{"id":464847,"date":"2022-11-15T17:31:27","date_gmt":"2022-11-15T19:31:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/faille-rce-critique-signalee-dans-le-catalogue-de-logiciels-backstage-et-la-plate-forme-de-developpement-de-spotify\/"},"modified":"2022-11-15T17:31:28","modified_gmt":"2022-11-15T19:31:28","slug":"faille-rce-critique-signalee-dans-le-catalogue-de-logiciels-backstage-et-la-plate-forme-de-developpement-de-spotify","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/faille-rce-critique-signalee-dans-le-catalogue-de-logiciels-backstage-et-la-plate-forme-de-developpement-de-spotify\/","title":{"rendered":"Faille RCE critique signal\u00e9e dans le catalogue de logiciels Backstage et la plate-forme de d\u00e9veloppement de Spotify"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le Backstage de Spotify a \u00e9t\u00e9 d\u00e9couvert comme vuln\u00e9rable \u00e0 une grave faille de s\u00e9curit\u00e9 qui pourrait \u00eatre exploit\u00e9e pour obtenir l&#8217;ex\u00e9cution de code \u00e0 distance en exploitant un bogue r\u00e9cemment r\u00e9v\u00e9l\u00e9 dans un module tiers.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 (score CVSS\u00a0: 9,8), \u00e0 la base, tire parti d&#8217;un \u00e9chappement critique du bac \u00e0 sable dans vm2, une biblioth\u00e8que de bac \u00e0 sable JavaScript populaire (CVE-2022-36067 alias Sandbreak), qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e le mois dernier.<\/p>\n<p>&#8220;Un acteur malveillant non authentifi\u00e9 peut ex\u00e9cuter des commandes syst\u00e8me arbitraires sur une application Backstage en exploitant un \u00e9chappement de bac \u00e0 sable vm2 dans le plug-in principal Scaffolder&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 des applications Oxeye dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.oxeye.io\/blog\/remote-code-execution-in-spotifys-backstage\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/backstage\/backstage\" target=\"_blank\">Dans les coulisses<\/a> est une source ouverte <a rel=\"nofollow noopener\" href=\"https:\/\/backstage.io\/blog\/2020\/03\/16\/announcing-backstage\" target=\"_blank\">portail d\u00e9veloppeur<\/a> de Spotify qui permet aux utilisateurs de cr\u00e9er, g\u00e9rer et explorer des composants logiciels \u00e0 partir d&#8217;un &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/engineering.atspotify.com\/2021\/03\/happy-birthday-backstage-spotifys-biggest-open-source-project-grows-up-fast\/\" target=\"_blank\">porte d&#8217;entr\u00e9e<\/a>.&#8221; Il est utilis\u00e9 par <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/backstage\/backstage\/blob\/master\/ADOPTERS.md\" target=\"_blank\">de nombreuses entreprises<\/a> comme Netflix, DoorDash, Roku et Expedia, entre autres.<\/p>\n<p>Selon Oxeye, la faille est enracin\u00e9e dans un outil appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/backstage.io\/docs\/features\/software-templates\/software-templates-index\" target=\"_blank\">mod\u00e8les de logiciels<\/a> qui peuvent \u00eatre utilis\u00e9s pour cr\u00e9er des composants dans Backstage.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Catalogue de logiciels Backstage et plate-forme de d\u00e9veloppement\" border=\"0\" data-original-height=\"414\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668540685_97_Faille-RCE-critique-signalee-dans-le-catalogue-de-logiciels-Backstage.jpg\" title=\"Catalogue de logiciels Backstage et plate-forme de d\u00e9veloppement\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">La capture d&#8217;\u00e9cran montre que Backstage appelle deux fois la fonction renderTemplate (qui appelle renderString2) en cas d&#8217;erreur.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Alors que le moteur de mod\u00e8le utilise vm2 pour att\u00e9nuer le risque associ\u00e9 \u00e0 l&#8217;ex\u00e9cution de code non approuv\u00e9, la faille d&#8217;\u00e9chappement du bac \u00e0 sable dans ce dernier a permis d&#8217;ex\u00e9cuter des commandes syst\u00e8me arbitraires en dehors du p\u00e9rim\u00e8tre de s\u00e9curit\u00e9.<\/p>\n<p>Oxeye a d\u00e9clar\u00e9 qu&#8217;il \u00e9tait en mesure d&#8217;identifier plus de 500 instances Backstage expos\u00e9es publiquement sur Internet, qui pourraient ensuite \u00eatre militaris\u00e9es \u00e0 distance par un adversaire sans n\u00e9cessiter aucune autorisation.<\/p>\n<div class=\"ad_two clear\"><img class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Le-service-de-phishing-de-Robin-Banks-pour-les-cybercriminels.gif\" decoding=\"async\" fetchpriority=\"low\" style=\"float:left\"\/><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Google-va-payer-une-amende-de-391-millions-de-dollars.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Suite \u00e0 la divulgation responsable le 18 ao\u00fbt, le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu par les responsables du projet dans <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/backstage\/backstage\/releases\/tag\/v1.5.1\" target=\"_blank\">version 1.5.1<\/a> sortie le 29 ao\u00fbt 2022.<\/p>\n<p>&#8220;La racine de tout \u00e9chappement de machine virtuelle bas\u00e9 sur un mod\u00e8le est d&#8217;obtenir les droits d&#8217;ex\u00e9cution JavaScript dans le mod\u00e8le&#8221;, a not\u00e9 la soci\u00e9t\u00e9 isra\u00e9lienne.  &#8220;En utilisant des moteurs de mod\u00e8les &#8220;sans logique&#8221; tels que <a rel=\"nofollow noopener\" href=\"https:\/\/mustache.github.io\/\" target=\"_blank\">Moustache<\/a>vous pouvez \u00e9viter d&#8217;introduire des vuln\u00e9rabilit\u00e9s d&#8217;injection de mod\u00e8les c\u00f4t\u00e9 serveur.&#8221;<\/p>\n<p>&#8220;S\u00e9parer autant que possible la logique de la pr\u00e9sentation peut r\u00e9duire consid\u00e9rablement votre exposition aux attaques bas\u00e9es sur des mod\u00e8les les plus dangereuses&#8221;, a-t-il ajout\u00e9.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/critical-rce-flaw-reported-in-spotifys.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le Backstage de Spotify a \u00e9t\u00e9 d\u00e9couvert comme vuln\u00e9rable \u00e0 une grave faille de s\u00e9curit\u00e9 qui pourrait \u00eatre exploit\u00e9e pour obtenir l&#8217;ex\u00e9cution de code \u00e0 distance en exploitant un bogue r\u00e9cemment r\u00e9v\u00e9l\u00e9 dans un module tiers. La vuln\u00e9rabilit\u00e9 (score CVSS\u00a0: 9,8), \u00e0 la base, tire parti d&#8217;un \u00e9chappement critique du bac \u00e0 sable dans vm2, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":464848,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5130,12364,4168,22,4158,4165,4161,429,1195,9048,4157,4159,4171,4170,4167,4589,4160,4163,4162,4809,22778,4172,4169,9499,3851,4166,4164],"class_list":["post-464847","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-backstage","tag-catalogue","tag-comment-pirater","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-developpement","tag-faille","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-plateforme","tag-rce","tag-securite-informatique","tag-securite-internet","tag-signalee","tag-spotify","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/464847","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=464847"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/464847\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/464848"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=464847"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=464847"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=464847"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}