«Shellshock», un important bogue dans Bash sous Linux

Une vulnérabilité dans un interpréteur de commandes, qui date d’au moins deux décennies, peut être exploitée lors d’une intrusion à distance dans des systèmes Linux.Illustration du concept de programmation ou d'un programmeur

La communauté des développeurs pour l’environnement Linux s’affaire à traiter une importante vulnérabilité dans l’interpréteur Bash, qui sert à exécuter des commandes et naviguer dans les fichiers d’un système Linux. Le bogue en question a été surnommé « Shellshock ».

Un article dans le site web du magazine Forbes explique qu’un pirate pourrait exploiter la faille dans Bash, selon certaines conditions, afin d’écrire des fichiers dans un système Linux et ainsi amorcer des programmes, accéder à de l’information et modifier des données d’authentification.

Des applications de serveur web, des serveurs DHCP et des ensembles de logiciels qui servent à exploiter des ordinateurs et des appareils seraient affectés par la vulnérabilité identifiée dans Bash.

Selon Forbes, l’exploitation de la faille par un pirate nécessite l’obtention de l’ensemble des permissions qui sont requises pour l’administration d’un système basé sur Linux. Ainsi, des systèmes sont exploités en mode racine (root) au sein d’organisations sont susceptibles d’être affectés s’il y a une tentative d’exploitation de la vulnérabilité dans Bash. De plus, le bogue Shellshock peut être exploité à l’aide de commandes simples et affecter une variété de systèmes fondés sur Linux au sein d’une infrastructure technologique.

La vulnérabilité dans Bash existerait depuis la parution de l’interpréteur en 1989. Dans la Toile, plusieurs affirment que le bogue Shellshock pourrait avoir des répercussions plus importantes que le bogue Heartbleed, qui a défrayé les manchettes il y a quelques mois.

La faille dans Bash, dont le code international d’identification est CVE-2014-6271, a été découvert par l’ingénieur français Stéphane Chazelas. Le responsable de l’entretien de l’interpréteur de commandes Bash, Chet Ramey, a publié des rustines de colmatage dans le site spécialisé en sécurité SecLists.org. Les éditeurs des principales distributions du système d’exploitation Linux s’apprêteraient à publier leurs propres rustines.

Lire l’article dans le site de Forbes (en anglais)

Selon un article publié dans le site CNET, la vulnérabilité pourrait aussi affecter des ordinateurs ondés sur le système d’exploitation Mac OX d’Apple, dont certaines variantes utilisent une version « vulnérable » de Bash.

Lire l’article dans le site de CNET (en anglais)

Jean-François Ferland
Jean-François Ferland
Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.

Articles connexes

L’Orchestre symphonique de Toronto affecté par l’attaque de rançongiciel de WordFly

L'un des plus grands orchestres du Canada fait partie des organisations nord-américaines victimes collatérales d'une attaque de rançongiciel plus tôt ce mois-ci sur WordFly, une plateforme de communication et de marketing numérique utilisée par les entreprises du domaine des arts, du divertissement, de la culture et du sport.

Ajout d’un tableau de bord à l’édition commerciale de 1Password

Une application canadienne de gestion des mots de passe a ajouté un tableau de bord pour permettre aux administrateurs informatiques de voir plus facilement combien d'employés ne profitent pas des capacités de sécurité du produit.

Hausse de la prise en ligne de rendez-vous par les aînés

Prendre en ligne un rendez-vous médical avec un professionnel fait désormais partie des habiletés technologiques de 54 % des aînés du Québec, selon une enquête de l’Académie de la transformation numérique de l’Université Laval.

Application et base de données d’approvisionnement alimentaire local pour institutions publiques

Les institutions publiques qui fournissent des services alimentaires, comme des services de cafétéria, pourront utiliser une application web et une base de données pour obtenir des informations au sujet des certifications, de la durabilité, ainsi que de la provenance de leurs achats alimentaires.

Le modèle Instacart arrive au Québec

La plateforme Instacart pour faire son épicerie en ligne peut désormais être utilisée en français sur le territoire du Québec.