«Shellshock», un important bogue dans Bash sous Linux

Une vulnérabilité dans un interpréteur de commandes, qui date d’au moins deux décennies, peut être exploitée lors d’une intrusion à distance dans des systèmes Linux.Illustration du concept de programmation ou d'un programmeur

La communauté des développeurs pour l’environnement Linux s’affaire à traiter une importante vulnérabilité dans l’interpréteur Bash, qui sert à exécuter des commandes et naviguer dans les fichiers d’un système Linux. Le bogue en question a été surnommé « Shellshock ».

Un article dans le site web du magazine Forbes explique qu’un pirate pourrait exploiter la faille dans Bash, selon certaines conditions, afin d’écrire des fichiers dans un système Linux et ainsi amorcer des programmes, accéder à de l’information et modifier des données d’authentification.

Des applications de serveur web, des serveurs DHCP et des ensembles de logiciels qui servent à exploiter des ordinateurs et des appareils seraient affectés par la vulnérabilité identifiée dans Bash.

Selon Forbes, l’exploitation de la faille par un pirate nécessite l’obtention de l’ensemble des permissions qui sont requises pour l’administration d’un système basé sur Linux. Ainsi, des systèmes sont exploités en mode racine (root) au sein d’organisations sont susceptibles d’être affectés s’il y a une tentative d’exploitation de la vulnérabilité dans Bash. De plus, le bogue Shellshock peut être exploité à l’aide de commandes simples et affecter une variété de systèmes fondés sur Linux au sein d’une infrastructure technologique.

La vulnérabilité dans Bash existerait depuis la parution de l’interpréteur en 1989. Dans la Toile, plusieurs affirment que le bogue Shellshock pourrait avoir des répercussions plus importantes que le bogue Heartbleed, qui a défrayé les manchettes il y a quelques mois.

La faille dans Bash, dont le code international d’identification est CVE-2014-6271, a été découvert par l’ingénieur français Stéphane Chazelas. Le responsable de l’entretien de l’interpréteur de commandes Bash, Chet Ramey, a publié des rustines de colmatage dans le site spécialisé en sécurité SecLists.org. Les éditeurs des principales distributions du système d’exploitation Linux s’apprêteraient à publier leurs propres rustines.

Lire l’article dans le site de Forbes (en anglais)

Selon un article publié dans le site CNET, la vulnérabilité pourrait aussi affecter des ordinateurs ondés sur le système d’exploitation Mac OX d’Apple, dont certaines variantes utilisent une version « vulnérable » de Bash.

Lire l’article dans le site de CNET (en anglais)

Jean-François Ferland
Jean-François Ferland
Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.

Articles connexes

Un hôpital pour enfants de Toronto confirme avoir été frappé par un rançongiciel

Dans une déclaration en ligne aujourd'hui, l'hôpital a déclaré qu'il prévoyait qu'il ne faudrait que quelques semaines avant que tous les systèmes fonctionnent normalement. Il n'y a aucune preuve à ce jour que les renseignements personnels généraux ou sur la santé aient été touchés.

La ville de Westmount touchée par un rançongiciel

La ville de Westmount sur l’île de Montréal aurait été la cible d’un rançongiciel au cours de la fin de semaine, selon un quotidien montréalais.

L’Orchestre symphonique de Toronto affecté par l’attaque de rançongiciel de WordFly

L'un des plus grands orchestres du Canada fait partie des organisations nord-américaines victimes collatérales d'une attaque de rançongiciel plus tôt ce mois-ci sur WordFly, une plateforme de communication et de marketing numérique utilisée par les entreprises du domaine des arts, du divertissement, de la culture et du sport.

Ajout d’un tableau de bord à l’édition commerciale de 1Password

Une application canadienne de gestion des mots de passe a ajouté un tableau de bord pour permettre aux administrateurs informatiques de voir plus facilement combien d'employés ne profitent pas des capacités de sécurité du produit.

Hausse de la prise en ligne de rendez-vous par les aînés

Prendre en ligne un rendez-vous médical avec un professionnel fait désormais partie des habiletés technologiques de 54 % des aînés du Québec, selon une enquête de l’Académie de la transformation numérique de l’Université Laval.