Le «bash bug» est-il vraiment pire que heartbleed?

albiore · Septembre 26, 2014, 9:21

Vous vous souvenez de Heartbleed, ce bug qui avait failli casser Internet en avril dernier? La faille avait pu être gardée secrète assez longtemps pour qu’une rustine soit appliquée sur la plupart des serveurs. Ce n’est pas le cas du «Bash bug», une sérieuse vulnérabilité qui touche les systèmes Unix, Linux et Mac OS X, avec des premières attaques déjà repérées. Mais pour le grand public, il n’y a pas grand chose à faire. A part respirer un coup.

C’est quoi le shell?

C’est cette fenêtre qui ressemble à MS-DOS, souvent avec du texte en vert sur fond noir à la Matrix. Bash, l’acronyme de Bourne-Again shell, est l’interpréteur de commandes que l’on trouve par défaut sur de nombreux systèmes Unix, Linux et Mac OS X. Il permet de donner des ordres à l’OS et d?interagir avec d’autres programmes.

En quoi consiste ce bug?

Heartbleed permettait d’accéder à la mémoire récente d’un serveur, en espérant intercepter des données utiles comme un mot de passe. Le «Bash bug», également connu sous son nom anxiogène «Shellshock» (traumatisme/commotion en VF), est différent. Avec une simple ligne de code qui ne nécessite pas de s’identifier, un hacker peut exécuter des commandes sur le serveur, écrit l’expert en sécurité de Microsoft, Troy Hunt. Comme «Télécharge et exécute ce virus qui va capturer les mots de passe».

Quels systèmes sont touchés?

Toutes les versions de Bash, jusqu’à la 4.3, sont concernées ?soit toutes celles sorties depuis 25 ans. Cela englobe plusieurs centaines de millions de machines: plus de la moitié des serveurs Web (Apache), de nombreux systèmes gouvernementaux ou d’hôpitaux, et les particuliers sous Unix, Linux et Mac OS X. Ceux sous Windows peuvent, pour une fois, respirer. Google a précisé qu’Android n’était pas exposé. iOS, a priori, non plus.

Comment déterminer si son système est vulnérable?

Pour les geeks uniquement, en copiant/collant cette ligne dans le shell:

env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test”

Le système est vulnérable si le résultat est: vulnerable / this is a test.

Si tout va bien, il affichera: bash: warning: x: ignoring function definition attempt / bash: error importing function definition for `x’ / this is a test.

Et c’est grave?

L’agence gouvernementale US National Cyber Security Division donne un 10 sur 10 à la menace. Troy Hunt estime, comme d’autres experts, que le bug «est potentiellement plus grave que Heartbleed» car il faudra plus de temps pour patcher tous les systèmes compromis. Dans six mois ou un an, on entendra sans doute parler d’un hack géant, comme ceux de Target ou Home Depot, car un administrateur réseau n’aura pas pris les mesures adéquates.

Des patches en cours de déploiement

Red Hat a publié un patch «partiel» pour Bash. D’autres sont disponibles pour CentOs, Ubuntu et Debian. Du côté de Mac OS X, il faut encore patienter, mais le système a la capacité de se mettre à jour automatiquement.

La menace du ver

Par sa nature, le bug peut être exploité par un ver, un programme malfaisant capable de s’auto-répliquer et de sauter de machine en machine. Il n’a fallu que quelques heures pour voir le premier spécimen dans la nature. Il essaie notamment de mener des attaques en déni de service pour saturer un site Web ou de deviner des mots de passe système pour accéder à des données critiques.

