[Mise à jour] Une faille de sécurité dans Bash
Merci à nos confrères de MacGeneration qui ont remonté une information RedHat, au sujet d'une faille de sécurité dans le Bash (un des shells disponibles sur Unix), et qui est présent dans Mac OS X également. Les versions 1.14 à 4.3 sont affectés par cette faille, Bash étant présent dans un gros paquet de distributions Unix :
Pour tester si votre Unix préféré est concerné, lancez un Terminal et saisissez la commande suivante :
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Si la faille est présente, le message suivant s'affiche :
vulnerable
this is a test
Si l'OS n'est pas affecté, on obtient la réponse :
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
Testé sur une distribution Linux CentOS 6.4, la version bash-4.1.2-15.el6_5.1.x86_64 corrige le problème : ouf !
Bien que le Bash soit souvent exécuté localement, d'autres exploits pourraient tenter de compromettre un système affecté : un serveur Web Apache, par exemple, présentant une faille dans du code CGI (comme mod_cgi et mod_cgid) pourrait permettre à un tiers d'exécuter cet exploit. Des attaques similaires sont aussi possibles à travers OpenSSH ou CUPS.
Si vous maintenez des machines Unix autres que Mac OS X, mettez à jour Bash pour combler le trou ;-)
Reste donc à Apple à fournir un correctif rapidement : les développeurs iront-ils aussi vite que le retrait de là mise à jour iOS 8.0.1 ?
[MàJ]
Apple travaillerait sur une correction, selon Arstechnica.
En gros, chez Apple, ils sont sûr de leurs produits. Traduction pour les non anglophones :
"La grande majorité des utilisateurs d'OS X n'ont pas à craindre de la récente vulnérabilité découverte dans Bash", a déclaré un porte-parole chez Apple, rapporté chez iMore.
"Le shell bash, inclus dans Mac OS X, présente une faille qui pourrait permettre à des utilisateurs non autorisés d'acquérir le contrôle à distance de systèmes vulnérables. Avec OS X, les systèmes sont sûrs par défaut et ne sont pas exposés à des exploits si les utilisateurs ne configurent pas des services UNIX avancés. Nous travaillons pour fournir rapidement une mise à jour logicielle pour nos utilisateurs UNIX avancés."
Fin de la traduction.
Si Apple considère que seuls ses utilisateurs avancés ont la possibilité ou les moyens d'utiliser leurs produits, il est à craindre une vague de terreur, de crainte, de hantise, voire la trouille d'utiliser Mac OS X.
Bien que cette faille puisse en inquiéter certains légitimement, nous vous tiendrons informé lorsque qu'une correction sera disponible, autrement que par l'utilisatiion du Terminal, ou une compilation : ne tentez pas de jouer avec ces outils si ils ne vous sont pas familiers.