Journal Le rapport du SANS Institute pour les vulnérabilités du second trimestre.

Posté par  .
Étiquettes :
0
26
juil.
2005
Donc le SANS Institute a publié son classement des vulnérabilités considérées comme les plus critiques pour ce second trimestre [1].

Microsoft, en habitué, à sa propre rubrique ou un bon nombre de vulnérabilités figurent.
Par contre, pour ce qui est des logiciels libres, seuls Mozilla & Firefox figurent dans le classement.

Ce classement se base sur, je cite, divers critères tels que le nombre de victimes potentielles, la facilité d'exploitation ou encore l'activité malicieuse observée.
On est donc en droit de penser que les logiciels libres du monde des serveurs tels que Apache, Postfix, ... sont un exemple de fiabilité.

Il faut toutefois préciser que ce classement, bien que plus ou moins en faveur des logiciels libres, n'est pas plus infaillible qu'un autre.

[1] l'annonce sur FrSirt:
http://www.frsirt.com/actualite/20050725.SANSTopQ2.php(...)

[2] Le classement détaillé:
http://www.sans.org/top20/q2-2005update/detail.php(...)

  • # Fiabilite du libre

    Posté par  . Évalué à 7.

    On est donc en droit de penser que les logiciels libres du monde des serveurs tels que Apache, Postfix, ... sont un exemple de fiabilité.
    Si on reprend la meme source (frsirt.com):
    http://www.frsirt.com/bulletins/1639(...)
    Pour apache 2.0.54 ca nous donne en tout 2 "failles" de securite: CAN-2005-1268 et CAN-2005-2088 (voir cve.mitre.org)

    De plus ce n'est qu'un "top". Des failles de securite dans le monde libre, il y en a tous les jours, plus ou moins grave, qui passe plus ou moins inappercues. La fiabilite du libre ne se trouve pas dans le nombre security advisories, mais dans la qualite du travail des differents maillons de la chaine de distribution : de l'acces au repository du projet a la distribution du package "fixed", sans oublier les phases de tests and co.

    • [^] # Re: Fiabilite du libre

      Posté par  . Évalué à 2.

      D'autant plus que dans le libre ce sont souvent des équipes d'audit des distributions ou les dev des softs eux-mêmes qui trouvent des vulns (contrairement aux gros constructeurs comme microsoft et oracle où ce sont des chercheurs externes qui trouvent les vulns). Ca met en avant le modèle qualité du libre et l'importance de la sécurité aux yeux des dévelopeurs et des mainteneurs.

      C'est essentiel d'avoir une bonne chaîne qualité et de devancer les audits des "méchants" car failles non publiée ne veut pas dire faille inexistante.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.