Une faille vulnérabilise le gestionnaire de paquets Snap pour Linux

FrancisFDZ · Le 08/06/2022, à 11:35

Bonjour,
Je viens (avec 3.5 mois de retard, je reconnais) cette annonce d'une faille de sécurité dans snap, qui me conforte dans a décision d'éradiquer snap de mes installations de linux.
Cependant, je relève dans cet article quelques inexactitudes, dont

le Monde Informatique a écrit :

chaque distribution Linux majeure maintient son propre référentiel de logiciels pré-packagés et son propre gestionnaire de logiciels, par exemple DEB pour Debian, PPA pour Ubuntu, RPM pour Fedora et Red Hat, Pacman pour Arch Linux, et ainsi de suite.

PPA gestionnaire de logiciels sous ubuntu ? Alors, pourquoi ne pas parler de Aur, yaourt et yay sous Arch ?
La conclusion de l'article est

Le Monde Informatique a écrit :

Ces failles ont été corrigées dans ces composants respectifs plus tôt cette année. Ubuntu a publié des correctifs pour CVE-2021-44731 et CVE-2021-44730 pour la plupart de ses éditions Linux, à l'exception de la faille 16.04 ESM (Extended Security Maintenance) toujours en attente d’un correctif. La gravité de ces deux vulnérabilités est considérée comme très critique.

Ben ça n'est pas rassurant pour les afficionados de snap (s'il y en a) et je continue à penser que la volonté de Canonical d'imposer snap est pour le moins aventureuse !

Au fait, 3 mois après cette publication, on en est où ?

Dernière modification par FrancisFDZ (Le 09/06/2022, à 10:37)

Nuliel · Le 08/06/2022, à 20:55

Bonjour,

Je viens (avec 3.5 mois de retard, je reconnais) cette annonce d'une faille de sécurité dans snap, qui me conforte dans a décision d'éradiquer snap de mes installations de linux.

Ce n'est pas une raison valable pour moi: si tu suis cette logique, tu peux arrêter d'utiliser ton pc, ton téléphone, ... Aucun programme n'est parfait, il y aura toujours des petites erreurs de programmation qui mènent à des vulnérabilités, que ce soit sous linux, windows, snap, ... Le plus important pour moi c'est qu'il n'y en ait pas trop (en d'autres termes que le programme soit bien codé au départ), que les vulnérabilités soient corrigées rapidement, voire qu'il y ait un effort de rechercher des vulnérabilités (en d'autres termes un audit).
Normalement, quand une vulnérabilité est annoncée, ça fait 1 mois qu'elle est corrigée et que les mises à jour sont dans les tuyaux.
Pour en revenir à la vulnérabilité CVE-2021-44731 (j'imagine que c'est celle là), tu peux voir par exemple sur https://ubuntu.com/security/CVE-2021-44731 que c'est corrigé.
J'imagine que l'article dont tu parles est https://www.lemondeinformatique.fr/actu … 85889.html , et il y a un pelle mêle au niveau des vulns,

Si tu veux avoir des infos fiables, recherche plutôt le nom de la CVE sur internet, tu tomberas sur des sites comme mitre ou nvd qui donnent l'état de la vuln et des liens pour suivre

Dernière modification par Nuliel (Le 08/06/2022, à 20:57)

abecidofugy · Le 08/06/2022, à 21:17

Des failles, il y en a tous les jours.

Et des corrections qui viennent avec. En général. Et sous tous les OS. Enfin pour les plus sérieux.

abecidofugy · Le 08/06/2022, à 21:20

16.04 ESM <---------- il faut le voilà pour rester sur un OS si vieux, qui n’est pas sensé gérer le snap out the box.

Le snap est tout de même récent… non ?

FrancisFDZ · Le 09/06/2022, à 08:39

Ce qui me choque dans snap, c'est le fait qu'il soit imposé par canonical, alors qu'on y trouve encore des failles plus ou moins graves, et que en fait on pourrait très bien s'en passer. Autrement dit, je supporte mal qu'on veuille m'imposer un let système, non indispensable, mais aussi non abouti.

NB : Mon dernier "sudo apt-get full-upgrade" a planté : il voulait installer firefox sous snap, chose que j'avais interdit via le répertoire "/etc/apt/preferences.d" qui n'est visiblement pas pris correctement en compte, je cherche encore ce qui y manque (petit problème non bloquant, j'y reviendrais si nécessaire).

