Des failles dans des bibliothèques Linux, y’en a qui sont découvertes tous les jours et heureusement rapidement patchées. Mais souvent, ces bibliothèques sont packagées ou distribuées avec d’autres softs Linux et malheureusement, pas toujours mises à jour par les développeurs. Résultat, on se retrouve par exemple avec 5 packages dans la dernière Debian et Fedora qui sont vulnérables à un buffer overflow découvert dans libtiff en avril dernier, ou encore avec un Firefox qui est resté 3 mois vulnérable à une faille présente dans la libpng.
Bref, pas simple de tout suivre et franchement, je comprends les développeurs. Mais « sécurité » avant tout ! C’est ce que s’est dit le chercheur Australien Silvio Cesare qui a mis au point un outil capable de détecter les bugs et failles présents dans les bibliothèques Linux, simplement en les matchant à partir des bases d’advisories CVE.
Cet outil (non rendu public pour le moment) va permettre (par exemple) de vérifier en profondeur que chaque package intégré dans une distrib Linux est 100% fiable à un instant T. La sécurité n’en sera que renforcée et le temps gagné sera considérable. Alors bien sûr, pour le moment, il y a encore 90% de faux positifs dans les rapports de cet outil, mais ça fera (d’après Silvio) gagner un max de temps à tous ceux qui jusqu’à présent le faisaient à la mano.
Silvio réfléchit déjà à un outil similaire, mais cette fois pour Windows.