Pourquoi la nouvelle faille critique Shell Shock vous concerne certainement ?

Après Heartbleed, une nouvelle faille fortement critique et très facilement exploitable a été découverte sur le Bash présent dans de nombreux OS de type Linux et Mac OS X. Le CERT a publié un bulletin d’alerte avec le plus haut niveau de gravité de 10 sur 10. Vous devez agir maintenant.

La faille existe dans toutes les versions jusqu’à 4.3 de Bash. Même si votre poste de travail et vos serveurs tournent sous Windows, vous utilisez certainement plusieurs systèmes Linux sans vous en rendre probablement compte. En effet, de nombreux appliances sont basés sur Linux, que ce soit un firewall, un proxy, un NAS, ou même un IPBX. Les objets connectés comme des caméras, des TV, des frigos ou des sondes sont également souvent basés sur Linux. De même, la plupart des plateformes web avec lesquelles vous interagissez peut-être au quotidien par vos applications cloud sont potentiellement vulnérables. Enfin tous les Mac OS X sont aussi concernés.

Le risque est d’autant plus important que la faille pourrait être exploitée par un ver. Celui-ci pourrait ainsi se répandre rapidement sur Internet et au sein même des entreprises.

Une façon simple de savoir si votre système est vulnérable est de lancer par exemple la commande suivante dans votre shell :

env X="() { :;} ; echo busted" /bin/sh -c "echo completed"

Si vous obtenez le mot « busted » en réponse c’est que vous êtes vulnérable. Sinon cela signifie que votre Bash est patché ou que votre système utilise un autre interpréteur.

Les produits des éditeurs suivants sont déjà identifiés comme potentiellement vulnérables : BlueCoat XOS et SGOS, Check Point, Juniper Junos, Infoblox NIOS, F5 Big-IP, McAfee, HP TippingPoint, Trend Micro, Websense, Palo Alto Networks.

Nous vous conseillons donc d’identifier urgemment la liste de vos équipements et appliances potentiellement basés sur Linux ou OSX. Ensuite il vous faudra vous renseigner ou tester si le Bash est vulnérable sur cet équipement. En conclusion, nous vous recommandons d’installer les patchs disponibles au plus vite et de rester vigilants quant aux possibles nouvelles failles similaires dans les prochains mois.

Apple devrait publier la mise à jour corrigeant la version de bash livrée avec OS X.