Une sérieuse faille de sécurité dans Bash, un interpréteur de commandes largement utilisé dans les systèmes d’exploitation basés sur Unix, a été publiée mercredi (24). Selon les experts en sécurité, cette vulnérabilité est aussi dangereuse que celle de Heartbleed, qui a touché des millions de sites web et a probablement été utilisée par la NSA pour espionner les utilisateurs.
Bash est le shell par défaut sur de nombreux systèmes d’exploitation basés sur Unix, qui comprend les distributions Linux et OS X. Red Hat, CentOS, Ubuntu et Debian ont déjà obtenu des corrections de sécurité, mais au moment de la rédaction de ce paragraphe, OS X 10.9.5, la dernière version disponible, est vulnérable. Pour savoir si une machine est concernée, il suffit d’exécuter la commande suivante dans le terminal :
env x='() { :;} ; echo vulnerable’ bash -c “echo teste”
Si le mot “vulnérable” apparaît, cela signifie que la machine est vulnérable. Sinon, Bash renvoie un message d’erreur.
Lorsqu’elle est exploitée, la faille permet d’exécuter un code malveillant dès l’ouverture de l’enveloppe, laissant la machine exposée à une série d’attaques. Et de nombreux logiciels interagissent avec le shell de différentes manières ? il est souvent utilisé par Apache pour générer des pages dynamiques, par exemple, et la faille peut également être exploitée par OpenSSH, comme le rapporte Ars Technica.
Les chercheurs affirment que l’échec devrait se poursuivre “pendant des années”. Les principales distributions de Linux ont déjà résolu le problème, et Apple devrait publier une mise à jour de sécurité pour OS X, mais il existe de nombreux autres appareils qui utilisent des systèmes d’exploitation basés sur Unix et Bash ? comme les appareils électroniques portables, les caméras connectées à Internet, et beaucoup, beaucoup d’autres choses (peut-être même votre routeur). Ce n’est pas comme si seuls les administrateurs de système devaient s’en préoccuper.
Les gens ont appris que le nom “Heartbleed” a contribué à attirer l’attention des gens “ordinaires” sur l’échec d’OpenSSL au début de l’année ? il a même été rapporté dans les nouvelles (et vous savez combien la couverture technologique y est limitée). L’écart de Bash est aussi important que celui de Heartbleed, et ils l’appellent “Shellshock”. Vous en saurez plus dans les prochains jours.
