Découverte d’une faille de sécurité Linux qui existait depuis … 22 ans

20130311101010191
Les Etats-Unis ont mis en garde jeudi contre une faille de sécurité concernant les systèmes d’exploitation Linux GNU et Mac OS X d’Apple. Selon plusieurs spécialistes, elle devait exister depuis les années 90.

Le département américain de la Sécurité intérieure affirme dans un communiqué que cette faille concerne le « Bourne again shell (Bash)« , un logiciel libre qui permet de lancer des commandes dans une fenêtre de console. C’est aussi un interpréteur de commandes qui fournit un langage de programmation pouvant être utilisé pour développer des programmes.

La faille découverte peut être exploitée par un pirate informatique qui va utiliser l’interpréteur de commandes pour exécuter des commandes et des programmes.

Bash: une interface homme/machine

Concrètement, un interpréteur est une interface qui permet de commander un ordinateur en introduisant des lignes de commande en mode texte. L’ordinateur affiche alors également du texte correspondant au résultat de l’exécution des commandes tapées. L’interpréteur permet aussi de regrouper ces commandes dans de courts programmes appelés scripts.

Bash est présent dans plusieurs systèmes Linux (Open source) dont les serveurs web sont pourtant  présumés mieux sécurisés. Mais on trouve également  Bash dans lesystème d’exploitation Mac OS X et parmi les objets connectés (montres, wearables…)

Selon le National Cyber Awareness System américain, un bulletin d’alerte a été lancé avec le plus haut niveau de gravité (10 sur l’échelle du CERT). Il semblerait que cette vulnérabilité touchait déjà les premières versions du BASH créée voici 22 ans.

Source et fin de l’article sur Rtbf.be

D’autres infos, un peu plus techniques sont également disponibles sur le site zdnet.fr:

Les alertes d’exploitation de la faille commencent déjà à se multiplier. Le CERT australien a tiré le signal d’alarme en premier mais il n’est plus le seul. Le chercheur en sécurité Yinette indique également avoir observé les premières attaques. De son côté, un autre chercheur, Robert Graham, aurait identifié 3000 systèmes vulnérables.

Article complet sur Zdnet.fr

13 commentaires