Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Shellshock : de nouveaux correctifs disponibles
Apple minimise les conséquences pour les utilisateurs d'OS X

Le , par Hinault Romaric

0PARTAGES

3  2 
Mise à jour du 30/09/2014, des correctifs disponibles pour OS X

Apple a publié des correctifs pour les utilisateurs d’OS X pour corriger la faille critique « Shellshock » dans Bash. Les correctifs sont disponibles pour OS X Lion, OS X Mountain Lion et OS X Mavericks.

Aucun correctif n’est disponible pour les versions d’OS antérieures à la 10.7. La prochaine préversion d’OS X Yosemite intégrera directement le correctif. Apple ne compte donc pas publier un correctif pour les utilisateurs des préversions de Yosemite en cours de tests.

Les correctifs d’Apple mettent à jour le Shell Bash d’OS X qui passe de la version 3.2.51 à la version 3.2.53. Avant la sortie de ces correctifs, Apple avait signalé qu’OS X était protégé par défaut contre des attaques distantes exploitant cette vulnérabilité, sauf si l’utilisateur a configuré les services Unix avancés sur le terminal.

Maj de kOrt3x

De nouveaux correctifs sont disponibles pour l’interpréteur en ligne de commande Bash. Ces mises jours corrigent les problèmes qui avaient été rencontrés avec les précédentes mises à jour qui avaient été publiées pour patcher la faille « Shellshock ».

Les premiers correctifs pour « Shellshock » avaient été publiés par les développeurs de Bash et les fournisseurs de systèmes d’exploitation Linux et Unix quelques jours après la révélation de la vulnérabilité découverte par le développeur français Stephane Schazelas. Quelques heures après, des experts en sécurité avaient affirmé que d’autres failles similaires à Shellshock étaient encore présentes dans Bash. Toutefois, les nouvelles failles n’avaient pas la même gravité que Shellshock.

Les nouvelles versions de Bash viennent corriger tous ces problèmes. Les correctifs ont été publiés par les développeurs de Red Hat. Oracle a également préparé des correctifs pour ses systèmes d’exploitation Oracle Linux et Solaris. Le géant des bases de données a également affirmé que plus de 30 de ses produits étaient vulnérables à Shellshock.

Apple de son côté a minimisé les conséquences pour les utilisateurs de Mac. Bien que les récentes versions d’OS X, y compris OS X Mavericks soient vulnérables. Un porte-parole d’Apple a affirmé que les utilisateurs de son système d’exploitation ne devraient pas s’inquiéter. Selon celui-ci, OS X serait protégé par défaut contre des attaques distantes exploitant cette vulnérabilité, sauf si l’utilisateur a configuré les services Unix avancés sur le terminal. Néanmoins, Apple promet de publier un correctif dans les jours qui suivent. En ce qui concerne iOS, il ne serait pas concerné par cette vulnérabilité, tout comme les systèmes d’exploitation Windows.

Pour rappel, « Shellshock » est considérée comme une faille bien plus grave que Heartbleed. Elle a obtenu un score de 10/10 pour sa « gravité », son « impact » et son « exploitabilité » sur le système utilisé par le gouvernement américain pour suivre les failles de sécurité informatique. La vulnérabilité se situe au niveau de la manipulation des variables d’environnement dans Bash. Avec des variables spécialement conçues, un pirate pourrait utiliser cette vulnérabilité pour exécuter à distance des commandes Shell et prendre le contrôle total d’un poste affecté.

La faille daterait de 1992 (22 ans), bien avant que Bash ne se retrouve dans la majorité des serveurs utilisés sur le Web. La faille pourrait donc demeurer une préoccupation pendant un certain moment, d’autant plus que certains systèmes encore utilisés pourraient ne jamais recevoir de correctifs, puisqu’ils ne sont plus pris en charge par leur fournisseur.

Des experts en sécurité ont affirmé que des malwares exploiteraient déjà ces vulnérabilités. Des pirates auraient mis sur pied des programmes pour scanner le Web et détecter les systèmes vulnérables afin de prendre leur contrôle et y installer des virus.

Source : Red Hat, Reuters

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de elssar
Membre actif https://www.developpez.com
Le 08/10/2014 à 12:45
Absolument pas ! La plupart des experts en sécurité ont connaissances du fait que le milieu open source n'est pas fiable à 100%(rien ne l'est en informatique).
C'est pour ça qu'ils mettent en place des process au cas ou leur système est vulnérable, voir au cas ou un pirate s'introduit. Peut-être que certains admin sys pensent à tord que toute est fiable. Mais à mon avis ça ne représente pas la majorité.