Tout cela pour dire que snap n'est toujours pas au point et que prendre la décision unilatérale de l'imposer risque de faire basculer pas mal d'utilisateurs de ubuntu vers une autre version linux.

Dernière modification par FrancisFDZ (Le 09/06/2022, à 08:40)

FrancisFDZ · Le 09/06/2022, à 09:50

Petits rappels historiques :
L'apparition des bibliothèques dynamiques ("DLL" chez Windows) et des modules sous linux date de l'époque où le développement des logiciels était limité d'une part par la taille des disques durs de l'époque (couramment 450 à 750 Mo) et de la mémoire disponible (toute aussi limitée). L'usage des "librairies dynamiques" et/ou des modules a permis d'une part de limiter la taille de logiciels qui "piochaient" certaines commandes dans lesdites librairies, d'autre part à ce que les librairies, une fois chargées en mémoire, pouvaient être partagées par plusieurs logiciels différents sans avoir à être rechargés en mémoire, ce qui améliorait le temps de réponse. Depuis, la taille des disques a considérablement augmenté ainsi que celle de la ram et ses caractéristiques. Du coup apparaissent maintenant ces systèmes snap, flatpak, appimage ..., qui prennent le problème à rebours.
Cependant, la perte en place causée par la multiplication et la redondance des dépendances est certes supportable sur des disques de grande capacité (plusieurs To), mais beaucoup moins sur des SSD privilégiant la vitesse, dont la taille dépasse rarement 1 To (ça commence à venir).
J'en déduis que l'utilisation des snap et consorts est un retour en arrière, et les problèmes de faille de sécurité sont contradictoires avec le discours qui prétend que l’utilisation de ces systèmes va dans le sens de la sécurité, alors que le principal avantage serait plutôt une maintenance plus simple (?) des dépendances, lesquelles ne servent plus qu'à un nombre plus limité d'applications et rajoutent des fonctions déjà existantes.

[Edit] Si mes explications manquent de clarté ou vous semblent inexactes, n'hésitez pas à m'en faire part, on ne finit jamais d'apprendre [/Edit]

Dernière modification par FrancisFDZ (Le 09/06/2022, à 10:42)

Nuliel · Le 10/06/2022, à 18:02

On trouvera toujours des vulnérabilités. Il y a eu un audit de snap, il y a donc une volonté de trouver un maximum de vulnérabilités. C'est déjà beaucoup.
Les race condition sont pas forcément faciles à remarquer, ça peut arriver d'en trouver.
Oui je sais ce qu'est une librairie dynamique, la raison de mettre certaines dépendances dans les snap est pour ne pas avoir de problème de dépendance (une version plus récente nécessaire par exemple).
Ce qui te dérange avec snap (et moi aussi), c'est surtout qu'il soit imposé et que ça pèse un âne mort. Après c'est pas parce qu'il y a eu une grosse vuln qu'il faut dire que c'est nul.

Dernière modification par Nuliel (Le 10/06/2022, à 18:03)

FrancisFDZ · Le 10/06/2022, à 18:42

@nuliel : Je ne dis pas que c'est nul, je dis que ce n'est pas assez au point. Je ne me rappelle plus si les réticences lors de l'apparition de systemd ont suscité autant de réaction, mais systemd est passé (sauf pour BSD ? Mais ce n'est pas du linux). Alors je pense que snap (et flatpak, et appimage, ...) trouveront leur place, mais pourquoi bruler les étapes ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 08/06/2022, à 11:35

Une faille vulnérabilise le gestionnaire de paquets Snap pour Linux

#2 Le 08/06/2022, à 20:55

Re : Une faille vulnérabilise le gestionnaire de paquets Snap pour Linux

#3 Le 08/06/2022, à 21:17

Re : Une faille vulnérabilise le gestionnaire de paquets Snap pour Linux

#4 Le 08/06/2022, à 21:20

Re : Une faille vulnérabilise le gestionnaire de paquets Snap pour Linux

#5 Le 09/06/2022, à 08:39

Re : Une faille vulnérabilise le gestionnaire de paquets Snap pour Linux

#6 Le 09/06/2022, à 09:50

Re : Une faille vulnérabilise le gestionnaire de paquets Snap pour Linux

#7 Le 10/06/2022, à 18:02

Re : Une faille vulnérabilise le gestionnaire de paquets Snap pour Linux

#8 Le 10/06/2022, à 18:42

Re : Une faille vulnérabilise le gestionnaire de paquets Snap pour Linux

Pied de page des forums