Infos

Linux, Unix et Mac OS X touché par une grave vulnérabilité dans Bash

Une vulnérabilité critique dans l’interpréteur en ligne de commande Bourne again shell, connu simplement sous le nom Bash, utilisé dans la majorité des distributions de Linux, d’UNIX et d’Apple Mac OS X a été identifiée.

La vulnérabilité, qui a déjà été baptisée Shellshock ou Bashdoor, permet à un individu malintentionné d’inscrire à distance un code exécutable malveillant dans une variable dont la valeur est exécutée lors d’un appel Bash.

"Super simple, et toutes les versions de Bash contiennent cette vulnérabilité. C’est très grave, mais les conditions à remplir pour qu’un utilisateur distant puisse définir la valeur de cette variable d’environnement sont très particulières. Et heureusement, elles sont rarement réunies" explique Josh Bressers, responsable de la sécurité du produit Red Hat.

Bash est présent dans les systèmes d’exploitation Linux et UNIX et on pourrait faire la comparaison avec la vulnérabilité Heartbleed dans OpenSSL. L’erreur dans Bash a été détectée par Stéphanie Chazelas, administratrice de réseaux Unix et Linux et directrice des technologies de l’information de la société de robotique britannique SeeByte Ltd.

Les éditeurs des distributions les plus utilisées de Linux, dont Red Hat, ont commencé à diffuser des correctifs directement après avoir pris connaissance de la découverte de Stéphanie Chazelas et de son billet dans la diffusion OSS.

Josh Bressers, de chez Red Hat, a déclaré que "de nombreuses fonctions font appel à Bash et je suis prêt à parier que dans la majorité des systèmes, quelque chose invoque Bash et vous ne savez même pas ce que cela fait. Nous avons analysé tous ces différents produits proposés par Red Hat et qui, d’après nous sont exposés au plus grand risque. C’est le genre de situation où il existe une multitude infinie de variantes qu’il faut traiter. Par exemple, la vulnérabilité Heartbleed fut simple à comprendre et elle a touché également tout le monde" a déclaré Josh Bressers de chez Red Hat.

"Dans ce cas, il n’existe pas deux systèmes vulnérables identiques. Mettez Bash à jour et ne prenez pas de risque . Même si vous pensez que tout est en ordre, il se peut que cela ne soit pas le cas" a expliqué Josh Bressers.

Il a également déclaré que la vulnérabilité permettait à un individu malintentionné de créer des variables d’environnement qui contiennent le code malveillant avant que le système n’appelle l’interpréteur Bash.

"Ces variables peuvent contenir du code qui est lancé à l’invocation de l’interpréteur. a écrit Josh Bressers sur son blog. "Le nom de ces variables n’a pas d’importance. Ce qui compte, c’est le contenu."

Un des exemples les plus critiques de manifestation de la vulnérabilité est par exemple l’utilisation de scripts mod_cgi, mod_cgid sur un serveur Apach, s’ils ont été écrits sous Bash. Comme l’écrit Josh Bressers, la vulnérabilité permet également de contourner ForceCommand dans les configurations sshd. ForceCommand permet de limiter les possibilités d’exécution à distance de code, mais cette vulnérabilité permet de déjouer cette protection. Certaines versions de Git, qui fonctionnent sous SSH, peuvent être touchées.

Red Hat a publié un lien vers la procédure de diagnostic qui permet aux utilisateurs de rechercher la vulnérabilité de Bash dans leur système.

Comme l’explique Josh Bressers, le correctif empêche la présence de code exécutable après la fin de la fonction Bash.

"Il s’agit d’un paquet et il n’est pas nécessaire de redémarrer le système ou un service quelconque" a expliqué Josh Bressers au sujet du correctif. "Dès que les chercheurs vont commencer à s’intéresser au problème, il faut s’attendre à ce qu’ils trouvent des nouveautés. Espérons que cela ne soit pas le cas, car nous devrons tout recommencer".

Source : Threatpost

Linux, Unix et Mac OS X touché par une grave vulnérabilité dans Bash

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception