Shellshock : de nouveaux correctifs disponibles
Apple minimise les conséquences pour les utilisateurs d'OS X

Le , par Hinault Romaric, Responsable .NET
Mise à jour du 30/09/2014, des correctifs disponibles pour OS X

Apple a publié des correctifs pour les utilisateurs d’OS X pour corriger la faille critique « Shellshock » dans Bash. Les correctifs sont disponibles pour OS X Lion, OS X Mountain Lion et OS X Mavericks.

Aucun correctif n’est disponible pour les versions d’OS antérieures à la 10.7. La prochaine préversion d’OS X Yosemite intégrera directement le correctif. Apple ne compte donc pas publier un correctif pour les utilisateurs des préversions de Yosemite en cours de tests.

Les correctifs d’Apple mettent à jour le Shell Bash d’OS X qui passe de la version 3.2.51 à la version 3.2.53. Avant la sortie de ces correctifs, Apple avait signalé qu’OS X était protégé par défaut contre des attaques distantes exploitant cette vulnérabilité, sauf si l’utilisateur a configuré les services Unix avancés sur le terminal.

Maj de kOrt3x

De nouveaux correctifs sont disponibles pour l’interpréteur en ligne de commande Bash. Ces mises jours corrigent les problèmes qui avaient été rencontrés avec les précédentes mises à jour qui avaient été publiées pour patcher la faille « Shellshock ».

Les premiers correctifs pour « Shellshock » avaient été publiés par les développeurs de Bash et les fournisseurs de systèmes d’exploitation Linux et Unix quelques jours après la révélation de la vulnérabilité découverte par le développeur français Stephane Schazelas. Quelques heures après, des experts en sécurité avaient affirmé que d’autres failles similaires à Shellshock étaient encore présentes dans Bash. Toutefois, les nouvelles failles n’avaient pas la même gravité que Shellshock.

Les nouvelles versions de Bash viennent corriger tous ces problèmes. Les correctifs ont été publiés par les développeurs de Red Hat. Oracle a également préparé des correctifs pour ses systèmes d’exploitation Oracle Linux et Solaris. Le géant des bases de données a également affirmé que plus de 30 de ses produits étaient vulnérables à Shellshock.

Apple de son côté a minimisé les conséquences pour les utilisateurs de Mac. Bien que les récentes versions d’OS X, y compris OS X Mavericks soient vulnérables. Un porte-parole d’Apple a affirmé que les utilisateurs de son système d’exploitation ne devraient pas s’inquiéter. Selon celui-ci, OS X serait protégé par défaut contre des attaques distantes exploitant cette vulnérabilité, sauf si l’utilisateur a configuré les services Unix avancés sur le terminal. Néanmoins, Apple promet de publier un correctif dans les jours qui suivent. En ce qui concerne iOS, il ne serait pas concerné par cette vulnérabilité, tout comme les systèmes d’exploitation Windows.

Pour rappel, « Shellshock » est considérée comme une faille bien plus grave que Heartbleed. Elle a obtenu un score de 10/10 pour sa « gravité », son « impact » et son « exploitabilité » sur le système utilisé par le gouvernement américain pour suivre les failles de sécurité informatique. La vulnérabilité se situe au niveau de la manipulation des variables d’environnement dans Bash. Avec des variables spécialement conçues, un pirate pourrait utiliser cette vulnérabilité pour exécuter à distance des commandes Shell et prendre le contrôle total d’un poste affecté.

La faille daterait de 1992 (22 ans), bien avant que Bash ne se retrouve dans la majorité des serveurs utilisés sur le Web. La faille pourrait donc demeurer une préoccupation pendant un certain moment, d’autant plus que certains systèmes encore utilisés pourraient ne jamais recevoir de correctifs, puisqu’ils ne sont plus pris en charge par leur fournisseur.

Des experts en sécurité ont affirmé que des malwares exploiteraient déjà ces vulnérabilités. Des pirates auraient mis sur pied des programmes pour scanner le Web et détecter les systèmes vulnérables afin de prendre leur contrôle et y installer des virus.

