Parler du shell est terriblement tendance depuis peu. Presque personne ne savait ce que c’était et, subitement, tout le monde en parle. Comblons la faille et nous pourrons déclarer de nouveau notre amour à cet interpréteur de commandes.

source.

De quoi s’agit-il ? D’une faille découverte il y a peu par un français (cocorico ?). Et alors ? 51% des serveurs web dans le monde tournent sous Apache (et donc probablement Linux, les deux allant généralement ensemble) ; or sur la plupart des distributions Linux, la version de Bash est vulnérable. Et encore Les vecteurs d’attaques semblent illimités, allant des hotspots WiFi pouvant être compromis à travers le protocole DHCP ou les objets connectés qui embarquent des environnements Linux, jusqu’aux systèmes industriels. Même la monnaie virtuelle Bitcoin pourrait être impactée par cette faille. Il s’agit d’une arme magique, s’exclame Thierry Karsenty et d’ajouter : Tout le monde est en train de regarder ce qu’il peut faire avec cette arme qui est une véritable porte ouverte dans les systèmes d’informations y compris pour les gouvernements. On constate une forte progression de l’activité de scan de ports pour savoir quel matériel est vulnérable, un serveur, un routeur, des terminaux Android, etc.

Peut-on tester la vulnérabilité de son shell ?

Oui, en passant la commande suivante :
env var=’() { :;};echo Vulnerable’ /bin/bash -c /bin/true.
Si le résultat affiche « Vulnerable », alors le système est vulnérable.

Que faire ? Mettre à jour son shell, sinon les pirates attaquent. Ubuntu a répandu sa mise à jour hier.

Quelles applications utilisent le shell ? « Elles sont plus nombreuses que l’on ne croit. Par exemple, quand vous recevez un mail, le service de messagerie fait des recherches pour savoir s’il s’agit d’un spam. Pour cela, le moteur va regarder les barrières d’environnements que l’interpréteur va lui fournir. Or si les variables ont été modifiées, le message compromis contournera les blocages », constate Paul-Henri Huckel.