«Shellshock», un important bogue dans Bash sous Linux


Jean-François Ferland - 25/09/2014

Une vulnérabilité dans un interpréteur de commandes, qui date d’au moins deux décennies, peut être exploitée lors d’une intrusion à distance dans des systèmes Linux.Illustration du concept de programmation ou d'un programmeur

La communauté des développeurs pour l’environnement Linux s’affaire à traiter une importante vulnérabilité dans l’interpréteur Bash, qui sert à exécuter des commandes et naviguer dans les fichiers d’un système Linux. Le bogue en question a été surnommé « Shellshock ».

Un article dans le site web du magazine Forbes explique qu’un pirate pourrait exploiter la faille dans Bash, selon certaines conditions, afin d’écrire des fichiers dans un système Linux et ainsi amorcer des programmes, accéder à de l’information et modifier des données d’authentification.

Des applications de serveur web, des serveurs DHCP et des ensembles de logiciels qui servent à exploiter des ordinateurs et des appareils seraient affectés par la vulnérabilité identifiée dans Bash.

Selon Forbes, l’exploitation de la faille par un pirate nécessite l’obtention de l’ensemble des permissions qui sont requises pour l’administration d’un système basé sur Linux. Ainsi, des systèmes sont exploités en mode racine (root) au sein d’organisations sont susceptibles d’être affectés s’il y a une tentative d’exploitation de la vulnérabilité dans Bash. De plus, le bogue Shellshock peut être exploité à l’aide de commandes simples et affecter une variété de systèmes fondés sur Linux au sein d’une infrastructure technologique.

La vulnérabilité dans Bash existerait depuis la parution de l’interpréteur en 1989. Dans la Toile, plusieurs affirment que le bogue Shellshock pourrait avoir des répercussions plus importantes que le bogue Heartbleed, qui a défrayé les manchettes il y a quelques mois.

La faille dans Bash, dont le code international d’identification est CVE-2014-6271, a été découvert par l’ingénieur français Stéphane Chazelas. Le responsable de l’entretien de l’interpréteur de commandes Bash, Chet Ramey, a publié des rustines de colmatage dans le site spécialisé en sécurité SecLists.org. Les éditeurs des principales distributions du système d’exploitation Linux s’apprêteraient à publier leurs propres rustines.

Lire l’article dans le site de Forbes (en anglais)

Selon un article publié dans le site CNET, la vulnérabilité pourrait aussi affecter des ordinateurs ondés sur le système d’exploitation Mac OX d’Apple, dont certaines variantes utilisent une version « vulnérable » de Bash.

Lire l’article dans le site de CNET (en anglais)




Tags: , , , , , , , , , , , , ,

À propos de Jean-François Ferland

Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.
Google+