Je n'ai pas d'avis tranché mais je me pose des questions, que je vous partage.
GNU coreutils est là depuis plus longtemps que nous, ça fait largement le taf', et ce n'est même pas la première implémentation de ces outils. uutils (la réimplémentation de ces outils en Rust) est tout jeune et le leitmotiv, d'après leur site, est de moderniser ces outils.
L'argument de réécrire des logiciels en Rust pour des raisons de sécurité me convainc. Globalement je ne trouve pas ça déconnant. Donc j'ai une question pour les experts en sécurité : quelles sont les dernières failles trouvées dans GNU ls, cp, grep, etc ?
Je vois que uutils publie sous licence MIT là où GNU publie en GPL. Moi ça m'allait très bien la GPL ; je ne vois absolument aucun inconvénient à ce que les forkeurs soit interdits de cacher leurs patchs sur ces outils. Du coup cette MIT m'embête un peu.
Et pour grogner un peu : arrêtez de mettre « moderne » sur tout vos trucs. « foo-rs is a modern replacement for foo », « modern C++ »… On s'en fiche que ce soit moderne, on veut que ça soit mieux ou équivalent sur toutes les dimensions. L'apport de Rust c'est le borrow-checker, la rigueur que ça impose, et par extension la forte réduction du risque d'utilisation de l'app comme vecteur d'attaque, et cela sans sacrifier les performances. Ce n'est pas « moderne », c'est juste beaucoup mieux que l'existant.
Après, on me dira que, ce n'est pas forcément uutils qui est directement concerné, mais ses dépendances, et potentiellement uutils n'utilise pas le code problématique des dépendances.
Reste qu'un projet en Rust utilisant des dépendances statiques, si l'on utilise l'une des versions concernées par ces failles, on ne peut pas réparer les problèmes de sécurité juste en fessant une update de la libc comme on le ferait avec un problème de dépendances dans GNU coreutils, mais on doit mettre à jour uutils lui-même.
Je vois que uutils publie sous licence MIT là où GNU publie en GPL. Moi ça m'allait très bien la GPL ; je ne vois absolument aucun inconvénient à ce que les forkeurs soit interdits de cacher leurs patchs sur ces outils. Du coup cette MIT m'embête un peu.
Je reviens là dessus: je pense que je comprends l'intention derrière cette phrase, mais je vais y apporter une précision: il n'y a RIEN dans la GPL qui force les forkers à remonter leurs patchs upstream ou même à les publier pour tout le monde.
L'obligation elle est envers les destinataires ("recipients") du projet.
On s'entend qu'après il n'y a rien qui empêche lesdits destinataires de publier ce code ci de façon plus générale.
Moi ça m'allait très bien la GPL ; je ne vois absolument aucun inconvénient à ce que les forkeurs soit interdits de cacher leurs patchs sur ces outils. Du coup cette MIT m'embête un peu.
C'est mignon cette perche tendue à Z< après que tu l'ais fait ragequit
Je ne sais pas trop quoi penser de ton message mais je préfère préciser : j'aurais préféré qu'il reste et qu'il ajuste son comportement plutôt qu'il parte.
# Il fait tiède
Posté par Julien Jorge (site web personnel) . Évalué à 10 (+14/-1).
Je n'ai pas d'avis tranché mais je me pose des questions, que je vous partage.
GNU coreutils est là depuis plus longtemps que nous, ça fait largement le taf', et ce n'est même pas la première implémentation de ces outils. uutils (la réimplémentation de ces outils en Rust) est tout jeune et le leitmotiv, d'après leur site, est de moderniser ces outils.
L'argument de réécrire des logiciels en Rust pour des raisons de sécurité me convainc. Globalement je ne trouve pas ça déconnant. Donc j'ai une question pour les experts en sécurité : quelles sont les dernières failles trouvées dans GNU
ls,cp,grep, etc ?Je vois que uutils publie sous licence MIT là où GNU publie en GPL. Moi ça m'allait très bien la GPL ; je ne vois absolument aucun inconvénient à ce que les forkeurs soit interdits de cacher leurs patchs sur ces outils. Du coup cette MIT m'embête un peu.
Et pour grogner un peu : arrêtez de mettre « moderne » sur tout vos trucs. « foo-rs is a modern replacement for foo », « modern C++ »… On s'en fiche que ce soit moderne, on veut que ça soit mieux ou équivalent sur toutes les dimensions. L'apport de Rust c'est le borrow-checker, la rigueur que ça impose, et par extension la forte réduction du risque d'utilisation de l'app comme vecteur d'attaque, et cela sans sacrifier les performances. Ce n'est pas « moderne », c'est juste beaucoup mieux que l'existant.
[^] # Re: Il fait tiède
Posté par jtremesay (site web personnel) . Évalué à 10 (+9/-0).
https://app.opencve.io/cve/?vendor=gnu&product=coreutils
[^] # Re: Il fait tiède
Posté par pamputt . Évalué à 9 (+7/-0). Dernière modification le 20 mars 2025 à 13:44.
Donc 10 failles en 20 ans sur l'ensemble des outils de coreutils (dont seulement 3 avec un score CVSS 3.1). C'est franchement pas énorme.
[^] # Re: Il fait tiède
Posté par uso (site web personnel) . Évalué à 1 (+1/-1). Dernière modification le 21 mars 2025 à 23:57.
Je me demandais ce que ça vaut, comparer à uutils.
Donc j'ai essayé de trouver les versions les plus récentes de uutils qui contient des failles de sécu.
Pour ce faire, j'ai checkout + cargo-audit les tags des versions de uutils.
Donc le 1ᵉʳ version de uutils apparemment, c'est 0.0.24 qui date du 2024-01-24, avec ces 2 rustsec:
https://rustsec.org/advisories/RUSTSEC-2024-0019
et
https://rustsec.org/advisories/RUSTSEC-2024-0006
si on remonte de 2 versions, on rajoute elle :
https://rustsec.org/advisories/RUSTSEC-2023-0070
si on remonte au 15, on rajoute elle : https://rustsec.org/advisories/RUSTSEC-2023-0070
Après, on me dira que, ce n'est pas forcément uutils qui est directement concerné, mais ses dépendances, et potentiellement uutils n'utilise pas le code problématique des dépendances.
Reste qu'un projet en Rust utilisant des dépendances statiques, si l'on utilise l'une des versions concernées par ces failles, on ne peut pas réparer les problèmes de sécurité juste en fessant une update de la libc comme on le ferait avec un problème de dépendances dans GNU coreutils, mais on doit mettre à jour uutils lui-même.
[^] # Re: Il fait tiède
Posté par Glandos . Évalué à 10 (+9/-0).
https://sylvestre.ledru.info/coreutils-fosdem-2025/#47
L'auteur principal le dit : ce n'est pas un problème de sécurité. Les utilitaires GNU coreutils sont très bien de ce point de vue là.
Donc l'argument d'Ubuntu est mauvais.
[^] # Re: Il fait tiède
Posté par Storm . Évalué à 3 (+2/-0).
Je reviens là dessus: je pense que je comprends l'intention derrière cette phrase, mais je vais y apporter une précision: il n'y a RIEN dans la GPL qui force les forkers à remonter leurs patchs upstream ou même à les publier pour tout le monde.
L'obligation elle est envers les destinataires ("recipients") du projet.
On s'entend qu'après il n'y a rien qui empêche lesdits destinataires de publier ce code ci de façon plus générale.
[^] # Re: Il fait tiède
Posté par Faya . Évalué à 2 (+0/-0).
C'est mignon cette perche tendue à Z< après que tu l'ais fait ragequit
[^] # Re: Il fait tiède
Posté par Julien Jorge (site web personnel) . Évalué à 2 (+0/-0).
Je ne sais pas trop quoi penser de ton message mais je préfère préciser : j'aurais préféré qu'il reste et qu'il ajuste son comportement plutôt qu'il parte.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.