Shellshock : de nouveaux correctifs disponibles

Mise à jour du 30/09/2014, des correctifs disponibles pour OS X

Apple a publié des correctifs pour les utilisateurs d’OS X pour corriger la faille critique « Shellshock » dans Bash. Les correctifs sont disponibles pour OS X Lion, OS X Mountain Lion et OS X Mavericks.

Aucun correctif n’est disponible pour les versions d’OS antérieures à la 10.7. La prochaine préversion d’OS X Yosemite intégrera directement le correctif. Apple ne compte donc pas publier un correctif pour les utilisateurs des préversions de Yosemite en cours de tests.

Les correctifs d’Apple mettent à jour le Shell Bash d’OS X qui passe de la version 3.2.51 à la version 3.2.53. Avant la sortie de ces correctifs, Apple avait signalé qu’OS X était protégé par défaut contre des attaques distantes exploitant cette vulnérabilité, sauf si l’utilisateur a configuré les services Unix avancés sur le terminal.

Maj de kOrt3x

De nouveaux correctifs sont disponibles pour l’interpréteur en ligne de commande Bash. Ces mises jours corrigent les problèmes qui avaient été rencontrés avec les précédentes mises à jour qui avaient été publiées pour patcher la faille « Shellshock ».

Les premiers correctifs pour « Shellshock » avaient été publiés par les développeurs de Bash et les fournisseurs de systèmes d’exploitation Linux et Unix quelques jours après la révélation de la vulnérabilité découverte par le développeur français Stephane Schazelas. Quelques heures après, des experts en sécurité avaient affirmé que d’autres failles similaires à Shellshock étaient encore présentes dans Bash. Toutefois, les nouvelles failles n’avaient pas la même gravité que Shellshock.

Les nouvelles versions de Bash viennent corriger tous ces problèmes. Les correctifs ont été publiés par les développeurs de Red Hat. Oracle a également préparé des correctifs pour ses systèmes d’exploitation Oracle Linux et Solaris. Le géant des bases de données a également affirmé que plus de 30 de ses produits étaient vulnérables à Shellshock.

Apple de son côté a minimisé les conséquences pour les utilisateurs de Mac. Bien que les récentes versions d’OS X, y compris OS X Mavericks soient vulnérables. Un porte-parole d’Apple a affirmé que les utilisateurs de son système d’exploitation ne devraient pas s’inquiéter. Selon celui-ci, OS X serait protégé par défaut contre des attaques distantes exploitant cette vulnérabilité, sauf si l’utilisateur a configuré les services Unix avancés sur le terminal. Néanmoins, Apple promet de publier un correctif dans les jours qui suivent. En ce qui concerne iOS, il ne serait pas concerné par cette vulnérabilité, tout comme les systèmes d’exploitation Windows.

Pour rappel, « Shellshock » est considérée comme une faille bien plus grave que Heartbleed. Elle a obtenu un score de 10/10 pour sa « gravité », son « impact » et son « exploitabilité » sur le système utilisé par le gouvernement américain pour suivre les failles de sécurité informatique. La vulnérabilité se situe au niveau de la manipulation des variables d’environnement dans Bash. Avec des variables spécialement conçues, un pirate pourrait utiliser cette vulnérabilité pour exécuter à distance des commandes Shell et prendre le contrôle total d’un poste affecté.

La faille daterait de 1992 (22 ans), bien avant que Bash ne se retrouve dans la majorité des serveurs utilisés sur le Web. La faille pourrait donc demeurer une préoccupation pendant un certain moment, d’autant plus que certains systèmes encore utilisés pourraient ne jamais recevoir de correctifs, puisqu’ils ne sont plus pris en charge par leur fournisseur.

Des experts en sécurité ont affirmé que des malwares exploiteraient déjà ces vulnérabilités. Des pirates auraient mis sur pied des programmes pour scanner le Web et détecter les systèmes vulnérables afin de prendre leur contrôle et y installer des virus.

Source : Red Hat, Reuters