La tempête Shellshock ne fait que commencer. Après la découverte, la semaine dernière, de cette importante faille de sécurité dans l’interpréteur de commandes Bash, les chercheurs en sécurité ont commencé à mener des enquêtes plus approfondies sur ce logiciel ancestral des systèmes Unix/Linux. Et le résultat n’est pas terrible : plein d’autres failles relatives à Bash émergent jour après jour.
Ainsi, après la publication d’un premier correctif pour Shellshock (CVE-2014-6271), un ingénieur Google nommé Tavis Ormandy a découvert une deuxième faille permettant de le contourner. Cette faille, qui a reçu l’identifiant CVE-2014-7169, permet également d’injecter du code et d’exécuter des commandes à distance. Néanmoins, elle serait plus difficile à exploiter que la première. Un deuxième correctif a donc été diffusé par les principaux éditeurs concernés, comme Red Hat, Ubuntu, Debian ou Cisco.
The bash patch seems incomplete to me, function parsing is still brittle. e.g. $ env X='() { (a)=>’ sh -c “echo date”; cat echo
— Tavis Ormandy (@taviso) 24 Septembre 2014
Par la suite, les ingénieurs de Red Hat ont mis le doigt sur deux autres failles dans Bash (CVE-2014-7186 et CVE-2014-7187), également liées au fait que cet outil logiciel permet de définir des fonctions dans des variables d’environnement. Dans les deux cas, elles permettraient surtout de réaliser un plantage du logiciel, mais pas une exécution de code à distance. Leur niveau de risque semble donc moins élevé, même si tous les détails techniques ne sont pas encore connus.
Puis la peur est remontée d’un cran ce week-end, lorsque Michal Zalewski (alias « lcamtuf ») a découvert deux failles supplémentaires (CVE-2014-6277 et CVE-2014-6278) qui, à l’instar de Shellshock, permettraient d’exécuter du code à distance. Là encore, les détails techniques ne sont pas connus, mais ces deux failles invalideraient tous les précédents correctifs.
Le chercheur préconise l’utilisation d’un patch écrit par Florian Weimer, de Red Hat. Son idée est de filtrer de façon draconienne les variables d’environnement. Le problème, c’est que ce patch nécessite de changer également les (nombreux) logiciels qui utilisent ces variables d’environnement. L’adoption de ce patch est donc à faire avec prudence…
Lire aussi :
Sécurité: la mégafaille «Shellshock» secoue le monde Linux et Mac OS, le 25/09/2014
Mégafaille Shellshock: Apple rassure les utilisateurs de Macintosh, le 27/09/2014
Interview exclusive: « J’ai découvert la faille Shellshock par hasard », le 26/09/2014
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
