Une très grave faille affectant Bash, le shell Unix du projet GNU, a été découverte. Certains spécialistes n’hésitent à comparer sa gravité à celle de Heartbleed car Bash est utilisé au sein de très nombreux environnements Unix ou Linux.
Découverte par Stéphane Chazelas, la faille pourrait aussi être présente depuis longtemps dans de nombreuses déclinaisons Linux pour entreprise. Les serveurs Web Apache sont aussi particulièrement exposés. Pire, « un grand nombre de programmes peuvent interagir avec le shell. Nous ne pourrons donc jamais lister tous les logiciels que cette faille rend vulnérables », explique l’expert Robert Graham.
Correctement exploitée, la vulnérabilité permet à un attaquant d’exécuter son code dès que le shell est invoqué, ouvrant la voie à de nombreuses attaques. Lexsi, qui qualifie la faille de « Shellshock », assure même que celle-ci « s’exploite de manière triviale avec seulement 3 petites lignes de code ». Présente « depuis plus de 20 ans », cette vulnérabilité a déjà été exploitée, a constaté le cabinet de sécurité.
Pour prévenir des attaques, il est préférable de contrôler les entrées (inputs) sur les applications Web et de désactiver les scripts CGI faisait un appel sur le shell. Akamai recommande par ailleurs de basculer sur un autre interpréteur que Bash. Cependant, tous n’utilisent pas la même syntaxe et des fonctions similaires. Des applications pourraient donc rencontrer des problèmes de fonctionnement.
Vous pouvez vérifier si votre système est vulnérable en exécutant les commandes suivantes dans votre Shell. Si le mot « busted » est affiché à l’écran, alors votre système est vulnérable.
Code:
1. env X=”() { :;} ; echo busted” /bin/sh -c “echo completed”
2. env X=”() { :;} ; echo busted” `which bash` -c “echo completed”
Enfin, il est indispensable de télécharger les correctifs mis à disposition. Les développeurs de Bash ont ainsi patché les versions de 3.0 à 4.3. Du côté des distributions, RedHat et Debian proposent des patchs sous formes de packages. Les autres éditeurs concernés devraient leur emboiter le pas.
Dahbia Kana
Ingénieur de Sécurité à SSRI.
