Linux, Unix et Mac OS X touché par une grave vulnérabilité dans Bash

Une vulnérabilité critique dans l’interpréteur en ligne de commande Bourne again shell, connu simplement sous le nom Bash, utilisé dans la majorité des distributions de Linux, d’UNIX et d’Apple Mac OS X a été identifiée.

La vulnérabilité, qui a déjà été baptisée Shellshock ou Bashdoor, permet à un individu malintentionné d’inscrire à distance un code exécutable malveillant dans une variable dont la valeur est exécutée lors d’un appel Bash.

"Super simple, et toutes les versions de Bash contiennent cette vulnérabilité. C’est très grave, mais les conditions à remplir pour qu’un utilisateur distant puisse définir la valeur de cette variable d’environnement sont très particulières. Et heureusement, elles sont rarement réunies" explique Josh Bressers, responsable de la sécurité du produit Red Hat.

Bash est présent dans les systèmes d’exploitation Linux et UNIX et on pourrait faire la comparaison avec la vulnérabilité Heartbleed dans OpenSSL. L’erreur dans Bash a été détectée par Stéphanie Chazelas, administratrice de réseaux Unix et Linux et directrice des technologies de l’information de la société de robotique britannique SeeByte Ltd.

Les éditeurs des distributions les plus utilisées de Linux, dont Red Hat, ont commencé à diffuser des correctifs directement après avoir pris connaissance de la découverte de Stéphanie Chazelas et de son billet dans la diffusion OSS.

Josh Bressers, de chez Red Hat, a déclaré que "de nombreuses fonctions font appel à Bash et je suis prêt à parier que dans la majorité des systèmes, quelque chose invoque Bash et vous ne savez même pas ce que cela fait. Nous avons analysé tous ces différents produits proposés par Red Hat et qui, d’après nous sont exposés au plus grand risque. C’est le genre de situation où il existe une multitude infinie de variantes qu’il faut traiter. Par exemple, la vulnérabilité Heartbleed fut simple à comprendre et elle a touché également tout le monde" a déclaré Josh Bressers de chez Red Hat.

"Dans ce cas, il n’existe pas deux systèmes vulnérables identiques. Mettez Bash à jour et ne prenez pas de risque . Même si vous pensez que tout est en ordre, il se peut que cela ne soit pas le cas" a expliqué Josh Bressers.

Il a également déclaré que la vulnérabilité permettait à un individu malintentionné de créer des variables d’environnement qui contiennent le code malveillant avant que le système n’appelle l’interpréteur Bash.

"Ces variables peuvent contenir du code qui est lancé à l’invocation de l’interpréteur. a écrit Josh Bressers sur son blog. "Le nom de ces variables n’a pas d’importance. Ce qui compte, c’est le contenu."

Un des exemples les plus critiques de manifestation de la vulnérabilité est par exemple l’utilisation de scripts mod_cgi, mod_cgid sur un serveur Apach, s’ils ont été écrits sous Bash. Comme l’écrit Josh Bressers, la vulnérabilité permet également de contourner ForceCommand dans les configurations sshd. ForceCommand permet de limiter les possibilités d’exécution à distance de code, mais cette vulnérabilité permet de déjouer cette protection. Certaines versions de Git, qui fonctionnent sous SSH, peuvent être touchées.

Red Hat a publié un lien vers la procédure de diagnostic qui permet aux utilisateurs de rechercher la vulnérabilité de Bash dans leur système.

Comme l’explique Josh Bressers, le correctif empêche la présence de code exécutable après la fin de la fonction Bash.

"Il s’agit d’un paquet et il n’est pas nécessaire de redémarrer le système ou un service quelconque" a expliqué Josh Bressers au sujet du correctif. "Dès que les chercheurs vont commencer à s’intéresser au problème, il faut s’attendre à ce qu’ils trouvent des nouveautés. Espérons que cela ne soit pas le cas, car nous devrons tout recommencer".

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *