Bonjour Nal,
Je vous écris car je viens de découvrir l'existence de cette faille sur Traefik, pourtant reportée le mois dernier: https://github.com/advisories/GHSA-5423-jcjm-2gpv
Cette faille fait particulièrement mal: un utilisateur peut être redirige, des réponses http peuvent être redirigée vers un autre utilisateur avec une facilite déconcertante. Bref c'est du sérieux.
Je n'ai vu aucune news a ce sujet, que ce soit ici, sur Reddit ou HackerNews (ou alors j'ai loupe l'information), donc je me permets de partager l'information ici: si vous avec Traefik en front server, mettez le a jour !
# vuln dbs
Posté par Psychofox (Mastodon) . Évalué à 6 (+3/-0).
On en est arrivé à un point que si tu as des services en ligne, tu t'abonnes aux base de données de vuln ou utilise un outil qui s'y synchronise. On a arrêté de lister depuis belle lurette les grosses vuln sur ce genre de sites de news techniques à part si elles touchent les outils utilisés par le commun des mortels: navigateur web, messageries instantanées, OS desktops, etc.
Ce qui est des fois référencé, ce sont les pages de ceux qui découvrent des vuln narrant comment ils les ont découvertes et quelles ont été les réactions des entreprises concernées.
[^] # Re: vuln dbs
Posté par Benoît Sibaud (site web personnel) . Évalué à 10 (+9/-0). Dernière modification le 16 mai 2025 à 10:02.
[^] # Re: vuln dbs
Posté par Voltairine . Évalué à 3 (+1/-0).
Ajoutons le petit dernier de l'Europe :
https://euvd.enisa.europa.eu/vulnerability/CVE-2025-22871
# Merci !
Posté par 16aR . Évalué à 3 (+2/-0).
Merci d'avoir partagé, je ne savais pas et va falloir que j'update mon projet d'auto hébergement du coup
# Tout fout l'camp
Posté par Sébastien Le Ray . Évalué à 7 (+6/-0).
De mon temps les vraies failles elles avaient un nom qui faisait peur et un site web dédié
Tout fout l'camp
# La faille était dans la lib standard de Go
Posté par oliverpool (site web personnel) . Évalué à 8 (+7/-0).
Donc tous les programmes sont concernés: https://pkg.go.dev/vuln/GO-2025-3563
Après si je comprend bien, c'est surtout problématique quand il y a des proxys successifs (comme Traefik ou Caddy): https://github.com/golang/go/issues/71988#issuecomment-2701935167
[^] # Re: La faille était dans la lib standard de Go
Posté par flagos . Évalué à 5 (+3/-0).
Traefik devant un serveur web classique, ca marche très bien. J'ai reproduit comme ca avec gunicorn.
[^] # Re: La faille était dans la lib standard de Go
Posté par Krunch (site web personnel) . Évalué à 3 (+1/-0). Dernière modification le 23 mai 2025 à 19:51.
C'est encore plus amusant quand on sait qu'un logiciel Go normal est compilé statiquement. Ce qui signifie que pour s'assurer que la faille soit corrigée, il faut recompiler tous ses programmes écrits en Go. Pas juste mettre à jour la bibliothèque qui contient la faille.
Bon, ici c'est peut être pas le cas : https://docs.google.com/document/d/1nr-TQHw_er6GOQRsF6T43GGhFDelrAP0NqSS_00RgZQ/edit?pli=1&tab=t.0
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.