Bulletins

Des paquets NuGet vulnérables peuvent être utilisés pour cibler la plate-forme .NET

bs1.jpg

NuGet est un mécanisme supporté par Microsoft pour la plateforme .NET et fonctionne comme un gestionnaire de paquets destiné à faciliter le partage de code par les développeurs. Le framework maintient un référentiel de plus de 264 000 paquets uniques qui ont produit collectivement plus de 109 milliards de téléchargements de paquets.

 

Une analyse des paquets standard hébergés dans le référentiel NuGet a révélé que 51 composants logiciels étaient exposés à des vulnérabilités activement exploitées. Tous les composants logiciels précompilés identifiés dans les recherches étaient des versions différentes de 7Zip, WinSCP et PuTTYgen, qui sont des logiciels de compression continuellement mis à jour pour corriger les failles de sécurité connues. Néanmoins, il arrive que d'autres logiciels soient mis à jour mais continuent à utiliser des dépendances qui sont anciennes et contiennent des vulnérabilités connues."

 

Les chercheurs ont déterminé que plus de 50 000 composants logiciels extraits de paquets NuGet étaient liés statiquement à une version vulnérable de la bibliothèque de compression de données "zlib" seulement, ce qui les rendait vulnérables à plusieurs problèmes de sécurité connus tels que CVE-2016-9840, CVE-2016-9841, CVE-2016-9842 et CVE-2016-9843.

 

Les entreprises qui développent des solutions logicielles doivent être conscientes de ces risques afin de détecter toute falsification et tout problème.