Le bug Bash pourrait faire mal à Internet

Les pirates sont prêtsLes pirates sont prêts

Mise à jour, 26 septembre 5h30 : Apple vient de publier la mise à jour corrigeant la version de bash livrée avec OS X. Il est disponible en téléchargement depuis le système de mise à jour.

Un bug présent dans bash commence à avoir de graves conséquences sur la Toile, puisqu’il est en train d’être exploité par de nombreux pirates. Il est surnommé Shellshock et est connu sous la référence CVE–2014–6271. Le correctif qui a été publié hier n’est malheureusement pas complet selon Red Hat. Il est néanmoins impératif de l’installer en attendant une solution plus solide.

Un problème d’une grande portée

La très grande majorité des systèmes UNIX ou Linux utilisent l’interpréteur en ligne de commandes bash. Il est installé par défaut et utilisé par de nombreux systèmes, serveurs et applications. Le bug en question a été découvert par un français, Stephane Schazelas, qui a montré qu’il est possible de créer des variables d’environnement suivies de codes malveillants qui seront exécutés une fois que l’on appelle bash. Concrètement, cela signifie qu’il est possible de contourner les mesures de sécurité les plus évidentes, ce qui rend les serveurs web particulièrement vulnérables. Robert Graham a montré qu’un botnet exploitait déjà la faille pour infecter des serveurs à l’aide d’un scanner de ports. La portée de ce problème est donc très importante.

Un système vulnérableUn système vulnérable

Si vous utilisez un Mac ou une distribution Linux, il y a de très fortes chances que vous soyez vulnérables à ce type d’attaque, à moins que vous ayez déjà installé le correctif partiel. Pour vérifier si votre machine est concernée, il suffit de taper la ligne de code suivante dans votre Terminal :

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Si le système renvoie :

vulnerable
hello

votre version de bash est vulnérable. Comme on peut le voir, dans cet exemple, le bug vient du fait que bash va exécuter le code après la définition de la variable (le deuxième point-virgule). Une personne malveillante peut donc exécuter le code :

env x='() { :;}; rm -rf /' bash -c 'echo hello'\

Ce qui effacera tous les fichiers du dossier racine. C’est un exemple simple qui montre la portée importante de la faille. Elle montre aussi pourquoi les pirates visent principalement les serveurs web. Faire tomber un ou plusieurs sites Internet est un objectif nettement plus intéressant et plus facile pour les pirates que l’ordinateur de Monsieur Tout-le-Monde.

Le bug peut exécuter des codes malveillantsLe bug peut exécuter des codes malveillants

Une solution partielle

Si vous utilisez OS X, l’installation du correctif est très simple. Il suffit d’installer Homebrew si ce n’est pas déjà fait et de taper :

$ brew update
$ brew install bash
$ sudo mv /bin/bash /bin/bash_old
$ sudo mv /bin/sh /bin/sh_old
$ sudo chmod a-x /bin/bash_old /bin/sh_old
$ sudo ln -s /usr/local/Cellar/bash/4.3.25/bin/bash /bin/sh

Le système mettra alors à jour bash avec le correctif partiel. En ce qui concerne Linux, tout dépend de votre distribution, mais les plus populaires ont déjà où sont sur le point de proposer le correctif partiel depuis le système de mise à jour. Il est aussi possible de faire un simple :

sudo apt-get update && sudo apt-get install bash

Ce qui devrait être suffisant en principe. Dans tous les cas, et nous le répétons, la mise à jour n’est que partielle. Il n’existe pas encore de correctifs permettant de complètement résoudre ce problème.

Bash une fois le correctif appliquéBash une fois le correctif appliqué

Posez une question dans la catégorie Les news : vos réactions du forum
Cette page n'accepte plus de commentaires
23 commentaires
    Votre commentaire
  • tranche
    A noter que pour les distributions linux : Debian et Ubuntu n'utilise pas bash (Bourne shell) par défaut mais dash (Debian Almquist shell), qui est un programme de shell plus simple plus rapide et plus proche de la norme POSIX ... et surtout dash n'est pas vulnérable au Shellshock bug.

    Par contre un programme (genre apache) peut choisir d'utiliser bash plutôt que dash et alors il est vulnérable.
    Mais taper les commandes de l'article sur une debian pas à jour : s’exécutera sur dash, donc on pensera ne pas être vulnérable alors que les programmes continuant d'utiliser bash le sont; donc : quoi qu'il en soit mieux vaut mettre à jour son bash.
    1
  • TNZ
    Mouais ... Ubuntu utilise bash par défaut.
    Ceci dit il y a eu une mise à jour ce matin ... et la version d'avant n'avait pas le problème.

    Toutefois, il convient de faire ses mise à jour régulièrement.

    A noter quand même la réactivité de la communauté. Un M$ aurait mis 6 mois ou plus pour fournir nu correctif.
    1
  • tranche
    EDIT: ha en fait dash est le shell par défaut utilisé pour les daemon et bash reste le shell par défaut pour le terminal utilisateur (faire "echo $0" pour connaître son shell) ... donc taper les commandes de l'article dans son terminal vérifie bien la vulnérabilité de son système.
    0