Shellshock : Faille de sécurité CVE-2014-6271 dans Bash

Ces derniers jours une faille de sécurité a été découverte dans l’interpréteur de commande shell Bash. Identifiée CVE-2014-6271 et surnommée Shellshock.

Assez grave, et même considérée plus importante que Heartbleed (datant de début 2014) par certains, ce bug peut déjà être exploité pour accéder à un shell sur vos serveurs à distance (en passant par votre serveur Web par exemple).

Si vous utilisez Bash 4.3 et plus, vous pouvez tester sa vulnérabilité avec la commande suivante :

env x='() { :;}; echo Votre Bash est vulnérable' bash -c "echo Fin du test de vulnérabilité"

Votre bash n’est pas impacté par ce bug si vous obtenez la sortie suivante :

bash: avertissement :x: ignoring function definition attempt bash: erreur lors de l’import de la définition de fonction pour « x » Fin du test de vulnérabilité

En revanche il l’est si vous obtenez ceci :

Votre Bash est vulnérable Fin du test de vulnérabilité

Je vous conseille vivement de mettre à jour rapidement le(s) système(s) vulnérables…