Découverte d’une faille de sécurité Linux qui existait depuis … 22 ans

20130311101010191
Les Etats-Unis ont mis en garde jeudi contre une faille de sécurité concernant les systèmes d’exploitation Linux GNU et Mac OS X d’Apple. Selon plusieurs spécialistes, elle devait exister depuis les années 90.

Le département américain de la Sécurité intérieure affirme dans un communiqué que cette faille concerne le « Bourne again shell (Bash)« , un logiciel libre qui permet de lancer des commandes dans une fenêtre de console. C’est aussi un interpréteur de commandes qui fournit un langage de programmation pouvant être utilisé pour développer des programmes.

La faille découverte peut être exploitée par un pirate informatique qui va utiliser l’interpréteur de commandes pour exécuter des commandes et des programmes.

Bash: une interface homme/machine

Concrètement, un interpréteur est une interface qui permet de commander un ordinateur en introduisant des lignes de commande en mode texte. L’ordinateur affiche alors également du texte correspondant au résultat de l’exécution des commandes tapées. L’interpréteur permet aussi de regrouper ces commandes dans de courts programmes appelés scripts.

Bash est présent dans plusieurs systèmes Linux (Open source) dont les serveurs web sont pourtant  présumés mieux sécurisés. Mais on trouve également  Bash dans lesystème d’exploitation Mac OS X et parmi les objets connectés (montres, wearables…)

Selon le National Cyber Awareness System américain, un bulletin d’alerte a été lancé avec le plus haut niveau de gravité (10 sur l’échelle du CERT). Il semblerait que cette vulnérabilité touchait déjà les premières versions du BASH créée voici 22 ans.

Source et fin de l’article sur Rtbf.be

D’autres infos, un peu plus techniques sont également disponibles sur le site zdnet.fr:

Les alertes d’exploitation de la faille commencent déjà à se multiplier. Le CERT australien a tiré le signal d’alarme en premier mais il n’est plus le seul. Le chercheur en sécurité Yinette indique également avoir observé les premières attaques. De son côté, un autre chercheur, Robert Graham, aurait identifié 3000 systèmes vulnérables.

Article complet sur Zdnet.fr

13 commentaires

  • Lionel

    Salut Confiture, merci pour les conseils mais ne vaut-il pas mieux carrément attendre une MAJ Ubuntu qui ne devrait pas tarder ?
    En général ils ne perdent pas de temps surtout si c’est aussi préoccupant.
    Et que sais-tu de la source, est-elle fiable et que ça ne nous refile pas une cochonnerie dans le paquet…?

  • Thierry92 Thierry92

    Les versions de bash incriminées vont jusqu a la version 4.3

    Les versions a jour ne risquent rien.

  • nutty juggler nutty juggler

    mouais ,
    « Le département américain de la Sécurité » alerte gracieusement d’une faille ?
    c’est un oxymore ! Ne tenteraient-ils pas plutôt d’en déployer une nouvelle plus rapidement ?

    • J’avoue que cette « révélation » par les USA m’avait laissé aussi songeur, surtout si on se rappelle que là-bas Linux est considéré comme un OS de terroriste crypto-marxisto-russo-machinchose. Mais si leurs serveurs internet et les machines Apple sont touchées, là ils ne pouvaient pas faire autrement que d’alerter. Cette faille semble bien réelle.
      Pour ceux qui ont des doutes sur l’efficacité de leur patch, un test simple est possible:
      http://www.linuxbsdos.com/2014/09/25/bash-susceptible-to-environment-variables-code-injection-attack/

      • En tout cas, j’ai fait le test ce soir en rentrant, sur mon « Alt Linux » (distribution russe du vilain Poutine) installé depuis deux ans, avec le bash pas mis à jour depuis tout ce temps, et d’ailleurs verrouillé contre les updates dans l’utilitaire de mise à jour. Et… ô respect: le test (mon lien plus haut) conclut à une non vulnérabilité! Hé hé, apparemment il y en a qui étaient déjà au courant de cette faille depuis un certain temps.

  • vu le nombre de serveur unix… les petits script kiddies vont s’amuser ! =>> http://www.exploit-db.com ^^

    et à coter Kevin Mitnick refait parlé de lui et se lance dans le commerce de vulnérabilités 0day

    http://www.zdnet.fr/actualites/kevin-mitnick-se-lance-dans-le-commerce-de-vulnerabilites-0day-39806893.htm

  • Maverick Maverick

    Trouvé sur le forum Ubuntu :

    http://forum.ubuntu-fr.org/

    Attention, une faille de sécurité dans bash vient d’être divulguée, il est recommandé de mettre à jour son système (plus de détails)
    *** 26 sept. nouvelle mise à jour (4.2-2ubuntu2.3 ou 4.3-7ubuntu1.3) ***

    pour mettre à jour, lancez dans un terminal :
    sudo apt-get update ; sudo apt-get upgrade –only-upgrade bash

    (Copier∕coller la ligne)