Bash bug : découverte d'une faille critique affectant des milliers de serveurs et de Mac

25 septembre 2014 à 17h30
0
Un ingénieur dénommé Stéphane Chazelas a révélé hier une faille de sécurité de grande envergure, appelée Bash bug ou Shellshock, susceptible de permettre à n'importe qui d'exécuter des commandes sur toutes sortes d'ordinateurs et d'appareils.

Bien qu'il soit techniquement complètement différent, sur le papier le Bash bug est au moins aussi grave que la faille Heartbleed qui a fait la une il y a six mois. La faille vient du Bourne-Again Shell (Bash), auquel on peut effectivement faire exécuter des commandes dans des contextes dans lesquels ce devrait être impossible, en définissant des variables d'environnement en l'occurrence.

La ligne de commande servant de preuve de concept est assez explicite, même pour un profane :
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

La commande est supposée définir une fonction Bash, mais le shell exécute en fait aussitôt les commandes qui lui sont apposées, alors qu'il ne devrait pas. Dans cet exemple on se contente de retourner du texte, mais on pourrait exécuter n'importe quelle autre commande.

015E000007643617-photo-bash-bug.jpg

Or Bash est l'interpréteur de commandes par défaut de nombreux systèmes d'exploitation Linux et Unix (dont OS X), il est par conséquent sollicité à de nombreuses occasions, potentiellement par un serveur Web.

Dans certains cas un internaute peut donc exécuter des commandes et saboter un serveur ou obtenir des informations auxquelles il n'aurait pas accès autrement. Le bug ne permet pas d'obtenir d'élévation des privilèges, le périmètre est donc limité dans la plupart des cas. Mais un serveur DHCP malveillant par exemple peut transmettre des variables et donc faire exécuter des commandes à un ordinateur personnel lorsqu'il se connecte au réseau, or le client DHCP bénéficie souvent des droits administrateur (root).

Fort heureusement sur le marché des objets connectés, de nombreux produits reposent sur BusyBox, une distribution Linux allégée intégrant un shell différent, baptisé « Almquist shell » (ash).

Une nouvelle version corrigée de Bash a immédiatement été publiée. Elle est d'ores et déjà proposée par la plupart des distributions Linux, telles que Debian, Ubuntu, Red Hat ou Fedora. Les utilisateurs sont invités à mettre à jour leur système dès que possible. Mais certains experts en sécurité soulignent qu'elle ne comble que partiellement la faille. Il y aura donc des suites ces prochains jours, que nous ne manquerons pas de relayer.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

PS5 : la première mise à jour majeure sera disponible demain et permet de stocker ses jeux sur un disque externe
Des millions d'objets connectés menacés par une série de vulnérabilités baptisées Name:Wreck
Meilleur forfait mobile : le comparatif d'avril 2021
Avis B&You : que valent les forfaits mobiles B&You sans engagement ?
Avis RED by SFR : est-ce le meilleur forfait mobile sans engagement ?
TCL TS8111 : la nouvelle référence des barres de son avec virtualisation sur son segment et au-delà
Jak & Daxter : pas de nouveau jeu pour l’instant, d’après le co-directeur de Naughty Dog
Google Chrome 90 se dote d'un encodeur AV1 et d'interfaces AR plus poussées
Dubaï disposera d'une flotte de taxis autonomes dès 2023
La dernière mise à jour de l'équivalent anglais de TousAntiCovid banni des stores Android et Apple pour tracking excessif
Haut de page