Shellshock : Apple promet une mise à jour rapide

Anthony Nelzin-Santos |

« L’immense majorité des utilisateurs d’OS X ne risque rien de la faille du Bash récemment découverte », a assuré Apple à iMore. « Avec OS X, les systèmes sont sécurisés par défaut et ne sont exposés à des attaques à distance que si les utilisateurs configurent les services UNIX avancés. »

Il n’en demeure pas moins qu’OS X Mavericks et OS X Yosemite sont touchés par la faille dite Shellshock, et qu’il suffit d’une mauvaise configuration ou d’une application un peu trop gourmande pour avoir activé les services en question. Apple travaille donc « à une mise à jour rapide », et pas uniquement « pour les utilisateurs UNIX avancés » comme elle le prétend.


avatar Moonwalker | 

Bon, le patch est en cours. On ne va pas en faire tout un plat.

Y’a des saloperies d’adwares qui sont distribués par des plateformes de téléchargements qui foutent bien plus la merde, sans parler des logiciels de désinstallation et de l’abjecte Mackeeper.

avatar Grug | 

l’abjecte Mackeeper… dont les pubs continuent à orner Macgé ! ;)

avatar Locke | 

Encore une tempête dans un verre d'eau qui n'est rien en effet avec certains logiciels dont un est cité parmi tant d'autres.

Si certains utilisateurs pouvaient perdre leurs mauvaises habitudes de PCistes, leurs Macs ne s'en porteraient que mieux.

avatar broc_058 | 

On s improvise pas administrateur de système. La règle est simple ne pas monter des serveurs DnS ou serveur de contrôle de domaine, ou de connexion type LDAP un autre service. Chaque machine doit ajout un environnement dédie par application
Pensez a chroot les donnes importantes. Utilisez l environnement selinux qui réduit le problème mais il faut mettre la main dans le cambouis pour installer les applications. Ne pas mettre le fichier user sur la même machine que la base des stockes
Séparer le serveur web de la base de donnée. Créer une adresse pour l environnement web que celle de la machine

avatar oomu | 

et dans le chroot, je mets Bash comme shell de login ? warf warf warf...

avatar Istrydhil (non vérifié) | 

Toujours le même discours qui consiste à dire qu'on ne risque rien ! Ce n'est vraiment pas rassurant comme réponse . C'est une faille importante mais il n'y pas de quoi s'inquiéter ?!

avatar oomu | 

c'est une faille importante mais vous ne risquez pas grand chose vous et votre MAC DE BUREAU.

par contre, vous feriez des services unix tel Apache avec du mod_cgi (ce qui n'est plus très courant de nos jours), ca demande donc un cadre bien spécifique, et autre services qui exécuteraient des taches systèmes via une ouverture de session/shell et qui utiliserait bash au lieu de sh (comme très souvent recommandé)

vous pourriez AVOIR LE BUG DE LA MORT !

Autrement dit, dans mon travail, oui ce n'était pas à prendre à la légère, mais non ça ne signifie pas que votre mac de bureau est en situation d'être concerné par ce bug.

De base, Os X ne met rien en oeuvre où ce bug serait exploitable, pas même quand on active le serveur web apache intégré (mais qu'Apple ne montre plus dans les réglages systèmes... Signe des temps, les gens ne partagent rien depuis leur propre ordi, tout est en clouuuudeuh)

avatar patrick86 | 

"pas même quand on active le serveur web apache intégré"

Il est présent dans OS X sans besoin d'installer OS X Server ?

avatar MaksOuw | 

Yep, il a toujours été présent dans OS X. Sous Snow Léopard dans les réglages tu y avais déjà accès, mais ils l'ont caché pour une raison obscure dans les versions suivantes (ou peut être depuis Mavericks je sais plus).

Enfin si je dis pas n'imp tu lances un Shell (en bash hein ? :p ) et tu fais juste un apache2 start et c'est parti. Après j'ai un doute sur la commande à exécuter mais dans l'esprit c'est ça :)

avatar Link1993 | 

@MaksOuw :
Je te confirme depuis jaguar. (Pas utilisé les précédents félins)

avatar Djerfy | 

J'ai déjà mis le patch Bash perso :)
Si vous le souhaitez, je peux vous donner mon script ;)

avatar r e m y | 

il n'en reste pas moins qu'en mettant son MacBook Pro Retina dans la poche avant de son Jean, et sans même avoir à faire le moindre shock sur le shell du computer, on risque de le plier et qu'Apple refuse toujours de reconnaître cette faille majeure de sécurité!

Quand vont-ils diffuser une mise à jour du firmware permettant de renforcer la structure de la coque!

avatar jb18v | 

@r e m y :
J'ai ri ^^

avatar guigus31 | 

Quoi?? Une mise a jour de Sherlock?? :)

avatar r e m y | 

t'as raison, il était temps!
ce bon vieux Sherlock... tout le monde l'a oublié! c'était pourtant Siri avant l"heure

avatar Link1993 | 

@patrick86 :
Oui, juste le processus a lancer (en plus des réglages dans /etc/apache2)

avatar patrick86 | 

@Link1993 :

Ok, merci

avatar heret | 

Shellshock ? non, shellgate !

avatar BAT | 

J'ai mis a jour bash avec homebrew .. disponible aussi avec l'interface graphique Cakebrew . vulnerabilité combler .

avatar hartgers | 

Mon Mac est sous OSX Lion et il est aussi touché. J'espère qu'Apple aura une pensée pour les utilisateurs de plus anciennes versions que Mavericks...

avatar Laurent S from Nancy | 

Comme on l'a dit sur un autre topic, qu'est-ce qui est le plus dangereux, la faille en elle-même ou le fait qu'elle soit ultra-médiatisée au point de donner des idées à des individus mal intentionnés ?

