Faille de sécurité critique
Une faille de sécurité critique de l’interpréteur en ligne de commande Bourne-Again shell, ou Bash, vient d’être rendue publique.
Découverte par Stéphane Chazelas, elle est référencée sous le numéro CVE-2014-6271.
Un bogue dans le traitement des variables d’environnement permet à une personne malveillante d’exécuter n’importe quel code sur le système ciblé.
Malheureusement, il est souvent possible d’attaquer les systèmes à distance via le réseau si Bash est défini comme interpréteur de commande par défaut. Les serveurs Web utilisant CGI sont particulièrement menacés.
Potentiellement, tous les ordinateurs Unix, dont Linux, et Mac OS X et iOS sont concernés. Et tous les périphériques qui utilisent Unix/Linux avec un serveur Web embarqué, comme des routeurs Wi-Fi.
Huzaifa Sidhpurwala de Red Hat note que la vulnérabilité peut être exploitée dans de nombreux cas, comme des déploiements Git et Subversion, des serveurs Apache, des scripts PHP, des clients DHCP et des démons (un type de programme informatique, un processus ou un ensemble de processus qui s’exécute en arrière-plan plutôt que sous le contrôle direct d’un utilisateur).
Le système d’impression CUPS tout comme les sessions OpenSSH sont aussi vulnérables.
Un scan de réseau rapide effectué par Robert Graham, d’Errata Security, a confirmé la présence de la faille sur des milliers de serveurs Web. D’autres services, comme DHCP, sont aussi potentiellement affectés.
La faille de sécurité peut être exploitée sous forme de ver informatique, et traverser les pare-feu.
Correctifs de sécurité
Des correctifs de sécurité sont disponibles pour de nombreuses distributions :
Apple n’a pas encore fourni de correctif pour Max OS X.