search

SocialGouv / dashlord

The best-practices Dashboard
https://socialgouv.github.io/dashlord
Apache License 2.0
72 stars 24 forks source link

Scan sécurité - OpenSSH 7.9 sur Debian #64

Open vviers opened 2 years ago

vviers commented 2 years ago

Hello, mon problème dashlord est le suivant : si je vais sur la page sécurité je vois que notre scan summary est à F : https://dashlord.incubateur.net/url/mes-aides-1jeune1solution-beta-gouv-fr/securite/

Si on prends la CVE 2019-6111 cela est lié au fait que la version de OpenSSH 7.9 est vulnérable. Sur le serveur d'Aides Jeunes c'est une version 7.9 patchée par l'équipe Debian qui est utilisée :

root@solstice:~# ssh -V OpenSSH_7.9p1 Debian-10+deb10u2, OpenSSL 1.1.1d 10 Sep 2019 Le problème c'est que du coup ça n'est pas possible d'améliorer notre score dashlord sauf à mettre à jour openssh vers une version plus récente qui n'est pas supportée officiellement par Debian

zerodeux commented 2 years ago

Je plusse, c'est un problème récurrent des scanners de sécurité simplistes (Qualys étant un acteur majeur générant beaucoup de faux positifs). C'est un problème car il dégrade systématiquement 1/ les distributions qui font un travail de patch de qualité et suivi comme Debian, 2/ les infogéreurs qui prennent soin d'être à jour au niveau des patches de sécurité.

Par ailleurs ce genre de test simpliste basé sur la simple consultation de la version (au lieu de réellement tester la faille pour confirmer/infirmer sa présence) encourage les décideurs à se baser sur le "toujours plus récent", donc des rolling releases, qui ont statistiquement plus de nouvelles vulnérabilités puisqu'elles viennent avec du nouveau code (c'est particulièrement vrai dans le cas d'OpenSSH où la majorité des vulnérabilités découvertes sont liés à des apports de codes récents par rapport à la dite date de découverte).

Evidemment il n'existe pas toujours "d'exploit" sans impact (en particulier pour une faille de type déni de service, la preuve de la faille consiste à ... faire tomber le service), donc un scanner sans faux positif reste un idéal assez délicat à développer.

Mais Debian est une distribution très répandue et je pense qu'il serait plus que pertinent que le scanner sache consulter la base de sécurité Debian et reconnaître le patchlevel d'un service. Ici le service OpenSSH indique clairement dans sa bannière le patchlevel (deb10u2) et une simple consultation de la page de status CVE Debian (https://security-tracker.debian.org/tracker/CVE-2019-6111) montre que la faille est corrigée par ce patch.

Je précise que ces faux positifs causent aussi beaucoup de travail conte-productif (le client/chef de projet qui lève une alerte, l'hébergeur qui doit justifier/ré-expliquer pour la 200ème fois qu'il fait bien son travail et que les patches de sécurité sont appliqués, la longue et quasi-impossibilité de persuader la hiérarchie que le macaron rouge est un faux positif, etc.).