Une faille critique dans le shell Bash découverte, OS X touché

Stéphane Moussie |

Red Hat alerte d'une faille de sécurité majeure dans le shell Bash, un utilitaire que l'on retrouve dans la quasi-totalité des systèmes Unix. Il s'agit du shell standard d'OS X — il est disponible à travers le Terminal —, qui est donc touché par cette faille.

Baptisé bug Bash ou Shellshock, cette vulnérabilité permet à une personne malintentionnée d'exécuter du code à distance sur une machine. Red Hat explique que la vulnérabilité provient du fait qu'il est possible de créer des variables d'environnement avec des valeurs spéciales avant d'appeler Bash. Ces variables peuvent contenir du code qui est exécuté dès que le shell est invoqué.

Pour l'expert en sécurité Robert Graham, il s'agit d'une faille aussi grosse qu'Heartbleed, du fait du nombre gigantesque de logiciels qui font appel à Bash. Outre les systèmes d'exploitation, des serveurs web et des objets connectés l'utilisent.

Pour voir si son système est affecté par le bug, il faut entrer cette commande dans le Terminal :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si l'OS est vulnérable, la réponse donnée par le Terminal est :

vulnerable
this is a test

Dans le cas contraire, on obtient la réponse suivant :

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

OS X Yosemite bêta 3 est touché et Mavericks aussi. Il faut maintenant qu'Apple se montre réactive et propose rapidement un correctif. Plusieurs distributions Linux ont déjà été patchées. C'est le cas d'Ubuntu (10.04 LTS, 12.04 LTS et 14.04 LTS), Debian, Red Hat Enterprise Linux (versions 4 à 7), Fedora et CentOS (version 5 à 7).


avatar Armaniac | 

J'y ai droit sur Mavericks (10.9.5) :/

avatar Gio1378 | 

Qui peut poster ce genre d'info à la vu de toutes les personnes potentiellement malveillantes . J'espère que les plus rapides ne seront pas "les vilains" ...

avatar Dark-mac | 

@Gio1378 :
Malheureusement il est souvent plus facile d'exploiter une faille que de la colmater.

avatar Ekitchi | 

Faille également présente sur la DP4, si jamais.

avatar benjila64 | 

Faille présente sur OS X Lion 10.7.5

avatar noooty | 

Mince... mon iMac est contaminé aussi... enfin, pas contaminé, fragilisé... :(

avatar apossium | 

je suis content d'apprendre ici une faille dans le shell …

mais quelles sont les solutions pour y remédier ? aucune pour le moment ou des script / maj à faire ?

c'est dommage de ne pas aller au bout … je reste sur ma fin !

Sebastien

avatar Caca | 

Bah dis donc ca va pas fort Apple en ce moment

avatar Lonesome Boy | 

@Caca :

Ce n'est pas Apple qui est en cause ici, le bash n'est pas développé par Apple et se retrouve dans quasi tous les systèmes UNIX / Linux, ce n'est donc pas propre à Mac OS X

avatar Caca | 

@Lonesome Boy :
D'accord merci de la précision j'avais mal lu :-)

avatar duc998 | 

Par contre, c'est à Apple de réagir vite pour corriger son OS. Et connaissant leur rapidité de réaction, je me demande combien de mois cela va prendre...

avatar Lonesome Boy | 

@ la rédac

Elle n'est pas exploitable à distance, d'après ce que vous en décrivez. J'ai bon?
Si oui, il faut un accès physique à la machine pour l'exploiter. Idem pour les serveurs, non?
Et qui dit accès physique dit possibilité de faire ce qu'on veut, faille ou pas faille.

avatar Caca | 

@Lonesome Boy :
10000000

avatar jelzehe | 

Deuxième paragraphe: "cette vulnérabilité permet à une personne malintentionnée d'exécuter du code à distance sur une machine"

avatar Lonesome Boy | 

@jelzehe :
Ah ouais, j'avais pas vu. Par contre, je ne vois pas pourquoi cette faille fait qu'il peut y avoir une attaque distante. Ne faut-il pas la coupler avec une autre pour que ce soit possible?

avatar jb18v | 

C'est comme une injection sql en fait

avatar BabyAzerty | 

Oui enfin non. Le SQL s'injecte dans le moindre champs input. Mais le Bash ? Est-ce qu'il y a le moindre crétin qui lance une commande exec avec comme arg l'input raw d'un utilisateur ?

