Passer au contenu

Après Shellshock, plein d’autres failles critiques émergent dans Linux

L’interpréteur de commande Bash est un véritable nid à vulnérabilités. Jour après jour, les chercheurs en sécurité découvrent une nouvelle brèche invalidant le précédent correctif. C’est l’horreur absolue.

La tempête Shellshock ne fait que commencer. Après la découverte, la semaine dernière, de cette importante faille de sécurité dans l’interpréteur de commandes Bash, les chercheurs en sécurité ont commencé à mener des enquêtes plus approfondies sur ce logiciel ancestral des systèmes Unix/Linux. Et le résultat n’est pas terrible : plein d’autres failles relatives à Bash émergent jour après jour.

Ainsi, après la publication d’un premier correctif pour Shellshock (CVE-2014-6271), un ingénieur Google nommé Tavis Ormandy a découvert une deuxième faille permettant de le contourner. Cette faille, qui a reçu l’identifiant CVE-2014-7169, permet également d’injecter du code et d’exécuter des commandes à distance. Néanmoins, elle serait plus difficile à exploiter que la première. Un deuxième correctif a donc été diffusé par les principaux éditeurs concernés, comme Red Hat, Ubuntu, Debian ou Cisco.

Par la suite, les ingénieurs de Red Hat ont mis le doigt sur deux autres failles dans Bash (CVE-2014-7186 et CVE-2014-7187), également liées au fait que cet outil logiciel permet de définir des fonctions dans des variables d’environnement. Dans les deux cas, elles permettraient surtout de réaliser un plantage du logiciel, mais pas une exécution de code à distance. Leur niveau de risque semble donc moins élevé, même si tous les détails techniques ne sont pas encore connus.

Puis la peur est remontée d’un cran ce week-end, lorsque Michal Zalewski (alias « lcamtuf ») a découvert deux failles supplémentaires (CVE-2014-6277 et CVE-2014-6278) qui, à l’instar de Shellshock, permettraient d’exécuter du code à distance. Là encore, les détails techniques ne sont pas connus, mais ces deux failles invalideraient tous les précédents correctifs.

Le chercheur préconise l’utilisation d’un patch écrit par Florian Weimer, de Red Hat. Son idée est de filtrer de façon draconienne les variables d’environnement. Le problème, c’est que ce patch nécessite de changer également les (nombreux) logiciels qui utilisent ces variables d’environnement. L’adoption de ce patch est donc à faire avec prudence…

Lire aussi :

Sécurité: la mégafaille «Shellshock» secoue le monde Linux et Mac OS, le 25/09/2014
Mégafaille Shellshock: Apple rassure les utilisateurs de Macintosh, le 27/09/2014
Interview exclusive: « J’ai découvert la faille Shellshock par hasard », le 26/09/2014

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn