Une faille critique dans le shell Bash découverte, OS X touché
Red Hat alerte d'une faille de sécurité majeure dans le shell Bash, un utilitaire que l'on retrouve dans la quasi-totalité des systèmes Unix. Il s'agit du shell standard d'OS X — il est disponible à travers le Terminal —, qui est donc touché par cette faille.
Baptisé bug Bash ou Shellshock, cette vulnérabilité permet à une personne malintentionnée d'exécuter du code à distance sur une machine. Red Hat explique que la vulnérabilité provient du fait qu'il est possible de créer des variables d'environnement avec des valeurs spéciales avant d'appeler Bash. Ces variables peuvent contenir du code qui est exécuté dès que le shell est invoqué.
Pour l'expert en sécurité Robert Graham, il s'agit d'une faille aussi grosse qu'Heartbleed, du fait du nombre gigantesque de logiciels qui font appel à Bash. Outre les systèmes d'exploitation, des serveurs web et des objets connectés l'utilisent.
Pour voir si son système est affecté par le bug, il faut entrer cette commande dans le Terminal :
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Si l'OS est vulnérable, la réponse donnée par le Terminal est :
vulnerable
this is a test
Dans le cas contraire, on obtient la réponse suivant :
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
OS X Yosemite bêta 3 est touché et Mavericks aussi. Il faut maintenant qu'Apple se montre réactive et propose rapidement un correctif. Plusieurs distributions Linux ont déjà été patchées. C'est le cas d'Ubuntu (10.04 LTS, 12.04 LTS et 14.04 LTS), Debian, Red Hat Enterprise Linux (versions 4 à 7), Fedora et CentOS (version 5 à 7).
J'y ai droit sur Mavericks (10.9.5) :/
Qui peut poster ce genre d'info à la vu de toutes les personnes potentiellement malveillantes . J'espère que les plus rapides ne seront pas "les vilains" ...
@Gio1378 :
Malheureusement il est souvent plus facile d'exploiter une faille que de la colmater.
Faille également présente sur la DP4, si jamais.
Faille présente sur OS X Lion 10.7.5
Mince... mon iMac est contaminé aussi... enfin, pas contaminé, fragilisé... :(
je suis content d'apprendre ici une faille dans le shell …
mais quelles sont les solutions pour y remédier ? aucune pour le moment ou des script / maj à faire ?
c'est dommage de ne pas aller au bout … je reste sur ma fin !
Sebastien
Bah dis donc ca va pas fort Apple en ce moment
@Caca :
Ce n'est pas Apple qui est en cause ici, le bash n'est pas développé par Apple et se retrouve dans quasi tous les systèmes UNIX / Linux, ce n'est donc pas propre à Mac OS X
@Lonesome Boy :
D'accord merci de la précision j'avais mal lu :-)
Par contre, c'est à Apple de réagir vite pour corriger son OS. Et connaissant leur rapidité de réaction, je me demande combien de mois cela va prendre...
@ la rédac
Elle n'est pas exploitable à distance, d'après ce que vous en décrivez. J'ai bon?
Si oui, il faut un accès physique à la machine pour l'exploiter. Idem pour les serveurs, non?
Et qui dit accès physique dit possibilité de faire ce qu'on veut, faille ou pas faille.
@Lonesome Boy :
10000000
Deuxième paragraphe: "cette vulnérabilité permet à une personne malintentionnée d'exécuter du code à distance sur une machine"
@jelzehe :
Ah ouais, j'avais pas vu. Par contre, je ne vois pas pourquoi cette faille fait qu'il peut y avoir une attaque distante. Ne faut-il pas la coupler avec une autre pour que ce soit possible?
C'est comme une injection sql en fait
Oui enfin non. Le SQL s'injecte dans le moindre champs input. Mais le Bash ? Est-ce qu'il y a le moindre crétin qui lance une commande exec avec comme arg l'input raw d'un utilisateur ?
Cette faille, c'est comme dire : J'ai une coffre plein d'argent dans un bunker à 10.000m sous terre renforcé par une armée de snipers, 5 epaisseurs de béton, 10 tourelles lance-roquettes, des caméras thermiques, etc mais le coffre n'est pas fermé à clef !
Ca fait des années qu'on me dit qu'Unix based c'est le pied (pas comme l'autre daube) parce que c'est Unix based et là pan 2 grosse faille cette année. Je dois croire qui maintenant?
@_mabeille_
Personne n'a jamais dit qu'UNIX était infaillible. Donc qu'on y trouve aussi des failles n'a rien d'étonnant.
Mais si t'as besoin d'un argument objectif, tu peux toujours compter les failles découvertes dans UNIX depuis qu'il existe et comparer ce nombre à celui de .NET
@joneskind ah bon? t'es sûr?
@ _mabeille_ : « Je dois croire qui maintenant? »
Moi.
Une autre question ? :-)
Merci pour cette info
Mouarf, vulnérabilité présente sur le PC en W7 du boulot où j'ai Cygwin !
Celebgate
Bendgate
Ios8.0.1gate
OAuthgate AKA safari libre service pour les hackers Gate
Bashgate ! (Bon ca c'est pas vraiment la faute d'Apple, mais hearthbleed aurait du leur apprendre à vérifier ce qu'ils intègrent dans leur OS)
Ca commence a faire beaucoup !
Et pendant ce temps les employés d'Apple se reposent 3 jours, ceux-là même dont on a l'impression qu'ils codent avec les pieds, et ont perdu quelques appareils de test pour les iPhones, depuis quelques temps.
