Une vulnérabilité critique dans l'interpréteur en ligne de commande Bourne again shell, connu simplement sous le nom Bash, utilisé dans la majorité des distributions de Linux, d'UNIX et d'Apple Mac OS X a été identifiée.

La vulnérabilité, qui a déjà été baptisée Shellshock ou Bashdoor, permet à un individu malintentionné d'inscrire à distance un code exécutable malveillant dans une variable dont la valeur est exécutée lors d'un appel Bash.

"Super simple, et toutes les versions de Bash contiennent cette vulnérabilité. C'est très grave, mais les conditions à remplir pour qu'un utilisateur distant puisse définir la valeur de cette variable d'environnement sont très particulières. Et heureusement, elles sont rarement réunies" explique Josh Bressers, responsable de la sécurité du produit Red Hat.

Bash est présent dans les systèmes d'exploitation Linux et UNIX et on pourrait faire la comparaison avec la vulnérabilité Heartbleed dans OpenSSL. L'erreur dans Bash a été détectée par Stéphanie Chazelas, administratrice de réseaux Unix et Linux et directrice des technologies de l'information de la société de robotique britannique SeeByte Ltd.

.../...


Sources :