Ouvrir le menu principal

MacGeneration

Recherche

Une faille critique dans le shell Bash découverte, OS X touché

Stéphane Moussie

jeudi 25 septembre 2014 à 10:57 • 50

macOS

Red Hat alerte d'une faille de sécurité majeure dans le shell Bash, un utilitaire que l'on retrouve dans la quasi-totalité des systèmes Unix. Il s'agit du shell standard d'OS X — il est disponible à travers le Terminal —, qui est donc touché par cette faille.

Baptisé bug Bash ou Shellshock, cette vulnérabilité permet à une personne malintentionnée d'exécuter du code à distance sur une machine. Red Hat explique que la vulnérabilité provient du fait qu'il est possible de créer des variables d'environnement avec des valeurs spéciales avant d'appeler Bash. Ces variables peuvent contenir du code qui est exécuté dès que le shell est invoqué.

Pour l'expert en sécurité Robert Graham, il s'agit d'une faille aussi grosse qu'Heartbleed, du fait du nombre gigantesque de logiciels qui font appel à Bash. Outre les systèmes d'exploitation, des serveurs web et des objets connectés l'utilisent.

Pour voir si son système est affecté par le bug, il faut entrer cette commande dans le Terminal :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si l'OS est vulnérable, la réponse donnée par le Terminal est :

vulnerable
this is a test

Dans le cas contraire, on obtient la réponse suivant :

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

OS X Yosemite bêta 3 est touché et Mavericks aussi. Il faut maintenant qu'Apple se montre réactive et propose rapidement un correctif. Plusieurs distributions Linux ont déjà été patchées. C'est le cas d'Ubuntu (10.04 LTS, 12.04 LTS et 14.04 LTS), Debian, Red Hat Enterprise Linux (versions 4 à 7), Fedora et CentOS (version 5 à 7).

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Safari : l’extension Tabstract permet de facilement retrouver un groupe d’onglets

28/04/2025 à 21:00

• 3


Les apps Electron méritent-elles encore leur mauvaise réputation ?

28/04/2025 à 20:30

• 5


macOS 15.5 passe en bêta 4

28/04/2025 à 19:08

• 2


PowerPhotos 3 toujours plus puissant pour gérer les bibliothèques de Photos

28/04/2025 à 15:29

• 0


Un écran E Ink rafraîchi à 60 Hz chez Dasung

28/04/2025 à 15:02

• 14


À quoi ressembleront les AirPods Pro 3 ? Voici les nouveautés attendues

28/04/2025 à 14:42

• 29


France Identité : le permis de conduire numérique va devenir plus complet

28/04/2025 à 14:41

• 41


MacBook Air M4 : la chute des prix se poursuit sur ce nouvel incontournable

28/04/2025 à 13:10

• 29


Le très bon SSD externe Corsair USB4 de 2 To à 199 €, son prix le plus bas à ce jour

28/04/2025 à 12:05

• 0


La responsable de Chrome estime que seul Google peut gérer son navigateur

28/04/2025 à 10:14

• 12


Bouygues Telecom améliore encore son offre B&You Pure fibre, laissant la concurrence loin derrière

28/04/2025 à 10:01

• 102


Netflix va systématiquement proposer des sous-titres dans la langue d’origine du contenu

28/04/2025 à 09:49

• 13


Apple a invité des influenceurs du monde entier pour les 10 ans de l'Apple Watch

27/04/2025 à 22:18

• 74


Test d'un traqueur Bluetooth à moins de 4 € : est-il vraiment aussi bien qu'un AirTag ?

27/04/2025 à 22:18

• 19


Fin des remaniements internes, déplacement d’usines et projets de réalité augmentée : la semaine Apple

27/04/2025 à 20:30

• 33


Émulation : comment jouer à ses vieux jeux sur iPhone ou iPad ?

26/04/2025 à 10:49

• 12