Une série de failles de sécurité de niveau maximal vient d’être découverte aujourd’hui et fait trembler le web – enfin, surtout ses admins système. Le truc cocasse, c’est que ces failles existeraient depuis 22 ans ; j’imagine donc que depuis tout ce temps quelques hackers ont bien du se régaler depuis un moment tout en la gardant sous silence… Un peu comme pour la faille heartbleed qui touchait les certificats SSL
Plus d’info ici. Les attaques de pirates sur les serveurs web vulnérables ont bien sûr déjà commencées…
Comment savoir si je suis vulnérable à Shellshock sur Linux ?
Exécute ceci sur votre serveur ou poste linux :
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Si la sortie affiche « vulnerable« , alors tu l’es, pauvre petit.
Comment corriger sur Linux ?
Il te suffit de mettre à jour dans les plus brefs délai ton kernel. Un patch corrigeant limitant la casse est en effet déjà dans les dépots pour la plupart des distributions.
apt-get update && apt-get upgrade -y
Ensuite refais le test précédent savoir si la faille est vraiment corrigé.
Je te suggère de surveiller l’actu pendant les prochains jours, il y aura a coup sûr d’autres mises à jour a effectuer pour des patchs plus poussés.
Je me demande d’ailleurs pourquoi cet obsolète bash n’as toujours pas été remplacé par zsh comme shell par défaut sur les distributions linux…
Et pour Mac OS ?
Si tu as des produits Apple alors :
- Tu devrais avoir honte
- Tu es aussi concerné par la faille
- Débrouille-toi :-p