Comme Reuters, CNN et d'autres sources l'ont récemment largement rapporté, Stéphane Chazelas, un responsable informatique travaillant pour une société de développement de logiciels en Écosse, a découvert un bogue potentiellement dévastateur dans l'interpréteur de commandes Unix couramment utilisé, bash. Le bogue, baptisé "shell shock", a été classé par Red Hat comme étant d'une gravité "catastrophique". La société de cybersécurité Rapid7 lui a attribué un niveau de gravité de "10", le maximum, et un niveau de complexité d'exploitation de "faible", ce qui signifie que les attaques sont relativement simples et faciles pour les pirates.
Produit par la Free Software Foundation, une organisation à but non lucratif, bash est l'un des interpréteurs de commandes les plus courants dans les systèmes Unix. Bien que les applications de l'Open iT n'utilisent l'interpréteur de commandes que pour exécuter des binaires et des commandes codées en dur (l'Open iT utilise en fait ksh pour ses propres scripts) et ne rendent en aucun cas le système particulièrement vulnérable aux attaques extérieures, d'autres services et applications peuvent permettre à des pirates d'insérer des variables d'environnement qui leur permettront d'exploiter cette vulnérabilité pour prendre le contrôle de machines et de systèmes de serveurs.
Red Hat avait initialement déployé un correctif (CVE-2014-6271) pour éliminer cette vulnérabilité. Cependant, le correctif a été jugé "incomplet" par certains chercheurs en sécurité technologique. Le 26 septembre, Red Hat a déployé un nouveau correctif (CVE-2014-7169) pour remédier à ce problème.
Pour savoir si le système est vulnérable au shell shock, Red Hat recommande d'exécuter la commande suivante :
$ env x=’ () { :;}; echo vulnerable’ bash –c “echo this is a test”
Si la commande ci-dessus donne le résultat suivant :
vulnérable
c'est un test
le système possède une version vulnérable de bash. D'un autre côté, le système n'est pas en état de choc si la sortie de la commande ci-dessus ressemble à ceci :
bash : warning : x : ignorer la tentative de définition de la fonction
bash : erreur d'importation de la définition de la fonction 'x'
ceci est un test
Il est important de mettre à jour la version de bash du système s'il s'avère qu'elle est vulnérable. Pour corriger un système vulnérable, LinuxNewsPro recommande les commandes suivantes.
Pour CentOS, Fedora, Red Hat et autres :
yum -y update bash
Pour Debian, Ubuntu et autres :
sudo apt-get update && sudo apt-get install --only-upgrade bash
Exécutez à nouveau le test de diagnostic après avoir appliqué les correctifs au système pour vous assurer qu'il est désormais à l'abri du bogue de type "shell shock".
Sources :
https://access.redhat.com/articles/1200223
http://www.reuters.com/article/2014/09/24/us-cybersecurity-bash-idUSKCN0HJ2FQ20140924
http://money.cnn.com/2014/09/24/technology/security/bash-bug/index.html