Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Scan sécurité - OpenSSH 7.9 sur Debian #64

Open
vviers opened this issue Apr 14, 2022 · 1 comment
Open

Scan sécurité - OpenSSH 7.9 sur Debian #64

vviers opened this issue Apr 14, 2022 · 1 comment

Comments

@vviers
Copy link

vviers commented Apr 14, 2022

Hello, mon problème dashlord est le suivant : si je vais sur la page sécurité je vois que notre scan summary est à F : https://dashlord.incubateur.net/url/mes-aides-1jeune1solution-beta-gouv-fr/securite/

Si on prends la CVE 2019-6111 cela est lié au fait que la version de OpenSSH 7.9 est vulnérable. Sur le serveur d'Aides Jeunes c'est une version 7.9 patchée par l'équipe Debian qui est utilisée :

root@solstice:~# ssh -V
OpenSSH_7.9p1 Debian-10+deb10u2, OpenSSL 1.1.1d 10 Sep 2019
Le problème c'est que du coup ça n'est pas possible d'améliorer notre score dashlord sauf à mettre à jour openssh vers une version plus récente qui n'est pas supportée officiellement par Debian

@zerodeux
Copy link

zerodeux commented Jul 8, 2022

Je plusse, c'est un problème récurrent des scanners de sécurité simplistes (Qualys étant un acteur majeur générant beaucoup de faux positifs). C'est un problème car il dégrade systématiquement 1/ les distributions qui font un travail de patch de qualité et suivi comme Debian, 2/ les infogéreurs qui prennent soin d'être à jour au niveau des patches de sécurité.

Par ailleurs ce genre de test simpliste basé sur la simple consultation de la version (au lieu de réellement tester la faille pour confirmer/infirmer sa présence) encourage les décideurs à se baser sur le "toujours plus récent", donc des rolling releases, qui ont statistiquement plus de nouvelles vulnérabilités puisqu'elles viennent avec du nouveau code (c'est particulièrement vrai dans le cas d'OpenSSH où la majorité des vulnérabilités découvertes sont liés à des apports de codes récents par rapport à la dite date de découverte).

Evidemment il n'existe pas toujours "d'exploit" sans impact (en particulier pour une faille de type déni de service, la preuve de la faille consiste à ... faire tomber le service), donc un scanner sans faux positif reste un idéal assez délicat à développer.

Mais Debian est une distribution très répandue et je pense qu'il serait plus que pertinent que le scanner sache consulter la base de sécurité Debian et reconnaître le patchlevel d'un service. Ici le service OpenSSH indique clairement dans sa bannière le patchlevel (deb10u2) et une simple consultation de la page de status CVE Debian (https://security-tracker.debian.org/tracker/CVE-2019-6111) montre que la faille est corrigée par ce patch.

Je précise que ces faux positifs causent aussi beaucoup de travail conte-productif (le client/chef de projet qui lève une alerte, l'hébergeur qui doit justifier/ré-expliquer pour la 200ème fois qu'il fait bien son travail et que les patches de sécurité sont appliqués, la longue et quasi-impossibilité de persuader la hiérarchie que le macaron rouge est un faux positif, etc.).

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

No branches or pull requests

2 participants