Shellshock, la pire faille jamais découverte sur Mac OS X et Linux?

On a toujours cru qu’Unix, Linux et Mac OS X faisaient partie des systèmes les plus sûrs au monde, à cent mille lieues de ce que les utilisateurs de Windows peuvent connaître. Mais une importante faille de sécurité dans Bash, qui existe depuis de nombreuses années, vient tout juste d'être découverte et remet en cause l'invulnérabilité de ces systèmes.

Q : Bash, ça fait quoi au juste ?

R : Bash, ou Bourne-Again Shell, est en fait le nom donné à un interpréteur de commandes. S'il fallait établir une comparaison avec Windows, on pourrait la faire avec la fenêtre de commandes (l'exécutable cmd.exe) ou les Powershell. Bash n'est donc pas le nom de la faille découverte, mais plutôt celui du logiciel victime du gros bug en question. En fait, la faille est intitulée Shellshock. Elle concerne la façon dont l'interpréteur Bash gère des variables, et trois lignes de code seulement suffisent à mettre à genoux Bash.

Q : Shellshock est-il vraiment dangereux ?

R:  la faille Shellshock permet théoriquement de prendre un contrôle total de la machine. Là où la plupart des grosses menaces récemment découvertes (comme Hearthbleed) se contentent de récupérer des données, Shellshock va bien plus loin. L'agence de sécurité Rapid7 lui a attribué un niveau de 10 sur 10 en qui concerne sa gravité.

Q : qui est concerné ?

R : en théorie, toutes les machines tournant sous Unix, Linux et Mac OS X peuvent être touchées. Cela inclut bien évidemment tous les ordinateurs équipés de ces systèmes d'exploitation, mais également les serveurs, les NAS, les routeurs, les switchs, etc. On peut même supposer qu'une box ADSL pourrait en être victime, même si aucun FAI n'a fait la moindre déclaration en ce sens. Pour savoir si votre machine est concernée par le bug, entrez la commande suivante :

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Votre système est vulnérable si vous obtenez le message suivant :

vulnerable
hello

Q : Shellshock est-il récent ?

R : la faille Shellshock vient d'être découverte par un ingénieur français, Stéphane Chazelas. Mais son existence remonte en fait à une vingtaine d'années. Elle a été introduite dans la version 1.13 de Bash, la plus récente étant la 4.3. Si des hackers l'ont découverte avant Stéphane Chazelas, ils ont pu la mettre à profit pendant des années, sans que personne ne s'en aperçoive.

Q : Que faire pour combler la faille ?

R : il existe différents patchs pour supprimer la faille de sécurité de Bash. Vous pouvez retrouver l'ensemble des correctifs sur ce site. Il existe également des patchs pour Ubuntu, Red Hat, Debian et CentOS. Sur Mac OS X, il vous faudra installer Homebrew, et entrer ensuite les commandes suivantes :

$ brew update
$ brew install bash
$ sudo mv /bin/bash /bin/bash_old
$ sudo mv /bin/sh /bin/sh_old
$ sudo chmod a-x /bin/bash_old /bin/sh_old
$ sudo ln -s /usr/local/Cellar/bash/4.3.25/bin/bash /bin/sh


Un patch officiel devrait de toute façon être déployé par Apple très rapidement.

Bash sur Mac OS X.Bash sur Mac OS X.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
1 commentaire
    Votre commentaire
  • Geis007
    Bon, ben... c'est déjà corrigé sur les distros Linux majeures...
    Et sur MacOS ?
    0