Ca me rappelle l'époque ou les médias annonçaient que tel train transportant tels déchets nucléaires traverseraient telle ville...

avatar jld73 | 

Tu dis "« pour les utilisateurs UNIX avancés » comme elle le prétend."
Pourquoi, tu doutes que seuls les utilisateurs avancés soient concernés ??

avatar DVP | 

A ce que j'ai lu, la faille touche Bash depuis 20 ans.
Cela veut dire que TOUTES les versions d'OSX depuis la 10.0 sont impactées.
Est ce qu'Apple va sortir un correctifs pour ces vieilles versions ?

Parce que tout le monde n'a pas forcement la possibilité de mettre les derniers OS.
Tous les macs PPC sont bloqué avec 10.5 par exemple, ceux qui ont besoin de rosetta et qui sont restés en 10.6, et en entreprise ou tout le monde n'a pas encore migré sous 10.9

avatar agodfrin | 

A moins de faire tourner un site web sur son Mac (Macbook, iMac, Mac Mini) qui de plus utilise Apache et mod_cgi, le risque est nul ou proche de zéro. Par contre un

@laurent: "Comme on l'a dit sur un autre topic, qu'est-ce qui est le plus dangereux, la faille en elle-même ou le fait qu'elle soit ultra-médiatisée au point de donner des idées à des individus mal intentionnés ?"

Je me suis fait la même réflexion. Personne n'avait vu cette faille, et en fait il fallait vraiment tomber dessus: elle est basée sur la possibilité offerte par BASH de pouvoir définir des fonctions au moyen de variables d'environnement (afin de pouvoir les rendre disponible dans des process fils). Je ne savais même pas que c'était possible ...

Stéphane Chazelas qui l'a découverte n'a pas dit comment il est tombé dessus, mais je soupçonne que c'est plutôt par hasard que par une recherche systématique de vulnérabilités. Il l'a aussitôt signalée aux développeurs de BASH qui ont aussitôt corrigé le problème dans les diverses versions de BASH.

La médiatisation n'est survenue qu'après la disponibilité de cette correction A partir de de moment, il devenait *indispensable* de médiatiser sa présence afin que les admin de serveurs Unix ou Linux affectés et potentiellement vulnérables puissent appliquer la correction. Évidemment, cette médiatisation a eu pour effet secondaire d'aussi alerter les malfaisants qui ont commencé des scans afin de trouver les serveurs sensibles au problème.

C'est maintenant une course entre les admins qui appliquent le correctif et les malfaisants qui développent des exploits.

avatar agodfrin | 

Cela dit, Apple devrait se bouger et distribuer un fix pour OS X asap. Même si le risque pour 99.9% des utilisateurs de Mac est null, il faut corriger - avant qu'on n'en parle au journal de 20h. Entre l'icloud gate, les soupçons de fraude fiscale, le patch IOS 8.0.1, l'iPhone 6 pliant, ça commence à faire beaucoup.

Je suis surpris que ce problème n'ait pas été pris plus au sérieux par Apple - d'autant plus que le fix existe (le code des multiples versions de bash a été corrigé). L'effort pour apple c'est de le builder et de fabriquer le patch avant de le diffuser sur le Mac app store.

avatar Laurent S from Nancy | 

"Même si le risque pour 99.9% des utilisateurs de Mac est null, il faut corriger - avant qu'on n'en parle au journal de 20h. "

J'imagine le titre bien racoleur : une faille critique de sécurité touche l'ensemble des ordinateurs macintosh de la marque Apple.

Sans vraiment exagérer ça pourrait faire très mal à l'image de marque de la pomme, sans doute plus qu'un iphone qui se plie ou une fraude fiscale, car la sécurité a été pendant des années un des gros arguments d'Apple pour inciter les gens à lâcher leurs PC pour passer au Mac.

avatar agodfrin | 

@Laurent: "J'imagine le titre bien racoleur : une faille critique de sécurité touche l'ensemble des ordinateurs macintosh de la marque Apple."

Exactement! Avec en prime le fait que la faille est enfantine à observer: une simple ligne à dérouler dans le terminal!

Enfin, jusqu'à présent, l'info n'est pas encore passée dans le grand public.

Et de plus, Apple vient juste (enfin!) de publier le correctif: http://support.apple.com/kb/DL1769?viewlocale=en_US&locale=en_US

Je viens d'appliquer le fix. Il fait passer la version de Bash de 3.2.51(1) à 3.2.53(1), et la fuite est de fait maintenant corrigée.

Il devrait être dispo dans le Mac app store sous peu.

CONNEXION UTILISATEUR