Ouvrir le menu principal

MacGeneration

Recherche

Une faille critique dans le shell Bash découverte, OS X touché

Stéphane Moussie

jeudi 25 septembre 2014 à 10:57 • 50

macOS

Red Hat alerte d'une faille de sécurité majeure dans le shell Bash, un utilitaire que l'on retrouve dans la quasi-totalité des systèmes Unix. Il s'agit du shell standard d'OS X — il est disponible à travers le Terminal —, qui est donc touché par cette faille.

Baptisé bug Bash ou Shellshock, cette vulnérabilité permet à une personne malintentionnée d'exécuter du code à distance sur une machine. Red Hat explique que la vulnérabilité provient du fait qu'il est possible de créer des variables d'environnement avec des valeurs spéciales avant d'appeler Bash. Ces variables peuvent contenir du code qui est exécuté dès que le shell est invoqué.

Pour l'expert en sécurité Robert Graham, il s'agit d'une faille aussi grosse qu'Heartbleed, du fait du nombre gigantesque de logiciels qui font appel à Bash. Outre les systèmes d'exploitation, des serveurs web et des objets connectés l'utilisent.

Pour voir si son système est affecté par le bug, il faut entrer cette commande dans le Terminal :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si l'OS est vulnérable, la réponse donnée par le Terminal est :

vulnerable
this is a test

Dans le cas contraire, on obtient la réponse suivant :

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

OS X Yosemite bêta 3 est touché et Mavericks aussi. Il faut maintenant qu'Apple se montre réactive et propose rapidement un correctif. Plusieurs distributions Linux ont déjà été patchées. C'est le cas d'Ubuntu (10.04 LTS, 12.04 LTS et 14.04 LTS), Debian, Red Hat Enterprise Linux (versions 4 à 7), Fedora et CentOS (version 5 à 7).

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Concours : un NAS Qnap TS-233 équipé de 2 disques WD Red 6 To à gagner !

05/04/2025 à 13:00

• 570


Nintendo retarde les précommandes de la Switch 2 aux États-Unis, à cause de Donald Trump

05/04/2025 à 10:51

• 58


Silence : une application pour bloquer les appels indésirables sans abonnement

05/04/2025 à 10:47

• 99


Sortie de veille : Apple Intelligence finalement dispo, l’attente récompensée ?

05/04/2025 à 08:00

• 12


L’administration Trump aurait-elle utilisé l’IA pour créer la formule des nouvelles taxes ?

04/04/2025 à 22:30

• 45


Promo : l'écran 4K LG UltraFine 32 avec une colonne ERGO est à 423 € (-250 €)

04/04/2025 à 22:30

• 30


Donald Trump accorde un délai supplémentaire de 75 jours à TikTok

04/04/2025 à 21:45

• 17


N'attendez pas Linux sur les M4 de sitôt : c'est visiblement douloureusement compliqué

04/04/2025 à 18:30

• 33


Microsoft a 50 ans

04/04/2025 à 17:39

• 45


Apple déploie l'audio spatial en Dolby Atmos sous Windows (mais il faut payer)

04/04/2025 à 17:00

• 12


MacBook Air : nouvelle promo sur le M4, le M2 encore au tarif canon de 899 €

04/04/2025 à 15:48

• 9


Pages ne sait plus publier un livre directement sur Apple Books

04/04/2025 à 14:45

• 9


Microsoft vend son mini PC dans le cloud, pour Windows 365

04/04/2025 à 13:15

• 23


Le SSD USB4 Corsair EX400U, parfait pour les Mac et les iPhone, en promotion

04/04/2025 à 11:45

• 11


Starlink passe à 29 €/mois avec une connexion moins prioritaire

04/04/2025 à 10:30

• 114


Ubiquiti commercialise son propre adaptateur USB4 vers Ethernet 10G

04/04/2025 à 09:51

• 3