Ce matin, MapServer 5.6.4 et 4.10.6 ont été rendus disponibles avec des correctifs de sécurité importants. Malgré qu'il n'existe pas de méthode connue d'exploiter ces vulnérabilités potentielles, il est fortement conseillé à tous les utilisateurs de mettre à niveau leur installation de MapServer. Tous les détails sont disponibles dans l'annonce faite ce matin (en anglais).
Au cours des dernières années, MapServer a commencé à attirer l'attention d'organismes sensibles à la sécurité qui ont exécuté ou commandé des audits de sécurité du code source. Ces audits conduisent parfois à des rapports de vulnérabilités de sécurité potentielles, et à la production de révisions du logiciel avec les correctifs de sécurité comme ça c'est produit ce matin, mais ça n'est pas tout...
J'ai tendance à voir l'augmentation du nombre d'audits du code source de MapServer comme étant une bonne chose pour quelques raisons:
- Premièrement ça confirme que MapServer a atteint la masse critique requise afin d'attirer l'attention d'organismes suffisamment gros pour pouvoir se payer des audits de sécurité. Ça fait toujours du bien d'apprendre que votre logiciel est largement utilisé et qu'il attire l'attention des gros joueurs.
- Étant donné la nature open source de MapServer, des experts en sécurité informatique peuvent réaliser un contrôle de la qualité de son code source et partager avec nous leurs trouvailles et recommandations. Il en résulte bien entendu un logiciel de meilleure qualité pour les utilisateurs, mais ça signifie aussi qu'en tant que développeurs nous pouvons apprendre énormément de leurs rapports et améliorer notre aptitude à produire du code sécuritaire.
- Et le tout sans frais directs pour le projet. C'est le modèle open source à son meilleur: ces audits de sécurité sont des contributions des usagers eux mêmes au projet.
P.S. En plus des vulnérabilités de sécurité potentielles pour lesquelles des correctifs ont été rendus disponibles ce matin, le dernier rapport d'audit de sécurité que nous avons reçu contenait aussi quelques recommendations plus générales sur lesquelles nous allons travailler dans les prochaines semaines. Vous pouvez donc vous attendre à un MapServer 6.0 qui sera encore plus robuste et sécuritaire!