Shellshock pour Linux, UNIX, OS X : une vulnérabilité latente dans Bash

Le par  |  14 commentaire(s)
Bash

Une vulnérabilité critique a été mise au jour dans Bourne-Again shell. L'interpréteur en ligne de commande est présent dans des distributions Linux, UNIX et OS X. Le déploiement d'un correctif pourrait poser un défi plus ardu qu'avec Heartbleed.

Avec un niveau de dangerosité maximal et avec un indice d'exploitabilité au plus haut, c'est le Bash Bug ou encore surnommé Shellshock. Cette vulnérabilité de sécurité critique affecte l'interpréteur en ligne de commande Bash. Et c'est loin d'être anodin puisqu'il se retrouve dans la majorité des distributions Linux, UNIX ainsi que OS X.

Le blog sécurité de Red Hat prévient que beaucoup de programmes exécutent le shell Bash en tâche de fond, et souligne qu'il est souvent utilisé pour interagir avec un utilisateur distant via par exemple ssh ou telnet, ou encore pour traiter des scripts CGI avec le serveur Apache.

A priori présente depuis de très nombreuses années, la vulnérabilité permet à un attaquant d'attacher à distance du code malveillant via des variables d'environnement spécialement conçues. Ce code est exécuté par l'interpréteur de commande lorsque le shell Bash est lancé.

Les experts en sécurité tirent la sonnette d'alarme à l'unisson. Interrogé par CNET, Tod Beardsley de Rapid7 résume la situation ainsi :

" Le logiciel affecté, Bash, est largement utilisé et donc des attaquants peuvent exploiter la vulnérabilité pour des exécutions à distance sur un large éventail d'appareils et serveurs Web. Avec cette vulnérabilité, des attaquants peuvent potentiellement prendre le contrôle du système d'exploitation, accéder à des informations confidentielles, faire des changements… "

Tod Beardsley ajoute que quiconque avec des systèmes utilisant Bash doit déployer le patch immédiatement. Ce patch ne serait toutefois pas forcément complet.

Pour certains experts, Shellshock est un problème pire que ne l'a été Heartbleed et qui pourrait encore persister pendant plusieurs années, d'autant plus que l'Internet des objets regorge de dispositifs tirant parti de scripts exécutés dans Bash.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1810248
Qui a dit que Linux ou OS X étaient plus sur que Windows ?
Le #1810258
Grayswandyr a écrit :

Qui a dit que Linux ou OS X étaient plus sur que Windows ?


ne dit pas ça, les taliban linux vont venir te bruler sur le bucher !!
Le #1810259
Shellshock et Heartbleed viennent de prouver un point important: ce n'est pas juste le fait de rendre un code source accessible pour qu'il devienne sécuritaire. Les bugs ne sont pas écrit en clair dans le code... Cela nécessite des spécialistes (et une dose de chance) pour lire, analyser et imaginer des attaques pour prendre le code en défaut. Celui-ci serait présent depuis 25 ans dans le Shell... 25 ans et sa sévérité est qualifiée de Critique...
Le #1810260
Grayswandyr a écrit :

Qui a dit que Linux ou OS X étaient plus sur que Windows ?


On a pas dit qu'il était plus sûr ... mais plus rapidement corrigé :-D
Le #1810262
KAISER59 a écrit :

Grayswandyr a écrit :

Qui a dit que Linux ou OS X étaient plus sur que Windows ?


ne dit pas ça, les taliban linux vont venir te bruler sur le bucher !!


Tiens, salut, l'évangéliste Windowsien! T'as bien fait ta prière à Saint Ballmer ce matin, avant d'aller égorger quelques infidèl^Wlinuxiens pour te détendre? T'as pris des cours d'étymologie chez oldjohn?

Plus sérieusement, c'est déjà corrigé - et au passage bash (Bourne Again Shell), ça date de 1988 (http://fr.wikipedia.org/wiki/Bourne-Again_shell), et, même si c'est le shell par défaut d'un bon paquet d'UNIX-likes, ça n'a rien à voir avec le noyau Linux (ou le noyau BSD, ou autre - d'ailleurs bash est aussi disponible sous Windows, via cygwin (entre autres)). Saleté de talibans bashistes, c'est vraiment des extrêmistes du shell!
Le #1810280
FRANCKYIV a écrit :

Grayswandyr a écrit :

Qui a dit que Linux ou OS X étaient plus sur que Windows ?


On a pas dit qu'il était plus sûr ... mais plus rapidement corrigé :-D


Il est mis justement dans l'article que la propagation de correction sera dur vu le nombre de machines impactées.
Alros que sous Windows en principe si c'est bien configuré c'est automatique via Windows Update, donc le jour même de la publication.
Le #1810308
CodeKiller a écrit :

FRANCKYIV a écrit :

Grayswandyr a écrit :

Qui a dit que Linux ou OS X étaient plus sur que Windows ?


On a pas dit qu'il était plus sûr ... mais plus rapidement corrigé :-D


Il est mis justement dans l'article que la propagation de correction sera dur vu le nombre de machines impactées.
Alros que sous Windows en principe si c'est bien configuré c'est automatique via Windows Update, donc le jour même de la publication.


Vous avez beaucoup d'humour, mais pour votre gouverne, les grosses distros ont déjà le correctif déployé et n'ont pas eu besoin d'attendre un patch tuesday et le bon vouloir d'un clown de service. A bon entendeur.
Le #1810350
CodeKiller a écrit :

FRANCKYIV a écrit :

Grayswandyr a écrit :

Qui a dit que Linux ou OS X étaient plus sur que Windows ?


On a pas dit qu'il était plus sûr ... mais plus rapidement corrigé :-D


Il est mis justement dans l'article que la propagation de correction sera dur vu le nombre de machines impactées.
Alros que sous Windows en principe si c'est bien configuré c'est automatique via Windows Update, donc le jour même de la publication.


"le jour même de la publication." =>c'est bien le problème. Quand Krosoft publie un patch 6 à 12 mois après la découverte d'une faille, c'est pas top. Sous Unix, les correctifs sortent en 2-3 jours après la découverte, parfois même avant leur publication.

D'autre part, les mise à jour automatique, ça n'existe pas que sous Windows.
Le #1810370
Hansi a écrit :

CodeKiller a écrit :

FRANCKYIV a écrit :

Grayswandyr a écrit :

Qui a dit que Linux ou OS X étaient plus sur que Windows ?


On a pas dit qu'il était plus sûr ... mais plus rapidement corrigé :-D


Il est mis justement dans l'article que la propagation de correction sera dur vu le nombre de machines impactées.
Alros que sous Windows en principe si c'est bien configuré c'est automatique via Windows Update, donc le jour même de la publication.


Vous avez beaucoup d'humour, mais pour votre gouverne, les grosses distros ont déjà le correctif déployé et n'ont pas eu besoin d'attendre un patch tuesday et le bon vouloir d'un clown de service. A bon entendeur.


Exact. Je viens de verifier sur mon serveur (ubuntu server 14.04) et il y a deja une mise a jour de Bash:

Package name bash
Update system APT
Package description i386 GNU Bourne Again SHell
Current state New version 4.3-7ubuntu1.1
Installed version 4.3-7ubuntu1
Available version 4.3-7ubuntu1.1
Installation source Trusty-security
Le #1810383
Ils sont drôles ces gens qui n'ont jamais touché autre chose qu'un OS Windows et qui sont persuadés de tout savoir...

Vraiment je me marre...

Au fait, pour info, la msie à jour ne nécessite pas de rebooter ;-) On n'est justement pas sous Windows. Et ça prend pas 10 min à installer 3 patches ! (j'ai eu le cas hier sur mon Win7 avec reboot obligatoire)...

Bref, je ne crache pas sous Windows parce que je l'utilise et je connais ses avantages, mais arrêtez de dire des âneries sur Linux quoi!
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]