Whitelist all attribute assignment by default. · 641a4f6 · rails/rails

Stéphane Bortzmeyer CC BY-SA 8/03/2012

La forge d’hébergement de logiciels #GitHub a été piratée le 4 mars :

►https://github.com/blog/1068-public-key-security-vulnerability-and-mitigation

La technique utilisée (une énorme faille dans le fonctionnement du « framework » de développement Web #Rails) est documentée en détail :

►https://gist.github.com/1978249

ActiveRecord::Base.send(:attr_accessible, nil)

Les leçons à en tirer ? Comme d’habitude, les développeurs (de Rails) n’ont pas réagi aux alertes avant que la faille ne soit activement exploitée. Ici, la correction (qui ne s’applique qu’aux nouveaux projets Rails, tous les projets existants sont vulnérables) :

►https://github.com/rails/rails/commit/641a4f62405cc2765424320932902ed8076b5d38

Un article de synthèse pas mal :

►http://www.zdnet.fr/blogs/developpeur-zone/github-hacke-l-industrie-du-logiciel-menacee-39769326.htm

Stéphane Bortzmeyer CC BY-SA

Stéphane Bortzmeyer @stephane CC BY-SA 8/03/2012

Amusant, ce qu’affiche #SeenThis_bug lorsqu’on cite un gist GitHub...

Stéphane Bortzmeyer @stephane CC BY-SA
juba @julien CC BY 8/03/2012

D’après ce que j’en ai lu (mais je ne suis pas un expert), c’était pas tellement une faille de rails plutôt qu’une configuration par défaut peu sûre. Du coup les projets existants ne seraient vulnérables que s’ils n’ont pas été correctement configurés.

juba @julien CC BY
Stéphane Bortzmeyer @stephane CC BY-SA 8/03/2012

Une configuration par défaut horriblement vulnérable (pas « peu sûre »), c’est une faille : dans tous les logiciels, la grande majorité des utilisateurs (y compris ceux de GitHub, pourtant des pointures), ne sortent pas de la configuration par défaut.
Les projets existants sont tous vulnérables parce qu’ils ont fait confiance à la configuration par défaut, normalement prévue pour des gens ordinaires, pas des experts.
Et les développeurs Rails ont toujours ignoré les nombreux avertissements, il a fallu un piratage pour qu’ils réagissent enfin.

Stéphane Bortzmeyer @stephane CC BY-SA

Écrire un commentaire

Whitelist all attribute assignment by default. · 641a4f6 · rails/rails · GitHub

/641a4f62405cc2765424320932902ed8076b5d3