Apple avait promis une mise à jour de sécurité pour corriger les failles relatives à Bash, et c’est désormais chose faite. Lion, Mountain Lion et Mavericks sont concernés par la mise à jour, mais alors que les deux failles connues sont colmatées, deux autres pointent le bout de leur nez.
Apple corrige les deux failles qui avaient été recensées
La faille touchant Bash, estampillée Shellshock, a provoqué l’arrivée de nombreuses mises à jour pour les systèmes d’exploitation concernés, pour la plupart des dérivés d'Unix et de Linux. Apple avait néanmoins réagi pour expliquer que les utilisateurs d’OS X n’avaient pas de raison de craindre cette faille, en dépit des fondations Unix du système maison. Pourquoi ? Parce qu'elle ne peut être exploitée que lorsque Bash est défini comme shell par défaut, ce qui ne peut arriver sous OS X à moins d’avoir configuré les services Unix dans ce sens.
Quoi qu’il en soit, Apple fournit désormais une série de mises à jour à télécharger en fonction du système concerné :
Les tests ne font plus apparaître Shellshock dans les résultats après installation du correctif
On remarquera donc pour l’instant qu’aucune mise à jour n’est fournie pour Yosemite, actuellement en Developer Preview 8. Il y a fort à parier que la faille sera colmatée lors de la prochaine préversion. Notez en outre que les mises à jour ne sont pas encore disponibles dans les versions respectives de l’App Store. Il faut pour l’instant passer obligatoirement par les liens de téléchargement séparés pour installer les correctifs.
Deux autres failles apparaissent déjà
La première faille Shellshock a depuis enfanté d’autres petites brèches. Maintenant que les chercheurs en sécurité se sont penchés sur la question, Bash révèle d’autres faiblesses liées à sa gestion des variables d’environnement.
Comme indiqué par Ars Technica, le chercheur en sécurité David A. Wheeler a récemment indiqué dans un message sur la liste Open Source Software Security qu’il existait de vrais problèmes de sécurité avec Bash. En fait, les deux premiers patchs publiés ressemblent davantage selon lui à des rustines car ils ne commencent « même pas à résoudre le problème Shellshock sous-jacent ». Et d’expliquer que le parseur de Bash (qui analyse donc la syntaxe des commandes) n’a jamais été conçu pour être en phase avec les standards de sécurité d’aujourd’hui. Selon lui, Bash ne pourra pas être considéré comme sécurisé tant qu’il scannera automatiquement les variables d’environnement.
Il existe pour l’instant deux voies menant à des correctifs : l’une consiste à mettre en place des préfixes devant les fonctions Bash, l’autre à n’autoriser l’importation de variables d’environnement que lorsqu’elles sont spécifiquement réclamées. Mais dans un cas comme dans l’autre, ces changements cassent la rétrocompatibilité et demanderont souvent aux développeurs de revoir le fonctionnement de leurs applications.
Deux types de patchs sont donc en préparation, mais il est probable désormais que d’autres failles seront découvertes dans un futur proche. De fait, Apple et les autres éditeurs ont, dans la grande majorité des cas, corrigé les deux premières failles, mais il faut s'attendre à une autre série de correctifs.
Commentaires (63)
#1
Cette faille met une sacré pagaille quand même.
Le pire c’est chez Amazon qui est obligé de rebooter EC2.
#2
Ces prochaines semaines vont être tumultueuses. Déconnectez vos serveurs en attendant que ça se calme.
#3
Ou utilisez sh ou ksh " />
#4
#5
bon, après une nuit à réinstaller ma CentOS suite à une pénétration douteuse, la prochaine nuit blanche sera consacrée à revenir sous FreeBSD …
#6
#7
#8
Et d’expliquer que le parseur de Bash (qui analyse donc la syntaxe des commandes) n’a jamais été conçu pour être en phrase avec les standards de sécurité d’aujourd’hui.
Le code de Bash a été écrit dans les années 80 avec les standards des années 80 et n’a jamais été modifié.
Dans cet article, on a une petite vision de ce qu’il ne va pas dans le code.
#9
#10
#11
#12
#13
#14
#15
Il n’y a aucun vecteur d’attaque connu sur OSX actuellement avec ShellShock.
Sans parler du fait que 99% des Mac ne seront de toute façon jamais concerné par cette faille vu qu’extrêmement peu d’entre eux font tourner les services Unix nécessaire à pouvoir ensuite faire interpréter la variable par Bash.
#16
#17
#18
#19
#20
#21
Hello,
En parlant de Maverick, sait-on quand est-ce que la sortie est prévue?
#22
#23
#24
Maintenant remplacez Bash par Systemd et admirez le carnage
#25
#26
#27
#28
#29
#30
#31
#32
#33
#34
#35
#36
#37
#38
#39
#40
#41
#42
#43
#44
#45
#46
#47
Il n’y a aucun vecteur d’attaque connu sur OSX actuellement avec ShellShock.
Ce qui n’est ni vraisemblable ni rassurant.
Passer des scripts au bash c’était chercher la fessée et c’est donc mérité.
Maintenant en ce qui concerne ce qui a été écrit dans les années 80 j’aimerais bien qu’on me sorte un seul OS qui a été réellement refondu depuis cette époque.
Les injections SQL et autres sont toujours d’actualité quasiment 10 ans après leur explosion.
Ensuite les systèmes GNU/LINUX/BSD sont toujours largement en avance aux points en ce qui concerne la sécurité par rapport aux autres OS du marché.
Après je pense que les “programmeurs” auraient besoin d’un bon cours de remise à niveau, partant de l’électronique numérique, et allant jusqu’à leur langage plutôt que de partir direct sur du PHP et de forcer l’utilisation d’un script bash sans comprendre réellement ce qui se passe en dessous.
Enfin je ne vais pas perdre mon temps à lister toutes les bonnes blagues de windows mais disons BLASTER!!! Qui m’a pourri la vie pendant plusieurs mois …
#48
#49
#50
#51
Mais concrètement, on utilise comment la faille bash sans passer en cascade par une autre faille ?
#52
#53
#54
#55
#56
#57
Une fois de plus, APPLE laisse sur le bas-côté les versions anciennes d’OS X…
Si vous voulez compiler et installer les correctifs, c’est expliqué ici :
http://forum.macbidouille.com/index.php?showtopic=384027&st=60&p=3899854…
#58