Bonjour ,
Merci Hubert d'avoir pris le temps de me répondre.
Mon problème à la base portait sur la génération du paquet qui ne fonctionne pas "out of the box".
Cela semble être connu chez vous et je peux attendre sans problème la mise à jour.
Le 15/09/2021 à 09:42, Hubert TOUVET via WAPT a écrit :
Effectivement, ça ne rentre pas en compte dans la validation "sécurité" du paquet.
Pour pinailler un peu:
- j'avais cru comprendre que le serveur web n'était pas considéré comme un "bien sensible" dans le processus WAPT et que sa compromission ne pouvait pas avoir d'impact sur la sécurité des clients, - sur le serveur je peux modifier les noms de fichiers et lancer la commande "wapt-scanpackages" sans avoir à connaître les clés privées de chiffrement de l'agent wapt, - j'ai l'impression que le nom du fichier est utilisé en variable sur le client via un processus tournant en "NT System" (voir PJ). je suis sûr que votre code est béton mais une injection de code n'est elle pas possible içi? (bug Wapt, Python, unicode, autres?
La somme MD5 sert uniquement à savoir si on a téléchargé le paquet complètement (suite à reprise de téléchargement par exemple)
Cette donnée ne pourrait elle pas être signée par le certificat de l'agent ?
Le "corner case" évoqué est effectivement un problème de calcul du md5 lors du téléchargement dans la console (pas dans le service wapt), lié à un "débordement" de nombre entier. (la position actuelle était stockée dans une zone mémoire trop petite pour les tailles importantes de fichier).
Le 13/09/2021 à 21:00, Vincent Degat a écrit :
ca me semble tres bizarre que le nom du fichier, qui est une variable non contrôlée en INPUT, entre en compte dans votre process de validation de paquet.
