Bash : une importante faille de sécurité affecte Linux, Unix et OS X

Le Bash, shell le plus couramment utilisé dans les distributions Linux et sous Unix, est victime d’une importante faille de sécurité qui peut être exploitée à distance. Si elle peut avoir la même portée que la fameuse brèche HeartBleed, elle n’en a pour autant pas la même dangerosité, et des correctifs ont déjà été déployés.

Qu’est-ce que le Bash ? Signifiant « Bourne-Again shell », il est une évolution du premier Bourne Shell, auquel il apporte des améliorations. Il est le shell par défaut d’un grand nombre de systèmes, c’est-à-dire l’interface par laquelle on peut piloter diverses opérations par des lignes de commande. Cet interpréteur se retrouve ainsi au cœur de distributions Linux très connues telles que Debian, Ubuntu et Red Hat, mais également dans des systèmes Unix et OS X.

 

C’est cette importante présence dans l’univers de l’open source qui rend la nouvelle faille dangereuse. Elle a été découverte par un Français, Stéphane Chazelas, et affecte pratiquement toutes les versions de Bash, de la 1.14 à 4.3 et permet à l’attaquant de réaliser une exploitation à distance en provoquant l’exécution de commandes arbitraires.

 

S’il y a de fortes chances pour qu’une immense majorité de serveurs soit concernée par cette faille, elle reste moins dangereuse que HeartBleed. Elle réside dans la manière dont Bash interprète les variables d’environnement et peut être utilisée dans une grande variété de contextes : une requête depuis le web, depuis une application exécutant des scripts Bash, des sessions Telnet et ainsi de suite. Le facteur limitant la dangerosité de la faille est que les commandes effectuées ne peuvent pas avoir plus de privilèges que l’utilisateur actif n’en a lui-même.

 

The Hackers News propose deux lignes de commande à taper dans le terminal d’un système d’exploitation concerné pour vérifier si la faille peut être exploitée :

  • env X= »() { :;} ; echo shellshock » /bin/sh -c « echo completed »
  • env X= »() { :;} ; echo shellshock » `which bash` -c « echo completed »

En cas de faille présente, le shell affichera coup sur coup « shellshock » et « completed ». Ce qui permet de vérifier par exemple qu’un Mac totalement à jour sous Mavericks 10.9.5 est bien vulnérable.

 

bash sécurité osx

 

Un nombre croissant d’éditeurs a déjà publié des patchs de sécurité et les mises à jour sont disponibles dans les dépôts. Leur installation rapide est évidemment recommandée pour ne pas risquer quoi que ce soit. Debian, Ubuntu etCentOS ont ainsi communiqué sur le sujet, tandis que Red Hat et Fedora disposent elles aussi d’un patch. Du côté deGitHub, on précise que plusieurs patchs ont été émis pour GitHub Enterprise.

 

source: nextimpact.com

Mise à jour de revolution slider, « faille de sécurité » Themforest

Julio avait découvert chez Fabrice de WP Formation une faille dans Revolution Slider. Aujourd »hui, c’est — enfin — Envato qui réagit, et qui a désactivé tous les thèmes proposant une version pas à jour de Revolution Slider.

C’est donc très simple, si vous avez acheté votre thème : allez dans vos downloads, sur votre compte, et vérifiez si votre thème est encore disponible au téléchargement ou pas.

Dans le cas où c’est « oui », vous avez juste à voir si votre version sur votre site correspond bien à la dernière version disponible sur ThemeForest. Sinon :

  • attendez que le thème soit mis à jour (éventuellement contactez l’auteur)
  • ou mieux, achetez le plugin, c’est plus sûr !

Il aurait mieux valu informer les acheteurs clairement du problème, via mail, car là encore, on ne sait pas, en se connectant sur son tableau de bord, ce qui se passe.