Bash bug : une énorme vulnérabilité touche Linux et Unix

bash-bug-shellshockUne vulnérabilité atteignant le niveau de gravité maximum et touchant une très large majorité des serveurs vient d’être découverte après 25 ans d’existence…

La faille vise le Bash (Bourne-Again Shell) des environnements Unix (Linux, Mac OS…).  Elle permet à un pirate d’exécuter le code de son choix dès que le shell est invoqué.

Le shell, c’est l’interpréteur de commandes installé par défaut sur les systèmes Unix et Linux. Il permet de donner des ordres à l’OS et d’invoquer des programmes.

bash-bug-shellshock

Révélée par Stéphane Chazelas, le « Bash bug » ou « Shellshock » permettrait à n’importe qui d’exécuter des commandes sur toutes sortes d’appareils connectés (comme télécharger et exécuter un virus pour récupérer mots de passe, coordonnées bancaires…), simplement en programmant une ligne de code qui ne nécessite pas d’identification. La gravité de la faille est encore plus importante qu’Heartbleed.
Stéphane Chazelas déclare que « dans de nombreuses configurations communes, cette vulnérabilité est exploitable sur le réseau ».

Toutes les versions de Bash, jusqu’à la 4.3 sont concernées, soit toutes celles sorties depuis 25 ans. Cela touche tellement de programmes qu’il est impossible de les recenser : plus de la moitié des serveurs Apache (concernant des millions de sites internet), des systèmes gouvernementaux, hospitaliers, des particuliers sous Linux…

Pour vérifier qu’un système est vulnérable, il faut copier/coller cette ligne dans le shell :
env x='() { :;}; echo vulnerable’ bash -c « echo this is a test » 

Si tout va bien, le résultat du test sera :
bash: warning: x: ignoring function definition attempt /  bash: error importing function definition for `x’ /  this is a test.

Si vous voyez apparaître  le message:
vulnerable / this is a test.

Alors votre système est en danger, il est urgent de le patcher.

Les objets connectés de toutes sortes, de la domotique aux moniteurs pour bébés sont également susceptibles d’être pris pour cibles, et leur mise à jour s’annonce compliquée.

Apple a annoncé de son côté qu’OS X était par défaut non vulnérable, mais les utilisateurs qui auraient changé la configuration de certains services Unix peuvent être exposés. Apple a promis de fournir rapidement un patch pour ces derniers.

Partager : Facebook Twitter Plusone

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*