Friday, July 9, 2010

MapServer - Audits et révisions de sécurité

(English Version)

Ce matin, MapServer 5.6.4 et 4.10.6 ont été rendus disponibles avec des correctifs de sécurité importants. Malgré qu'il n'existe pas de méthode connue d'exploiter ces vulnérabilités potentielles, il est fortement conseillé à tous les utilisateurs de mettre à niveau leur installation de MapServer. Tous les détails sont disponibles dans l'annonce faite ce matin (en anglais).

Au cours des dernières années, MapServer a commencé à attirer l'attention d'organismes sensibles à la sécurité qui ont exécuté ou commandé des audits de sécurité du code source. Ces audits conduisent parfois à des rapports de vulnérabilités de sécurité potentielles, et à la production de révisions du logiciel avec les correctifs de sécurité comme ça c'est produit ce matin, mais ça n'est pas tout...

J'ai tendance à voir l'augmentation du nombre d'audits du code source de MapServer comme étant une bonne chose pour quelques raisons:
  • Premièrement ça confirme que MapServer a atteint la masse critique requise afin d'attirer l'attention d'organismes suffisamment gros pour pouvoir se payer des audits de sécurité. Ça fait toujours du bien d'apprendre que votre logiciel est largement utilisé et qu'il attire l'attention des gros joueurs.
  • Étant donné la nature open source de MapServer, des experts en sécurité informatique peuvent réaliser un contrôle de la qualité de son code source et partager avec nous leurs trouvailles et recommandations. Il en résulte bien entendu un logiciel de meilleure qualité pour les utilisateurs, mais ça signifie aussi qu'en tant que développeurs nous pouvons apprendre énormément de leurs rapports et améliorer notre aptitude à produire du code sécuritaire.
  • Et le tout sans frais directs pour le projet. C'est le modèle open source à son meilleur: ces audits de sécurité sont des contributions des usagers eux mêmes au projet.
Bref, MapServer y gagne en devenant plus robuste et sécuritaire, et nous en tant que développeurs avons la chance d'améliorer nos compétences et d'apprendre des experts en sécurité. Je n'y vois que du positif!

P.S. En plus des vulnérabilités de sécurité potentielles pour lesquelles des correctifs ont été rendus disponibles ce matin, le dernier rapport d'audit de sécurité que nous avons reçu contenait aussi quelques recommendations plus générales sur lesquelles nous allons travailler dans les prochaines semaines. Vous pouvez donc vous attendre à un MapServer 6.0 qui sera encore plus robuste et sécuritaire!

MapServer security audits and security releases

(Version française)

This morning, MapServer 5.6.4 and 4.10.6 have been released with some important security fixes. Even if we are not aware of any exploit for the issues, all users are strongly advised to upgrade. All the details are available in the release announcement.

In the last couple of years, MapServer has started to attract the attention of security-aware organizations who have performed audits of the source code. These audits sometimes lead to potential vulnerability reports and security releases like what happened this morning, but there is more to this...

I like to think of the increasing number of MapServer source code audits as a good thing for a few reasons:
  • First this confirms that MapServer has hit the critical mass required to attract the attention of groups large enough to afford security audits. It's always good to hear that your software is widely used and getting attention from the Big Guys.
  • Thanks to MapServer's open source nature, security experts can perform quality assurance on its source code and share their findings and recommendations with us, this of course leads to better software for the users, but also means that we as developers can learn a lot from their reports and get better at writing secure code over time.
  • All this comes at no direct cost for us. That's open source at its best: those audits are contributions to the project by the users themselves.
In the end, MapServer wins by becoming more robust and secure, and we as developers get to improve our skills and to learn from security experts. That all sounds great to me!

P.S. In addition to the potential vulnerability fixes that were released this morning, the last security audit report that we received also contained some more general recommendations that we will be working on in the next few weeks. So you can expect that MapServer 6.0 will be an even more secure release!