Shellshock : une faille qui fait trembler le monde Linux et Mac OS

La faille Shellshock permet de facilement prendre le contrôle total d’un système, une faille critique qui fait trembler le monde Linux et Mac OS.

C’est une équipe de Red Hat qui a découvert Shellshock, une vulnérabilité grave, qui se situe au niveau du Bash Shell, la couche logicielle qui donne accès au système d’exploitation Linux et Mac OS par l’entremise d’une interface en ligne de commande, un accès qui se fait simplement en ouvrant une fenêtre Terminal. Facile à exploiter et très répandue, cette faille permet de prendre le contrôle total d’un système. Sécurité : la mégafaille «Shellshock» secoue le monde Linux et Mac OS

Étant très pratique, le Bash est utilisé par un nombre incalculable de logiciels, notamment au niveau des serveurs web. Malheureusement, la faille découverte met en évidence qu’il est possible d’exécuter n’importe quel code au travers de cette couche logicielle, ce qui signifie qu’un hacker qui arriverait l’exploiter pourrait prendre totalement la main sur le système.

Concrètement, cette faille se situe au niveau du langage de commande lui-même. Comme le démontre l’exemple suivant, le problème est qu’il est possible de définir des variables, mais aussi d’insérer des commandes !

$ env x='() { :;}; echo vulnerable’ bash -c « echo this is a test »

Cette ligne de commande définit une variable x et insère justement la commande « echo vulnerable ». Si le message « vulnerable » s’affiche, c’est que votre système est vulnérable à Shellshock

Pratiquement, une personne malveillante pourrait par exemple insérer du code dans les entêtes « user agent », une technique employée par Robert Graham, un chercheur en sécurité, pour déterminer que des dizaines de milliers de sites sont vulnérables à Shellshock. L’urgence est d’autant plus de mise qu’un ou plusieurs pirates auraient déjà appliqué la même méthode dans un malware !

Si Red Hat, Debian et CentOS ont d’ores et déjà publié des patchs correctifs bloquant l’exécution de commandes intégrées dans des variables, il n’en demeure pas moins que de nombreux systèmes embarqués fonctionnant sous Linux ne peuvent pas être mis à jour aussi facilement que cela.

De fait, Shellshock pourrait être une faille d’ampleur mondiale, une vulnérabilité encore problématique que Heartbleed qui avait touché Open SSL.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentiPad : Apple rachète Prss
Article suivantEricsson veut se lancer dans l’hébergement cloud

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here