[Dependency-Check (6/6)] Erreurs sur Dependency-Check (contact des développeurs)

http://owasp.org

L’utilisation du plugin Dependency-Check m’a amené à découvrir plusieurs erreurs sur certaines de ses configurations.

J’ai donc contacté (en anglais) un des développeurs du plugin sur GitHub où j’ai ouvert une « Issue »:

https://github.com/jeremylong/DependencyCheck/issues/441

 

Le problème remonté était du au fait que le serveur Apache contenant la base de donnée des vulnarabilités en fichier .GZ (comme une archive ZIP), auto-décompréssait ces fichiers quand ils étaient téléchargés.

Du coup le plugin obtenait déjà les fichiers décompréssés et forcait à leur ajouter l’extension .GZ les rendant par la suite impossible à lire.

 

J’ai moi même trouvé la solution en inspectant le flux TCP des échanges avec le serveur Apache (avec WireShark), pour comprendre que celui-ci auto-décompressait les fichiers.

Par la suite j’ai inspécté le code source de Dependency-Check Maven pour voir où celui-ci téléchagait localement les fichiers listant les vulnérabiltiés et pour comprendre ce qu’il en faisait.

La fonction obolette etait donc:

private void extractGzip(File file) throws FileNotFoundException, IOException {
final String originalPath = file.getPath();
final File gzip = new File(originalPath + ".gz");
if (gzip.isFile() && !gzip.delete()) {
gzip.deleteOnExit();

On peut voir que cette fonction force à ajouter .gz aux fichiers récupérés les rendants ilisibles.

Le problême fut ainsi corrigé dans la version suivante.

La totalité des échanges avec le développeur est ici:

https://github.com/jeremylong/DependencyCheck/issues/441

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *