Shellshock, une vulnérabilité Bash potentiellement plus grave que Heartbleed
Un chercheur vient de découvrir une vulnérabilité présente dans Bash depuis très longtemps et permettant l’exécution de code à distance. Linux, Unix et Mac OS X sont concernés.
C’est ce mercredi 24 septembre que le chercheur Stéphane Chazelas a rendu publique une vulnérabilité présente dans l’interpréteur de lignes de commandes Bash. Liée à la manière dont les variables d’environnement sont traitées, cette vulnérabilité permet « dans de nombreuses configurations communément utilisées » de forcer l’exécution à distance de commandes arbitraires, via le réseau. Elle est considérée comme critique et pourrait avoir un impact catastrophique sur le parc de machines installes Linux, Unix et Mac OS X. L'application de correctifs, dès qu'ils seront disponible, est donc de la plus haute importance
Dans un billet de blog, Jim Reavis, de la Cloud Security Alliance, soulignent l’ampleur de la menace : « un grand nombre de programmes sous Linux et des systèmes Unix utilisent Bash pour définir des variables d’environnement qui sont utilisées pour l’exécution d’autres programmes. C’est par exemple le cas de services Web utilisant des scripts CGI. » Et de proposer un test de vulnérabilité en une ligne entrer dans un terminal en mode ligne de commande : env x='() { :;}; echo vulnerable' bash -c 'echo hello'.Si vulnerable s'affiche, la machine devra recevoir un correctif en urgence.
Pour Robert Graham, d’Errata Security, c’est simple, cette vulnérabilité – qui affecte également OS X et les terminaux iOS – est « aussi importante qu’Heartbleed ». D’autant plus que « contrairement à Heartbleed, qui n’affectait qu’une version spécifique d’OpenSSL, cette vulnérabilité de Bash existe depuis très très longtemps. Cela signifie que de nombreux vieux appareils connectés au réseau sont vulnérables. Le nombre de systèmes devant faire l’objet de correctifs – mais qui ne le feront pas – est bien plus important que pour Heartbleed. »
Alors que faire ? « Parcourez votre réseau à la recherche de choses telles que Telnet, FTP, ou d’anciennes versions d’Apache », explique Robert Graham : « tout ce qui répond est probablement un vieux système nécessitant un correctif pour Bash. »