifs (samba) pour se connecter aux machines windows. Bref, que des applis clientes.

    GnuTLS n’est pas vraiment populaire, sa conception même en faisant un gros nid à emmerdes potentiel (gestion des blobs binaires avec des fonctions qui s’appliquent sur des chaînes de caractères…).

    Quand la sécurité compte, les devs normalement constitués se reposent sur OpenSSL (qui a l’inverse de GnuTLS est présent sur quasiment tous les serveurs).»

    Bref, l’article de Numérama était nul, heureusement que deux commentaires étaient intéressants. Mais il faut s’enquérir davantage.

    Ce serait intéressant aussi de se demander pourquoi une faille vieille de 12 ans n’a jamais provoqué de désastre.

  3. tizef

    > Ce serait intéressant aussi de se demander pourquoi une faille vieille de 12 ans [plutôt 10 ans, pour la v1.0] n’a jamais provoqué de désastre.

    La quasi confidentialité de GnuTLS doit y être pour quelque chose. Et puis l’exploitation de la faille relevait d’une « attaque de l’homme du milieu » qui n’est peut-être pas si triviale à mettre en place (mais je laisse les experts nous le confirmer). Quoi qu’il en soit, merci pour ce commentaire, libre fan… à force d’approximations on finit par raconter vraiment n’importe quoi (oui je sais, c’est tendance et vite oublié).

  4. Openssl est bien compromis depuis quelques temps déjà sur Android ….
    http://www.freesteader.com/forums/i
    ++b

  5. libre fan

    Pour ceux qui savent lire du code: http://blog.existentialize.com/the-

    Pour les autres comme moi, j’ai trouvé cet article dont on trouve copie conforme signée par différents auteurs (!!) ici et là mais je ne sais pas si c’est l’original ou une des copies:
    https://threatpost.com/goto-aside-g

    Oui, tizef, GNUTLS est peu utilisé et considéré comme assez nul, si j’ai bien compris. J’ai trouvé une bibliothèque dans wget sous Debian mais pas chez Ubuntu: apparemment, c’est en partie à cause de la double licence regrettable d’OpenSSL (Apache License 1.0 and 4-clause BSD License) et que Debian a plutôt choisi GNUTLS.

    @bbb: sous Android, rien ne nous étonnera :-) Mais il y a eu aussi une bourde dans OpenSSL sous Debian d’après l’article de Wikipédia, la bourde est restée tranquille pendant 2 ans. Cela a dû faire quelques désastres tout de même.

    D’après ce que disaient des gens sur Numérama, le goto fail d’Apple n’est pas juste une grosse bourde mais plutôt une habitude de fainéants qui codent sans soin, sans s’en faire. Le bout de code que Numérama montrait était malpropre, selon les commentaires.