Je suis l’heureux utilisateur de Yunohost depuis plusieurs mois, et je trouve cette application top ! Merci aux dev et à toute l’équipe pour le travail !
Il se trouve que je surveille la totalité de mes équipements de mon infra avec l’HIDS Wazuh, et j’étais assez étonné de voir le nombre élevé de vulnérabilités remontés par le module Wazuh Vulnerability-detection.
3550 vulnérabilités au total, avec 81 Critiques et 789 avec criticité Haute.
Cela est due, je pense, à la version de Debian 11, qui est malheureusement obsolète et comporte de nombreuses vulnérabilités connues et ce malgré le fait qu’elle soit officiellement maintenue jusqu’à aout 2026.
Ces vulnérabilités exposent fatalement l’application à des risques de sécurité importants, notamment des failles susceptibles d’être exploitées par des attaquants, à moins que tous ces paquets vulnérables soit backportés et l’EDR ne le sache pas… c’est effectivement une possibilité.
Je souhaitais savoir si vous avez prévu de mettre à jour l’application vers une version de Debian plus récente, ou si vous envisagez de la porter vers une autre distribution de Linux plus sécurisée, genre Alma ou Rocky.
Merci beaucoup !
PS: J’ai deja tenté d’ajouter le repo backported de Debian, cela n’as pas changé le nombre de vulns remontées par Wazuh.
Mouai, j’ai tendance à croire que les outils de sécu sont souvent très zélé et appellent “critique” des trucs pas vraiment critiques. Je serais curieux de voir les chiffres retournés pour Debian 12 …
Ben du coup cool pour Alma 9, mais du coup je persiste à croire que si on creuse le “oulala des gros chiffres qui font peur” on se rends compte que c’est pas si pire que ça. Par exemple j’ai pris au pif la CVE-2022-0563 listée sur le screenshot. cf CVE-2022-0563 sur la page de Debian. Ça date de 2022 et classé comme “Medium” mais toujours pas patché, mais d’après la page de Debian, l’urgency est “unimportant”, apparemment lié aux flags/configuration utilisée en pratique, du coup osef.
Je note aussi que sur le screenshot y’a 363 reports qui sont liés au kernel en lui-même, même pas spécialement Debian. J’ai du mal à croire que Debian 12 soit juste un gruyère de sécu, comparé à “l’outil est trop zélé”
Bref, je tablerais sur un truc genre “Red Hat a une armée d’ingénieurs qui font en sorte que les CVE rapportées par ces outils soient seulement des trucs pertinents là où Debian a pas le temps ou s’en fout de devoir faire le nettoyage”.
Je suis d’accord avec toi @Aleks pour dire que certaines vulnérabilités ne sont pas corrigées de manière volontaire pour une raison x ou y, mais pour d’autres il faut tout de même un certain nombre de conditions réunis en instant T pour l’exploitation de la faille…