N'oublions pas Colgate et Billgate
Bien vu ;)
Cette faille est effectivement critique, mais il ne faut pas paniquer non plus.
Car pour être exploitable à distance il faut que la machine soit exposée sur le net.
Si vous êtes derrière une box ou un routeur votre machine n'est visible de l'extérieur que si elle est déclaré comme destinataire de DMZ.
Sur un serveur classique pour être exploitable il faut que le shell soit accessible aux utilisateurs (ce qui n'est normalement pas le cas sur un serveur de prod bien configuré...)
Les failles existent sur Linux comme sur les autres OS, ensuite tout est une question de réactivité et de configuration...
@ ScotchE : « Car pour être exploitable à distance il faut que la machine soit exposée sur le net. »
Il doit aussi falloir que l'accès SSH soit activé, ce qui n'est probablement pas le cas sur la grande majorité des Mac.
[Édition : euh, non en fait, pas besoin de ça du tout — pas bien réveillé, moi…]
Comme qui les failles peuvent se cacher dans des éléments bien anciens ...
J'attend qu'on nous trouve une faille dans Vi ;-)
ça existe, on appelle ça un utilisateur ;-)
Attention, le patch de Redhat est partiel : https://access.redhat.com/articles/1200223 et n'a été testé que très partiellement.
[edit]
Effectivement le patch de Redhat est troué : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169
visiblement zsh est aussi affecté : https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c23
Et si on change de shell? tcsh, zsh, ksh par exemple?
Oops "visiblement zsh est aussi affecté : https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c23", donc pas zsh...
Ca fait ~20h que toutes les distribs linux/bsd ont un patch pour corriger en partie la faille.
Connaissant Apple, ça sera résolu d'ici 3 mois et seulement dispo pour Mavericks et Yosemite.
Si il y avait eu bash sur iOS, il aurait sans doute fallu attendre l'iphone 7 et iOS9....
Ben, ça date pas d'hier (!??)
Mon MacBook en 10.6.8 est lui aussi "vulnérable" ....
Merci à l'équipe de MacG pour cette info :)
Je suis vulnérable :'(
@joneskind
Mais si t'as besoin d'un argument objectif, tu peux toujours compter les failles découvertes dans UNIX depuis qu'il existe et comparer ce nombre à celui de .NET
Et c'est pas comme si windows update ne renfermait pas des correctifs de sécurités mélangés aux correctifs mineurs qui fait que l'on ne fait plus gaffe à ce qui est corrigé . Ça devient banal , et personne n'en fait un fromage , surtout pas Mabeille :-)
@philoo34
au bin ils sont où tes grandes affirmations Mac os x c'est sûr parce que c'est Unix?
Quand je disais tous les systèmes sont intrinsèquement faillible...
Quand on sait aussi qu'Apple a été épinglé non pas parce que le système est faillible (les gens sérieux le savent depuis longtemps) mais parce qu'ils ne corrigent les failles que des mois après voire années ...
J'ai perso sur des debians bcp de correctifs fréquents aussi .... mais bon c'est pas Apple .... hein
Bof… Manifestement, ça ne concerne pas ceux qui utilisent un vrai shell.
;-)
Utiliser un "vrai" shell oui, à condition d'avoir supprimé ceux qui sont faillibles.
Et au vu du nombre de scripts qui utilisent bash ou autres ce n'est pas forcément la panacée.
@ ScotchE : Pas faux. Comme quoi, quel que soit le sujet, un troll ne tient pas longtemps face à la réalité. :-)
La procédure pour patcher est un peu longue, mais plutôt simple : http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-the-remote-exploit-cve-2014-6271-and-cve-2014-7/146851#146851
Et ça marche...
Don’t panic !
http://www.thesafemac.com/what-does-the-shellshock-bug-affect/
Tout OSX est vulnérable depuis au moins Snow Léopard. Il ne reste plus qu'à espérer que Apple envoie rapidement un correctif de sécurité...
Un correctif de sécurité pour SL ????
Et la marmotte, elle emaballe la boulette de shit dans le papier alu....
@_mabeille_
"au bin ils sont où tes grandes affirmations Mac os x c'est sûr parce que c'est Unix?
Quand je disais tous les systèmes sont intrinsèquement faillible... "
Ben justement , je te le demande : elles sont où ???
Des fois juste un petit mot suffit à changer une phrase. C'est fou la langue française non ?
Donc il y a une différence entre dire :
"OS X c'est sur " ta fausse citation
Et
"OS X c'est PLUS sur "
Tu saisis la différence ?
@maman
sans compter Watergate et Bragate ;o)
OK, Je connais le chemin
J'ai fait le test sous sur mon Mac Pro "early 2008" sous Snow Leopard 10.6.8. Il est vulnérable. J'ai fait le test sur l'iMac de juin 2011 sous Snow Leopard 10.6.8 et il n'est pas vulnérable.
Je n'ai pas fait le test sous Mountain Lion sur mon Mac Pro (autre disque interne) que je n'utilise pratiquement jamais.
Il y n'y a pas que Mavericks et Yosemite, des versions plus anciennes de Mac OS X sont également touchées. En espérant qu'Apple ne les oublie pas...
A la lumière des dernières options prises par Apple en termes d'obsolescence programmée, tant matérielle que logicielle, je serait tenté de reprendre à mon compte la référence à la célèbre pub pour le chocolat qu'un autre participant a mentionné plus haut...
"... Et la marmotte..."