Cette faille, c'est comme dire : J'ai une coffre plein d'argent dans un bunker à 10.000m sous terre renforcé par une armée de snipers, 5 epaisseurs de béton, 10 tourelles lance-roquettes, des caméras thermiques, etc mais le coffre n'est pas fermé à clef !

avatar _mabeille_ | 

Ca fait des années qu'on me dit qu'Unix based c'est le pied (pas comme l'autre daube) parce que c'est Unix based et là pan 2 grosse faille cette année. Je dois croire qui maintenant?

avatar joneskind | 

@_mabeille_

Personne n'a jamais dit qu'UNIX était infaillible. Donc qu'on y trouve aussi des failles n'a rien d'étonnant.

Mais si t'as besoin d'un argument objectif, tu peux toujours compter les failles découvertes dans UNIX depuis qu'il existe et comparer ce nombre à celui de .NET

avatar _mabeille_ | 

@joneskind ah bon? t'es sûr?

avatar BeePotato | 

@ _mabeille_ : « Je dois croire qui maintenant? »

Moi.
Une autre question ? :-)

avatar pacou | 

Merci pour cette info

avatar heret | 

Mouarf, vulnérabilité présente sur le PC en W7 du boulot où j'ai Cygwin !

avatar iRobot 5S | 

Celebgate

Bendgate

Ios8.0.1gate

OAuthgate AKA safari libre service pour les hackers Gate

Bashgate ! (Bon ca c'est pas vraiment la faute d'Apple, mais hearthbleed aurait du leur apprendre à vérifier ce qu'ils intègrent dans leur OS)

Ca commence a faire beaucoup !
Et pendant ce temps les employés d'Apple se reposent 3 jours, ceux-là même dont on a l'impression qu'ils codent avec les pieds, et ont perdu quelques appareils de test pour les iPhones, depuis quelques temps.

avatar mamam | 

N'oublions pas Colgate et Billgate

avatar TomC71 | 

Bien vu ;)

avatar ScotchE | 

Cette faille est effectivement critique, mais il ne faut pas paniquer non plus.

Car pour être exploitable à distance il faut que la machine soit exposée sur le net.
Si vous êtes derrière une box ou un routeur votre machine n'est visible de l'extérieur que si elle est déclaré comme destinataire de DMZ.

Sur un serveur classique pour être exploitable il faut que le shell soit accessible aux utilisateurs (ce qui n'est normalement pas le cas sur un serveur de prod bien configuré...)

Les failles existent sur Linux comme sur les autres OS, ensuite tout est une question de réactivité et de configuration...

avatar BeePotato | 

@ ScotchE : « Car pour être exploitable à distance il faut que la machine soit exposée sur le net. »

Il doit aussi falloir que l'accès SSH soit activé, ce qui n'est probablement pas le cas sur la grande majorité des Mac.

[Édition : euh, non en fait, pas besoin de ça du tout — pas bien réveillé, moi…]

avatar John Maynard Keynes | 

Comme qui les failles peuvent se cacher dans des éléments bien anciens ...

J'attend qu'on nous trouve une faille dans Vi ;-)

avatar ScotchE | 

ça existe, on appelle ça un utilisateur ;-)

avatar lmouillart | 

Attention, le patch de Redhat est partiel : https://access.redhat.com/articles/1200223 et n'a été testé que très partiellement.

[edit]
Effectivement le patch de Redhat est troué : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169

visiblement zsh est aussi affecté : https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c23

avatar rerex | 

Et si on change de shell? tcsh, zsh, ksh par exemple?

