Linux / Unix : une très grave faille affecte le shell Bash

La vulnérabilité est présente sur de nombreux environnements Linux, mais aussi sur Mac OS X. Sa gravité est comparée à celle de la faille Heartbleed.

Une très grave faille affectant Bash, le shell Unix du projet GNU, a été découverte. Certains spécialistes n'hésitent à comparer sa gravité celle d'Heartbleed car Bash est utilisé au sein de très nombreux environnements Unix ou Linux. Découverte par Stéphane Chazelas, la faille pourrait aussi être présente depuis longtemps dans de nombreuses déclinaisons Linux pour entreprise. Les serveurs Web Apache sont aussi particulièrement exposés. Pire, "un grand nombre de programmes peuvent interagir avec le shell. Nous ne pourrons donc jamais lister tous les logiciels que cette faille rend vulnérables", explique aujourd'hui l'expert Robert Graham. Correctement exploitée, la vulnérabilité permet à un attaquant d'exécuter son code dès que le shell est invoqué, ouvrant la voie à de nombreuses attaques.

Des patchs ont commencé à être proposés pour plusieurs distributions Linux (RHLE, CentOS, Ubuntu, Debian,...) et d'autres devraient encore suivre. Mac OS X semble aussi être vulnérable, et ses utilisateurs peuvent même vérifier s'ils sont affectés, en attendant la réaction de la firme à la pomme.

Mise à jour du 26/09. Apple a réagi, affirmant qu'OS X était par défaut non vulnérable. Seuls quelques utilisateurs avancés le sont. D'après Cupertino, il s'agit seulement de ceux qui ont changé la configuration de certains services Unix. Et pour ces utilisateurs, Apple a promis de fournir rapidement un patch.

Pirate / Malware