25 Sep 2014

Shellshock : Faille de sécurité CVE-2014-6271 dans Bash

Category: Administration de serveur,GNU/Linuxcduv @ 15:31

Ces derniers jours une faille de sécurité a été découverte dans l’interpréteur de commande shell Bash.
Identifiée CVE-2014-6271 et surnommée Shellshock.
Assez grave, et même considérée plus importante que Heartbleed (datant de début 2014) par certains, ce bug peut déjà être exploité pour accéder à un shell sur vos serveurs à distance (en passant par votre serveur Web par exemple).

Si vous utilisez Bash 4.3 et plus, vous pouvez tester sa vulnérabilité avec la commande suivante :
env x='() { :;}; echo Votre Bash est vulnérable' bash -c "echo Fin du test de vulnérabilité"
Votre bash n'est pas impacté par ce bug si vous obtenez la sortie suivante :
bash: avertissement :x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
Fin du test de vulnérabilité
En revanche il l'est si vous obtenez ceci :
Votre Bash est vulnérable
Fin du test de vulnérabilité
Je vous conseille vivement de mettre à jour rapidement le(s) système(s) vulnérables...

Étiquettes : , , ,

Laisser une réponse