Amazon teste à Seattle un magasin bardé de capteurs et sans caisse, couplé à un système de paiement automatisé sur smartphone.

L'Image du jour

Amazon teste à Seattle un magasin bardé de capteurs et sans caisse, couplé à un système de paiement automatisé sur smartphone.

Les 10 tendances technologiques en 2017

Dernier Dossier

Les 10 tendances technologiques en 2017

Comme chaque année, la rédaction du Monde Informatique a établi une liste des 10 tendances technologiques à venir ou qui vont se poursuivre en 2017....

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
3
Réagissez Imprimer Envoyer

Plus grave que Heartbleed, la faille Shellshock affecte l'interpréteur bash de GNU/Linux et Mac OS X

Comme Akamai et d'autres fournisseurs, l'équipe de sécurité de Debian avertit ses utilisateurs de la faille (ancienne) découverte dans le shell bash. (ci-dessus, crédit D.R.)

Comme Akamai et d'autres fournisseurs, l'équipe de sécurité de Debian avertit ses utilisateurs de la faille (ancienne) découverte dans le shell bash. (ci-dessus, crédit D.R.)

Une vulnérabilité dont la gravité est jugée comparable voire supérieure à celle de Heartbleed (faille trouvée au printemps dans OpenSSL) a été découverte dans l'interpréteur de commandes bash. Identifiée sous le numéro CVE-2014-6271, elle a été dénommée Shellshock. Des mises à jour sont déjà disponibles.

Un ingénieur français, Stéphane Chazelas, a découvert une vulnérabilité dans bash, l'interpréteur de commandes Unix du projet GNU (Bourne-Again Shell). Baptisée Shellshock, cette faille a été publiée sous l'identification CVE-2014-6271. Elle est liée à la façon dont les variables d'environnement sont traitées et jugée comparable voire plus grave que Heartbleed qui avait affecté la bibliothèque de chiffrement Open Source OpenSSL au printemps dernier. Elle peut être exploitée à distance dans de nombreux cas et affecter potentiellement de nombreuses applications web, serveurs, PC ou Mac. Une mise à jour de bash est proposée aux administrateurs.

Cette faille existerait en fait depuis plus d'une vingtaine d'années, remontant à la version 1.13 de bash. Sur le blog du fournisseur Akamai, Andy Ellis, CSO du fournisseur Akamai, explique que les applications web tels que les scripts CGI sont vulnérables de plusieurs façons, notamment par l'appel d'autres applications à travers un shell ou l'évaluation de portions de code à travers le shell.  Pour s'en prémunir, outre la mise à jour de bash, on peut aussi remplacer l'interpréteur par un autre shell, limiter l'accès aux services vulnérables ou, encore, filtrer les données reçues, explique Akamai qui a créé une règle pour filtrer les risques d'exploitation de la faille.

En savoir plus :

- La mise à jour de bash sur lists.gnu.org

- Le communiqué de US-Cert sur la faille découverte dans bash

Article de

COMMENTAIRES de l'ARTICLE3

le 07/10/2014 à 15h15 par newsoftpclab (Membre) :

On va de faille informatique en faille informatique.

Signaler un abus

le 06/10/2014 à 23h24 par Visiteur4710 :


Comme pour les distri *BSD dont le rigueur du code est plus pointilleuse, voir extrême pour openBSD, qui n'hésite pas a "basher" ceux qui font du code moisi en contribution, bash n'est pas installer pas défaut, si la faille est connu depuis 20 ans, logique pour des système ou la sécurité et la stabilité est le mot d'ordre. Un problème de la sphère GNU/Linux qui se ressent dans sont utilisation, fonctionnel certes optimisé et sécurisé dans l'écriture du code pas forcément. Bien que moins pire que windows, qui sont plus préoccuper a la chasse au bug, faille du code, ajout de fonction, que de corrigé et d'amélioré ce qui est déjà fait.

Signaler un abus

le 25/09/2014 à 23h01 par Visiteur4666 :

"Pour s'en prémunir, outre la mise à jour de batch,"
=> mise à jour de *bash* (Bourne Again SHell), et non batch.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
15 Octobre 1993 n°561
Publicité
Publicité