La faille Shellshock menace l’environnement Linux

Le shell Bash, l’un des plus couramment utilisé dans les distributions Linux et sous Unix, dont Mac OS X, est victime d’une importante faille de sécurité pouvant être exploitée à distance. Cette faille découverte par le français Stéphane Chazelas, représente donc un risque sérieux de sécurité pour les utilisateurs car il y a de fortes chances pour qu’une immense majorité de serveurs soit concernée. Elle pourrait être présente depuis longtemps dans de nombreuses déclinaisons Linux pour entreprise, les serveurs Web Apache étant particulièrement exposés. Pour l’expert Robert Graham un nombre très important de programmes peuvent interagir avec ce shell ce qui empêche d’établir une liste précise de tous les logiciels affectés par cette vulnérables. Cette faille réside dans la manière dont Bash interprète les variables d’environnement et peut être utilisé dans une grande variété de contextes : une requête depuis le web, depuis une application exécutant des scripts Bash, des sessions SSH ou même des CGI et ainsi de suite. Correctement exploitée, la vulnérabilité permet à un attaquant d’injecter son code dès que le shell est invoqué, ouvrant la voie à de nombreuses attaques. Des correctifs sont déjà proposés par les développeurs de Bash qui fournissent des patchs pour les versions 3.0 à 4.3. Des patchs ont commencé à être proposés pour plusieurs distributions Linux (RHLE, CentOS, Ubuntu, Debian,…) et d’autres devraient encore suivre.

Pour mieux comprendre cette faille, allez voir la page du célèbre Michal Zalewski (aka lcamtuf) en suivant ce lien http://lcamtuf.blogspot.fr/2014/09/quick-notes-about-bash-bug-its-impact.html

Informations officielles: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271