ClickCease UChecker - êtes-vous sûr que vos bibliothèques sont à jour ? - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

UChecker - êtes-vous sûr que vos bibliothèques sont à jour ?

Le 7 avril 2021 - L'équipe de relations publiques de TuxCare

UChecker - êtes-vous sûr que vos bibliothèques sont à jour ?Quand vous voyez tant de vulnérabilités et tant de problèmes de sécurité sont exploités, vous pouvez vous dire "J'ai de la chance de ne pas utiliser ce paquet ou ce logiciel, je ne suis pas vulnérable à cela". 

Bienvenue dans le monde des dépendances logicielles. 

 

Vous n'utilisez peut-être pas curl/libcurl directement, mais votre navigateur le fait, même si vous n'en êtes pas conscient. Ou pire, votre serveur web appelle libcurl lorsqu'il vérifie les chaînes de certificats dans le backend. Ou peut-être que c'est OpenSSL qui est utilisé pour valider les communications cryptées vers votre nouvelle application via une bibliothèque tierce que vous avez utilisée.

 

En bref, les développeurs de logiciels n'aiment pas réinventer la roue, à juste titre, et s'appuient sur des bibliothèques éprouvées pour réaliser des scénarios d'utilisation courante tels que le cryptage, la gestion des fichiers, la communication, la validation des entrées, etc. Cela leur permet de se concentrer sur les fonctionnalités essentielles de l'application. Cela vaut aussi bien pour les applications destinées aux utilisateurs finaux que pour les progiciels de serveur tels que les bases de données, les serveurs de courrier électronique et les serveurs Web ou les cadres d'intelligence artificielle.

 

Ainsi, lorsque ces rapports de vulnérabilité arrivent, comme c'est souvent le cas, même des logiciels apparemment sans rapport peuvent y être exposés. Alors comment savoir ? Il n'est pas très pratique de passer en revue les spécifications techniques de chaque application, ou parfois ce n'est même pas possible du tout, comment pouvez-vous vous assurer que vous n'utilisez pas quelque chose de vulnérable à travers une dépendance de vos applications ?

 

C'est là que l'équipe de KernelCare est intervenue, et a créé UChecker. Il s'agit d'un outil qui analyse votre système à la recherche de bibliothèques vulnérables utilisées par d'autres applications, ce qui vous donne un aperçu global des paquets qui doivent être mis à jour dès que possible. Vous obtiendrez des informations détaillées sur le programme qui utilise telle ou telle bibliothèque vulnérable.

 

Jetons un coup d'œil à UChecker en action :

curl -s -L https://kernelcare.com/uchecker | python

Exemple de uchecker fonctionnant sur une installation fraîche de CentOS 7, à des fins de démonstration uniquement. La liste continue.

Exemple de uchecker fonctionnant sur une nouvelle installation CentOS 7, à des fins de démonstration uniquement. Fin de la liste...

(UChecker fonctionne sur une installation récente de CentOS 7, à des fins de démonstration uniquement. Liste intentionnellement raccourcie).

Et cela signifie que ce système doit mettre à jour plusieurs bibliothèques. Elles sont appelées par plusieurs services du système. Vous pouvez simplement mettre à jour les bibliothèques concernées en utilisant votre outil de mise à jour habituel. 

N'oubliez pas de redémarrer les services concernés si votre outil de mise à jour ne parvient pas à le faire, car les outils de mise à jour traditionnels ne touchent que les fichiers de bibliothèque sur le disque, et toute bibliothèque déjà utilisée et résidant actuellement en mémoire continuera à avoir l'ancien code.

Contrairement à UChecker, d'autres scanners vérifient à tort la conformité des correctifs uniquement sur le contenu du disque et ne repèrent pas les versions obsolètes en mémoire, ce qui peut vous faire croire que votre système est sûr alors qu'il ne l'est pas. 

Une fois toutes les mises à jour effectuées, voici la sortie souhaitée :

Sortie souhaitée de UChecker. "Tout est OK."

UChecker est un outil gratuit et open source que vous pouvez utiliser pour valider le bon fonctionnement de vos mécanismes de mise à jour. Il peut être intégré à des outils tels que Nagios pour vous alerter sur les systèmes utilisant des bibliothèques périmées, ou à d'autres outils de surveillance et de gestion. Il peut également vous aider à éviter les redémarrages inutiles en vous indiquant exactement quels programmes doivent être redémarrés en raison d'une mise à jour de bibliothèque vulnérable.

Pour une plus grande tranquillité d'esprit, vous pouvez utiliser KernelCare+ pour recevoir les mises à jour automatiquement sans avoir à redémarrer les applications, mais même en utilisant UChecker seul, vous obtiendrez des informations exploitables pour améliorer votre sensibilisation à la sécurité et votre processus de correction.

 

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information