Une
faille de sécurité majeure sur l'interpréteur de commandes
Bash a été découverte récemment.
La faille est référencée sous le code
CVE-2014-6271 mais son petit nom est
Shellshock. Cette faille existe depuis au moins la version 1 de bash. Elle est donc
répandue sur l'ensemble des versions de Fedora.
Qu'est-ce qu'elle permet ?
La faille exploite le fait que l'interpréteur de commandes bash, au moment où il est démarré, n'arrête pas l'interprétation à l'endroit où il devrait. Ainsi lorsqu'il y a des définitions de variables ou de fonctions d'environnement l'interpréteur exécute les commandes passées en arguments après définitions.
Étant donné le fait que l'on puisse démarrer un interpréteur de commandes bash dans un script cgi par exemple, on peut exploiter cette faille à distance En utilisant le fait que les variables d'environnement cgi sont mappées en variables d'environnement shell. Le lancement de commandes se fait alors à distance, très certainement dans le contexte d'exécution du serveur web par exemple.
Des script d'exploitation de cette faille sont facilement récupérables et des
scanneurs spécifiques à cette faille sont déjà à l'œuvre.
Comment vérifier si ma version est impactée ?
Vous avez la possibilité de tester cette faille à l'aide de la commande ci-dessous:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Si votre version de bash est vulnérable, vous obtiendrez le retour suivant:
vulnerable
this is a test
Sinon :
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Comment la corriger ?
Pour les versions de Fedora >=19, c'est à dire celles supportées par le
Projet Fedora :
yum clean all ; yum update
Pour les autres versions, non supportées, nous vous invitons à :
- soit mettre à jour votre Fedora vers une version supportée.
- soit compiler bash à partir du srpm en y appliquant le patch
- soit compiler bash à la main.
Pour plus d'informations
https://securityblog.redhat.com/
PS: Merci à notre partenaire Ikoula, car j'ai un peu pompé leur mail d'alerte.