{"id":291635,"date":"2022-08-02T12:18:31","date_gmt":"2022-08-02T14:18:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-nouvelle-vulnerabilite-de-contrebande-de-parametres-parsethru-affecte-les-applications-basees-sur-golang\/"},"modified":"2022-08-02T12:18:33","modified_gmt":"2022-08-02T14:18:33","slug":"la-nouvelle-vulnerabilite-de-contrebande-de-parametres-parsethru-affecte-les-applications-basees-sur-golang","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-nouvelle-vulnerabilite-de-contrebande-de-parametres-parsethru-affecte-les-applications-basees-sur-golang\/","title":{"rendered":"La nouvelle vuln\u00e9rabilit\u00e9 de contrebande de param\u00e8tres \u00ab\u00a0ParseThru\u00a0\u00bb affecte les applications bas\u00e9es sur Golang"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Des chercheurs en s\u00e9curit\u00e9 ont d\u00e9couvert une nouvelle vuln\u00e9rabilit\u00e9 appel\u00e9e <strong>ParseThru<\/strong> affectant les applications bas\u00e9es sur Golang qui pourraient \u00eatre utilis\u00e9es de mani\u00e8re abusive pour obtenir un acc\u00e8s non autoris\u00e9 aux applications bas\u00e9es sur le cloud.<\/p>\n<p>&#8220;La vuln\u00e9rabilit\u00e9 r\u00e9cemment d\u00e9couverte permet \u00e0 un acteur mena\u00e7ant de contourner les validations sous certaines conditions, en raison de l&#8217;utilisation de m\u00e9thodes d&#8217;analyse d&#8217;URL non s\u00e9curis\u00e9es int\u00e9gr\u00e9es dans le langage&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 Oxeye dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.oxeye.io\/blog\/golang-parameter-smuggling-attack\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n<p>Le probl\u00e8me, \u00e0 la base, est li\u00e9 aux incoh\u00e9rences r\u00e9sultant des changements introduits dans la logique d&#8217;analyse d&#8217;URL de Golang qui est impl\u00e9ment\u00e9e dans la biblioth\u00e8que &#8220;net\/url&#8221;.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Alors que les versions du langage de programmation ant\u00e9rieures \u00e0 1.17 traitaient les points-virgules comme un d\u00e9limiteur de requ\u00eate valide (par exemple, example.com?a=1;b=2&amp;c=3), ce comportement a depuis \u00e9t\u00e9 modifi\u00e9 pour g\u00e9n\u00e9rer une erreur lors de la recherche d&#8217;une cha\u00eene de requ\u00eate contenant un point-virgule.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"296\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1659449911_262_La-nouvelle-vulnerabilite-de-contrebande-de-parametres-ParseThru-affecte-les.jpg\" \/><\/div>\n<p>&#8220;Les packages net\/url et net\/http acceptaient &#8220;;&#8221; (point-virgule) comme s\u00e9parateur de param\u00e8tres dans les requ\u00eates d&#8217;URL, en plus de &#8220;&amp;&#8221; (esperluette)&#8221;, selon le <a rel=\"nofollow noopener\" href=\"https:\/\/go.dev\/doc\/go1.17#semicolons\" target=\"_blank\">notes de version<\/a> pour la version 1.17 sortie en ao\u00fbt dernier.<\/p>\n<p>&#8220;D\u00e9sormais, les param\u00e8tres avec des points-virgules non cod\u00e9s en pourcentage sont rejet\u00e9s et les serveurs net\/http consignent un avertissement dans &#8216;Server.ErrorLog&#8217; lorsqu&#8217;ils en rencontrent un dans une URL de demande.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"430\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1659449911_732_La-nouvelle-vulnerabilite-de-contrebande-de-parametres-ParseThru-affecte-les.jpg\" \/><\/div>\n<p>Le probl\u00e8me survient lorsqu&#8217;une API publique bas\u00e9e sur Golang et construite sur la version 1.17 ou ult\u00e9rieure communique avec un service backend ex\u00e9cutant une version ant\u00e9rieure, ce qui conduit \u00e0 un sc\u00e9nario dans lequel un acteur malveillant pourrait faire passer des requ\u00eates incorporant des param\u00e8tres de requ\u00eate qui seraient autrement rejet\u00e9s.<\/p>\n<p>En termes simples, l&#8217;id\u00e9e est d&#8217;envoyer des requ\u00eates contenant un point-virgule dans la cha\u00eene de requ\u00eate, qui est ignor\u00e9e par l&#8217;API Golang orient\u00e9e utilisateur mais est trait\u00e9e par le service interne.  Ceci, \u00e0 son tour, est rendu possible gr\u00e2ce au fait que <a rel=\"nofollow noopener\" href=\"https:\/\/pkg.go.dev\/net\/url#URL.Query\" target=\"_blank\">une des m\u00e9thodes<\/a> responsable de l&#8217;obtention de la cha\u00eene de requ\u00eate analys\u00e9e supprime silencieusement l&#8217;erreur renvoy\u00e9e.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Oxeye a d\u00e9clar\u00e9 avoir identifi\u00e9 plusieurs instances de ParseThru dans des projets open source tels que Harbor, Traefik et Skipper, ce qui a permis de contourner les validations mises en place et d&#8217;effectuer des actions non autoris\u00e9es.  Les probl\u00e8mes ont \u00e9t\u00e9 r\u00e9solus apr\u00e8s une divulgation responsable aux fournisseurs respectifs.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que l&#8217;analyse d&#8217;URL pose un probl\u00e8me de s\u00e9curit\u00e9.  Plus t\u00f4t en janvier, Claroty et Snyk ont \u200b\u200br\u00e9v\u00e9l\u00e9 jusqu&#8217;\u00e0 huit failles dans des biblioth\u00e8ques tierces \u00e9crites en langages C, JavaScript, PHP, Python et Ruby, r\u00e9sultant d&#8217;une confusion dans l&#8217;analyse des URL.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/new-parsethru-parameter-smuggling.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des chercheurs en s\u00e9curit\u00e9 ont d\u00e9couvert une nouvelle vuln\u00e9rabilit\u00e9 appel\u00e9e ParseThru affectant les applications bas\u00e9es sur Golang qui pourraient \u00eatre utilis\u00e9es de mani\u00e8re abusive pour obtenir un acc\u00e8s non autoris\u00e9 aux applications bas\u00e9es sur le cloud. &#8220;La vuln\u00e9rabilit\u00e9 r\u00e9cemment d\u00e9couverte permet \u00e0 un acteur mena\u00e7ant de contourner les validations sous certaines conditions, en raison de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":291636,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1132,8361,72295,4168,13844,4158,4165,4161,78641,4157,4159,4171,4170,65,4167,4160,197,4163,4162,36188,96100,4172,4169,60,4166,3667,4164],"class_list":["post-291635","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-affecte","tag-applications","tag-basees","tag-comment-pirater","tag-contrebande","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-golang","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-parametres","tag-parsethru","tag-securite-informatique","tag-securite-internet","tag-sur","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/291635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=291635"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/291635\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/291636"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=291635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=291635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=291635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}