Et ça ne remet pas en cause l'open source. Je préfère avoir une faille de temps en temps que beaucoup de failles.

Ah et je ne suis pas vraiment d'accord avec le mythe du "les hackers ne s'intéresse pas à pirater du linux vu la faible part de marché". C'est totalement faux, je suis d'accord pour l'os d'apple. Mais concernant linux il est très très très largement plus répandu que Windows. La majorité des systèmes utilisant un processeur utilise un kernel linux.(distributeur de banque, décodeur tv etc etc).

D'autre part la grande majorité des serveurs sont sur des produits open-source et des distrib linux. Alors certes chez le particulier il est moins répandu. Mais le secteur des ordinateurs perso ne représente pas à lui tout seul les systèmes informatiques. Et je ne parle même pas du prestige. Donc je pense qu'un pirate à aussi toute intérêt à chercher des failles de se côté.
5  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 08/10/2014 à 12:33
Citation Envoyé par persé Voir le message
je pense qu'avec ces deux grande failles on est arrivé à la fin du mythe que linux et le systéme le plus sécurisé pas de failles pas de virus, la seule chose qui lui a permet de rester peu vulnirable par rapport aux autres systémes est que le hakers ne s'interessaient pas trop à l'attaquer c'est sa part du marché, là avec les declaration de snowden en vie une ruée vers l'open source du coup on s'interesse baucoup plus aux failles qui datent de plus de 22 ans.
Euh, comment dire: autant pour le marché grand public, GNU/linux a une part de marché anecdotique, autant pour les hackeur il est plus fructueux de s'attaquer à des millions de sites webs hebergés sur des serveurs de cette famille qu'à l'ordinateur sous windows de Mme michu

Un hackeur preferera hacker un site banquaire, que le PC d'un de ses clients
4  0 
Avatar de kOrt3x
Modérateur https://www.developpez.com
Le 29/09/2014 à 23:56
Apple vient de mettre à disposition des correctifs pour OS X :

OS X bash Update 1.0 - OS X Lion
OS X bash Update 1.0 – OS X Mountain Lion
OS X bash Update 1.0 – OS X Mavericks

Apparemment, pas de mises à jour pour les versions antérieurs à 10.7 et pas de correctif pour la prochaine version de OS X Yosemite, elle serait directement intégrée.
3  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 07/10/2014 à 15:19
Pour être bien d'accord:
Si on a un apache utilisant php en "module apache" et non CGI/fast CGI on est à l'abris il me semble : le terminal de www-data etant /bin/sh (dash) et non bash. On est d'accord ?
1  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 30/10/2014 à 10:59
Pour avoir fait un nouvelle installation de debian sur une dédibox, faites attention. La faille est encore dans l'os, il faut donc patcher !
1  0 
Avatar de mapmip
Membre averti https://www.developpez.com
Le 30/09/2014 à 16:55
pour centos c'est problematique
vu que yum update bash
ne réinstalle qu'une vieille version
0  0 
Avatar de Dumbeldor
Membre actif https://www.developpez.com
Le 30/09/2014 à 22:16
Pour ubuntu et debian il y a eu une correction du coup ?
Faut que je tente de mettre à jours.
0  0 
Avatar de kOrt3x
Modérateur https://www.developpez.com
Le 30/09/2014 à 22:51
Citation Envoyé par Dumbeldor Voir le message
Pour ubuntu et debian il y a eu une correction du coup ?
Faut que je tente de mettre à jours.
Deux mises à jour en quelques jours d'intervalle pour Ubuntu Server.
0  0 
Avatar de Jipété
Expert éminent sénior https://www.developpez.com
Le 30/09/2014 à 23:45
Citation Envoyé par kOrt3x Voir le message
Deux mises à jour en quelques jours d'intervalle pour Ubuntu Server.
Idem sur une Debian Wheezy pour une machine desktop en passant par Synaptic.
0  0 
Avatar de Beanux
Membre éclairé https://www.developpez.com
Le 01/10/2014 à 9:49
Idem pour Centos.

Surement une amélioration du fix, car le 1er patch était considéré comme incomplet et entrainant de potentiels crash.
0  0