Oops "visiblement zsh est aussi affecté : https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c23", donc pas zsh...

avatar Psylo | 

Ca fait ~20h que toutes les distribs linux/bsd ont un patch pour corriger en partie la faille.
Connaissant Apple, ça sera résolu d'ici 3 mois et seulement dispo pour Mavericks et Yosemite.
Si il y avait eu bash sur iOS, il aurait sans doute fallu attendre l'iphone 7 et iOS9....

avatar GoKart | 

Ben, ça date pas d'hier (!??)
Mon MacBook en 10.6.8 est lui aussi "vulnérable" ....

avatar LaurentR | 

Merci à l'équipe de MacG pour cette info :)

avatar Caca | 

Je suis vulnérable :'(

avatar philoo34 | 

@joneskind

Mais si t'as besoin d'un argument objectif, tu peux toujours compter les failles découvertes dans UNIX depuis qu'il existe et comparer ce nombre à celui de .NET

Et c'est pas comme si windows update ne renfermait pas des correctifs de sécurités mélangés aux correctifs mineurs qui fait que l'on ne fait plus gaffe à ce qui est corrigé . Ça devient banal , et personne n'en fait un fromage , surtout pas Mabeille :-)

avatar _mabeille_ | 

@philoo34
au bin ils sont où tes grandes affirmations Mac os x c'est sûr parce que c'est Unix?
Quand je disais tous les systèmes sont intrinsèquement faillible...

Quand on sait aussi qu'Apple a été épinglé non pas parce que le système est faillible (les gens sérieux le savent depuis longtemps) mais parce qu'ils ne corrigent les failles que des mois après voire années ...

J'ai perso sur des debians bcp de correctifs fréquents aussi .... mais bon c'est pas Apple .... hein

avatar BeePotato | 

Bof… Manifestement, ça ne concerne pas ceux qui utilisent un vrai shell.
;-)

avatar ScotchE | 

Utiliser un "vrai" shell oui, à condition d'avoir supprimé ceux qui sont faillibles.

Et au vu du nombre de scripts qui utilisent bash ou autres ce n'est pas forcément la panacée.

avatar BeePotato | 

@ ScotchE : Pas faux. Comme quoi, quel que soit le sujet, un troll ne tient pas longtemps face à la réalité. :-)

avatar UglyStuff | 
avatar Moonwalker | 
avatar Laurent S from Nancy | 

Tout OSX est vulnérable depuis au moins Snow Léopard. Il ne reste plus qu'à espérer que Apple envoie rapidement un correctif de sécurité...

avatar Psylo | 

Un correctif de sécurité pour SL ????
Et la marmotte, elle emaballe la boulette de shit dans le papier alu....

avatar philoo34 | 

@_mabeille_

"au bin ils sont où tes grandes affirmations Mac os x c'est sûr parce que c'est Unix?
Quand je disais tous les systèmes sont intrinsèquement faillible... "

Ben justement , je te le demande : elles sont où ???
Des fois juste un petit mot suffit à changer une phrase. C'est fou la langue française non ?

Donc il y a une différence entre dire :
"OS X c'est sur " ta fausse citation
Et
"OS X c'est PLUS sur "
Tu saisis la différence ?

avatar Ultranova | 

@maman

sans compter Watergate et Bragate ;o)

OK, Je connais le chemin

avatar Jacti | 

J'ai fait le test sous sur mon Mac Pro "early 2008" sous Snow Leopard 10.6.8. Il est vulnérable. J'ai fait le test sur l'iMac de juin 2011 sous Snow Leopard 10.6.8 et il n'est pas vulnérable.
Je n'ai pas fait le test sous Mountain Lion sur mon Mac Pro (autre disque interne) que je n'utilise pratiquement jamais.

avatar Macounette | 

Il y n'y a pas que Mavericks et Yosemite, des versions plus anciennes de Mac OS X sont également touchées. En espérant qu'Apple ne les oublie pas...

avatar UglyStuff | 

A la lumière des dernières options prises par Apple en termes d'obsolescence programmée, tant matérielle que logicielle, je serait tenté de reprendre à mon compte la référence à la célèbre pub pour le chocolat qu'un autre participant a mentionné plus haut...

"... Et la marmotte..."

CONNEXION UTILISATEUR