L’Internet des objets menacé

Moniteur pour bébé, caméra de vidéosurveillance, ampoules intelligentes, serrures électroniques… De nombreux objets connectés utilisent une version embarquée de Linux/Bash et pourraient servir de porte d’entrée dérobée sur un réseau wifi domestique. Les mettre à jour est compliqué, et souvent impossible sans contacter le fabricant. Selon Troy Hunt, il faut «repenser la sécurité» de l’Internet des objets car les particuliers ne veulent pas devoir «recompiler leurs ampoules». Amen.

www.20minutes.fr…

lithium · Septembre 26, 2014, 2:58

un expert microsoft pour parler du bash ? ils ont de l’humour chez 20minutes… :paf:

albiore · Septembre 26, 2014, 3:53

j’ai vu la meme news sur cluclu pro

lithium · Septembre 26, 2014, 6:53

sur clubic il précise que dans l’embarqué c’est pas bash mais ash du projet busybox qu’on trouve

woolf · Septembre 26, 2014, 7:10

Ne sois pas médisant hein :non:

Chez Crosoft, ils sont quand même spécialisés… dans les failles. Le monsieur sait donc de quoi il cause… :sarcastic:

Tout comme 20minutes…

:ane:
Edité le 26/09/2014 à 19:11

lithium · Septembre 29, 2014, 2:10

pour comprendre où se situe la faille : linuxfr.org…

juju251 · Septembre 29, 2014, 6:55

:hello:

Très bon article, qui va beaucoup plus loin que les annonces fracassantes des journaux et médias non spécialisés. :jap:

Asbel · Septembre 29, 2014, 7:03

Merci pour le lien, très intéressant :jap:

Vu les conditions nécessaires on est tranquille pour les serveurs installés chez nos clients, même si les patchs seront à faire installer chez tous.
Edité le 29/09/2014 à 07:06

albiore · Septembre 29, 2014, 9:44

meme lien chez clubic des fois que le lien 20 minutes soit moins convaincant

pro.clubic.com…

Asbel · Septembre 29, 2014, 9:55

Et tu as lu le lien fourni par lithium ?

La news clubic précise bien d’ailleurs que le périmètre est limité car pas d’élévation de privilèges.
Edité le 29/09/2014 à 10:00

albiore · Septembre 29, 2014, 10:41

oui mais j’ai rien compris au contenu du lien de lithium dsl
Edité le 29/09/2014 à 10:42

juju251 · Septembre 29, 2014, 11:54

Et tu oses nous parler du lien de 20 minutes ? :paf:

Eux non plus n’ont rien compris.
Visiblement, ils ne savent même pas ce qu’est une élévation de privilège. :ane:

lithium · Septembre 29, 2014, 12:36

la faille n’est pas dans le bash, passer des fonctions dans les variables est une fonctionnalité prévue et documentée de ce shell.
c’est le mauvais usage des logiciels tiers et/ou leur mauvaise configuration qui créé la faille.

et donc faille limitée puisqu’elle permet d’executer du code non prévu mais sans élévation de privilèges. c’est pas du tout comparable à celles d’openssl.

bref :

albiore · Septembre 29, 2014, 7:28

je suis pas sur que tu vailles la peine que je te réponde …

lithium · Septembre 29, 2014, 7:40

sur un forum nommé OS alternatifs tu devrais t’attendre à rencontrer des personnes connaissant plutot bien le sujet, et visiblement plus que toi.
alors plutot que te borner a fournir des liens vers des articles de presse généralistes faux ou incomplets, tu pourrais par exemple nous demander où ils se trompent et à ce qu’on t’aide à comprendre l’article du site spécialisé.

à moins que le but de ton topic soit de créer un débat stérile ?
Edité le 29/09/2014 à 19:40

juju251 · Septembre 30, 2014, 6:30

Ben écoute, désolé, mais les articles simplistes et inexacts de la presse généraliste, c’est lourd.

Après, si tu n’a pas compris, dis nous justement sur quelles parties tu bloques, on peut essayer de t’expliquer. :neutre:

Pour info, le passage de l’article que quote Lithium résume bien la situation : Il ne s’agit PAS d’un bug de bash, mais d’une fonction, seulement il n’ jamais été prévu que cette fonction soit utilisé par des softs capable d’executer des commandes à distance tel que le serveur Web Apache par exemple. :neutre:

Et ici, la faille ne permet pas d’exécuter une commande avec un privilège plus élevé (pour faire plus clair : Une élévationd e privilège c’est quand il est possible d’exécuter une commande administrateur - root sous Linux - alrs qu’on est loggué en compte avec des droits utilisateurs). :jap:

Dernière chose, je ne comptais pas être blessant dans mes propos. :jap: