Les failles de type zero day se développent fortement depuis quelques mois. Si les environnements Microsoft sont particulièrement visés (comme dans IE), le monde Open Source n’est pas exempté d’attaques. Ainsi au mois de mars dernier, un correctif a été publié pour Apache Struts (en version 2.3.16.1), un framework qui sert au développement web Java EE sur une vulnérabilité dans ClassLoader. Cette dernière autorisait un attaquant à réaliser un deni de service sur le serveur exécutant Struts 2, via une requête des paramètres
Or, le correctif proposé n’est pas suffisant, explique la Fondation Apache dans un message adressé aux utilisateurs. Elle annonce qu’un autre patch va être disponible dans les prochaines 72 heures pour régler complètement le problème. En attendant, la Fondation publie un remède sous forme de code à intégrer dans le logiciel en modifiant les appels aux paramètres. Elle invite les utilisateurs à appliquer ce remède sans attendre.
Les failles zero day ont tendance à croître. Dans son rapport annuel sur les menaces (IRTS), Symantec montre que leur nombre a augmenté de 68% en 2013 et ciblait notamment l’environnement Windows, mais aussi Java. Laurent Heslault, directeur des stratégies de sécurité chez Symantec, avait expliqué alors que, « le monde Open Source devient une cible, car il est de plus en plus utilisé au sein des entreprises ».
Une parole prémonitoire, avec l’affaire Heartbleed qui a montré la faiblesse dans la librairie OpenSSL et les ratés de certains correctifs comme celui d’Akamai. Même les géants du web sont venus financièrement au chevet d’OpenSSL, mais travaillent plus largement pour la sécurisation des projets Open Source clés.
crédit photo © Beboy Fotolia.com
En complément :
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…