Shellshock : c'est grave docteur ?

Stéphane Moussie |

Il y a une semaine et demie, une faille critique était découverte dans le shell Bash, un utilitaire intégré à la plupart des systèmes UNIX, dont OS X. Une vulnérabilité particulièrement importante puisqu'elle permet à un malandrin d'exécuter des commandes à distance sur la machine ciblée. Apple a rapidement distribué un correctif pour Lion, Mountain Lion et Mavericks, mais l'affaire n'est pas finie pour autant.

D'une part, tous les produits vulnérables n'ont pas été patchés, loin de là. C'est le cas des Mac n'étant pas compatibles avec OS X 10.7 ou ultérieur. Apple a assuré que ses systèmes « sont sécurisés par défaut et ne sont exposés à des attaques à distance que si les utilisateurs configurent les services UNIX avancés. » Autrement dit, les systèmes antérieurs à Lion dont les services UNIX ont été modifiés doivent être patchés à la main par les utilisateurs.

Et puis il y a la myriade d'autres produits qui intègrent Bash. Cisco, Oracle, RedHat et compagnie n'ont pas tardé à publier leur correctif, mais il y a immanquablement des machines qui ne seront jamais mises à jour pour diverses raisons.

Le 30 septembre, soit six jours après la découverte de la faille, le CDN CloudFlare avait bloqué 1,1 million d'attaques Shellshock. Plus de 80 % des attaques étaient des opérations de reconnaissance afin d'établir une liste de machines vulnérables. Cela donne une petite idée des assauts que sont en train de subir les serveurs web à travers le monde. Des serveurs qui ne sont pas tous protégés correctement.

D'autre part, on n'a pas fini d'entendre parler de Shellshock car ce n'est pas une faille qui touche Bash, mais plusieurs. L'interpréteur de commandes a logiquement été passé au crible après la découverte de la vulnérabilité CVE-2014-6271 et d'autres failles ont été pointées du doigt (CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 et CVE-2014-7169). Elles ne sont pas toutes aussi critiques que la première, mais elles décuplent les risques et nécessitent évidemment de nouveaux correctifs. Le patch d'Apple ne bouche pas la faille CVE-2014-7186 par exemple. Shellshock est donc loin de la phase Terminal.

avatar elpeygey | 

Euh c'est bash pas Batch

avatar bugman | 

comme le dirait Jean Sébastien (Bach), t'as le clavier bien tempéré. ;)

avatar r e m y | 

Tu veux sans doute parler de Jean-Sebastien Bash, non?

avatar bugman | 

@r e m y : C'est Bach, mais l'idée est là oui.

avatar trolloloI | 

jeu de mot tout ça.

avatar Bigdidou | 

A noter que Synology (j'en parle parce que leurs NAS sont assez populaires ici, non sans raisons) a publié très rapidement un correctif pour l'OS de ses NAS.

avatar Shralldam | 

@Bigdidou :
Pourtant, le DSM n'utilise pas bash (sauf si on a installé des trucs comme ipkg)...

avatar Bigdidou | 

@Shralldam :
Ben Synology a donc publié très rapidement un correctif de sécurité pour un truc qui les concerne pas, alors.

Version: 5.0-4493 Update 7
Fixed Issues
Fixed a potential risk on Bash command shell (CVE-2014-6271 and CVE-2014-7169).

avatar Shralldam | 

@Bigdidou :
Suite à l'annonce de la faille Shellshock je me suis pas mal baladé sur les forums de Synology (vu que j'en possède un) et les posts que j'ai lus semblaient confirmer que Busybox utilise ash (et pas bash). Je pense que Synology a sorti le patch pour parer à toute éventualité (certains utilisateurs avancés n'hésitant pas à installer d'autres logiciels, via ipkg notamment). Mais je peux me tromper...

Dans tous les cas Synology a bien fait de réagir vite ;-)

avatar Bigdidou | 

@Shralldam :

Ok, merci pour la précision, alors.

avatar trarz opir | 

Mon Dieu ! Je cours débrancher le modem.

avatar insgardoced | 

On s en fou pour la grande majorité !!!
Qui vas prendre le contrôle de mon mac? Je ne fait pas de contrôle à distance et pas d utilisation du terminal autres que pour moi!!!

avatar melvyn71 | 

@insgardoced :
A tous hasard n'importe qui lançant des attaque à la chaîne pour ce cree in reseau de botnet ...

avatar Pascal-007 | 

Bien d'accord avec Melvyn :

Parce que les pirates lancent à tout hasard des attaques à la chaine pour se créer un réseau de botnets .

avatar Benckes | 

@insgardoced :
Naïf.

avatar jipeca | 

"... Autrement dit, les systèmes antérieurs à Lion dont les services UNIX ont été modifiés doivent être patchés à la main par les utilisateurs.... "

Modifier les services UNIX n'est, a priori, pas a la portée du premier clampin venu ! Il faut tout de même un minimum de connaissance de son mac et donc patcher celui ci "manuellement" ne devra par conséquent pas poser de problème.
Ce qui est plus grave c'est l'affirmation, dangereuse pour les clampins justement, que ses systèmes sont sécurisés par défaut. C'est leur laisser croire qu'il peuvent presque tout se permettre sur les systemes pommés.
Qui, et les exemples ne manquent malheureusement pas, deviennent de plus en plus perméables. Le point le plus vulnérable du systeme restera toujours l'utilisateur.

avatar monsieurg33K | 

Pourquoi le correctif d'Apple n'est pas disponible sur le Mac App Store ?

avatar Lecompas | 

Je me pose aussi la question, toujours rien via le MAS…

avatar trolloloI | 

SSH et OpenVPN font partie des "services UNIX avancés" ?

avatar padbrest | 

Bonjour,
Est-ce que le patch "confidentiel" (le Mac AppStore ne l'a toujours pas publié) peut être appliqué sans risque sur une version Server ?
Merci !

avatar Lecompas | 

CONNEXION UTILISATEUR