Source : Red Hat, Reuters


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kOrt3x kOrt3x - Modérateur https://www.developpez.com
le 29/09/2014 à 23:56
Apple vient de mettre à disposition des correctifs pour OS X :

OS X bash Update 1.0 - OS X Lion
OS X bash Update 1.0 – OS X Mountain Lion
OS X bash Update 1.0 – OS X Mavericks

Apparemment, pas de mises à jour pour les versions antérieurs à 10.7 et pas de correctif pour la prochaine version de OS X Yosemite, elle serait directement intégrée.
Avatar de mapmip mapmip - Membre actif https://www.developpez.com
le 30/09/2014 à 16:55
pour centos c'est problematique
vu que yum update bash
ne réinstalle qu'une vieille version
Avatar de Dumbeldor Dumbeldor - Membre actif https://www.developpez.com
le 30/09/2014 à 22:16
Pour ubuntu et debian il y a eu une correction du coup ?
Faut que je tente de mettre à jours.
Avatar de kOrt3x kOrt3x - Modérateur https://www.developpez.com
le 30/09/2014 à 22:51
Citation Envoyé par Dumbeldor Voir le message
Pour ubuntu et debian il y a eu une correction du coup ?
Faut que je tente de mettre à jours.
Deux mises à jour en quelques jours d'intervalle pour Ubuntu Server.
Avatar de Jipété Jipété - Expert éminent https://www.developpez.com
le 30/09/2014 à 23:45
Citation Envoyé par kOrt3x Voir le message
Deux mises à jour en quelques jours d'intervalle pour Ubuntu Server.
Idem sur une Debian Wheezy pour une machine desktop en passant par Synaptic.
Avatar de Beanux Beanux - Membre éclairé https://www.developpez.com
le 01/10/2014 à 9:49
Idem pour Centos.

Surement une amélioration du fix, car le 1er patch était considéré comme incomplet et entrainant de potentiels crash.
Avatar de Dumbeldor Dumbeldor - Membre actif https://www.developpez.com
le 01/10/2014 à 19:21
Ok super merci !
C'était rapide, super !
Avatar de Robert0675 Robert0675 - Nouveau Candidat au Club https://www.developpez.com
le 02/10/2014 à 15:36
La faille semble être corrigé sur Yosemite GM
Avatar de agodfrin agodfrin - Membre régulier https://www.developpez.com
le 02/10/2014 à 18:13
Enfin - le loup est sorti de la bergerie: Le Monde vient de publier un article sur le sujet ici

L'article est sobre. Davantage que l'article de CNN: 'Shellshock' can hack lights in your house qui fait dans le sensationnel.

J'attends de voir le journal de 20h ce soir sur TF1.
Avatar de Cedric Chevalier Cedric Chevalier - Expert éminent sénior https://www.developpez.com
le 07/10/2014 à 14:39
Shellshock : Yahoo! Et WinZip auraient été victimes d’attaques par des pirates
Yahoo! dément

Après Heartbleed, l’univers de la sécurité informatique a été secoué par l’apparition d’une autre menace importante qui touche le populaire interpréteur en ligne de commande Bash, utilisé comme Shell dans plusieurs systèmes d’exploitation.

Cette faille, vieille de 22 ans pratiquement, est très aisée à exploiter, comme a pu le souligner Dan Guido, PDG du cabinet de sécurité Trail of Bit.

Un hacker éthique du nom de Jonathan Hall, s’est mis à la chasse de cette faille dans les serveurs des géants de l’industrie informatique. Parmi les cibles qu’il a visées, on note entre autres Yahoo!, WinZip et Lycos.

Tous les serveurs de ces firmes ont été testés positifs à la faille critique Shellshock. Jonathan Hall affirme même que ces trois plateformes auraient été la cible des pirates roumains, qui ont essayé d’exploiter la vulnérabilité pour infecter des serveurs et créer un réseau de PC zombies.
.
Cependant, les réponses et les réactions des firmes sont très différentes. Winzip a admis la faille de sécurité au niveau de ses serveurs même si le processus a été très lent.

Yahoo! également a reconnu que ses serveurs étaient vulnérables. Mais, s’étonne le hacker, dans leur communication tout se passe comme s’ils étaient au courant de la vulnérabilité depuis le début. Autrement dit, le hacker n’aurait été d’aucune aide dans la détection de la faille de sécurité. Yahoo affirme plutôt qu’il a découvert et corrigé un bug qui n’aurait aucun lien avec Shellshock. Les données des utilisateurs n’auraient pas été affectées.

De l’autre côté, Lycos fait preuve de beaucoup de mauvaise foi, en n’admettant même pas un seul instant avoir été vulnérable à la faille du Bash. De quoi surprendre Jonathan, puisque d’après lui les traces du script perl ha.pl (responsable du succès de l’exploit) sont encore visibles dans le serveur xvisinnow.tripod.com. Mais malgré ça, chez Lycos, on joue les aveugles.


Source : Future South Gazette

Et vous ?

Qu'est-ce qui justifie les comportements différents de ces firmes face à l'annonce de la découverte de la faille dans leurs infrastructures ?
Contacter le responsable de la rubrique Accueil