Vulnérabilités: voilà Shellshock, pire que Heartbleed
Une vulnérabilité a été découverte sur les systèmes d'exploitation basés sur BSD, Linux et Unix - OS X d'Apple est également concerné. Elle permet à un pirate d'exécuter du code malicieux sur les serveurs web.
Bash, l'interpréteur de commandes Unix du projet GNU (Bourne -Again Shell) est menacé: la ligne de commande standard de presque tous les systèmes d'exploitation basés sur BSD, Linux et Unix (y compris OS X d'Apple) permet à des personnes mal intentionnées d'exécuter n'importe quel code malicieux sur des serveurs web. Les équipements tels que les routeurs, les caméras ou systèmes NAS sont aussi potentiellement exposés. La faille a été découverte par le développeur Stéphane Chazelas.
Selon le spécialiste en sécurité IT suisse Scip, cette vulnérabilité est au moins aussi grave que Heartbleed, comme le précise Marc Ruef, expert en sécurité chez Scip, à notre rédaction: «Cette faille est très critique car les possibilités de pénétration sont énormes: d’une part, le composant logiciel est très populaire, d’autre part, l’assaillant peut exécuter des commandes comme s’il était assis devant le serveur.» Un sentiment partagé par l'expert IT Robert Graham, qui juge qu'elle est encore plus importante que heartbleed.
Scip explique que c'est une fonction inconnue du composant Environment Variable Handler. Une manière d'exploiter la vulnérabilité serait déjà connue. Sont également concernés des logiciels tels que SSH, OpenSSH, DHCP, CUPS, Sudo, Git ou CVS, avec lesquels de nombreux administrateurs et développeurs travaillent quotidiennement avec ces outils. Même des scripts shell pour serveur web (CGI) sont touchés, précise Scip. Red Hat souligne que même des langages comme PHP et Python peuvent être menacés.
Selon le site heise.de, la commande suivante peut être exécutée pour savoir si un système est vulnérable:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Si la réponse obtenu est «vulnérable», le système est en danger. Une mise à jour a déjà été publiée pour les distributions Linux: Ubuntu, Debian et OpenSuse. Un patch pour Mac OS X est encore attendu. Mais Marc Ruef estime que c'est une faille dont on devrait se souvenir: «Je m’attends à une évolution de Shellshock similaire à celle de Heartbleed. Nous allons probablement retrouver cette faille pendant encore des années lors de nos audits. Il est également possible que Shellshock soit exploitée de manière automatique au moyen d’un ver sophistiqué.»
Kommentare
« Plus