Face à la menace représentée par la faille de Bash, les autorités américaines viennent d’appeler les banques à contrôler leur patrimoine applicatif.
La menace représentée par la faille de Bash, Shellsock, est prise très au sérieux par les autorités, d’autant plus que les premières exploitations de cette vulnérabilité sont déjà annoncées. C’est dans ce contexte que les autorités américaines appellent les banques à contrôler leur patrimoine applicatif pour se protéger contre les attaques. Comme le commente le Federal Financial Institutions Examinations Council (FFIEC), « L’utilisation généralisée de Bash et la possibilité d’automatiser l’exploitation de cette vulnérabilité présentent un risque matériel ».
Pour corriger cette vulnérabilité, les premiers patchs correctifs sont désormais disponibles, des mises à jour qu’il est conseillé de « installer au plus tôt ».
Si Red Hat propose déjà un correctif pour sa version de Linux, il est à préciser qu’Oracle a annoncé qu’une trentaine de ses solutions sont vulnérables et que seuls les correctifs pour Oracle Linux et Solaris sont pour le moment disponibles.
Pour tester sa vulnérabilité, un utilisateur peut saisir la commande suivante :
env ‘x=() { :;}; echo vulnerable’ ‘BASH_FUNC_x()=() { :;}; echo vulnerable’ bash -c « echo test »
Si la réponse est la suivante, alors le système est vulnérable à des attaques Shellshock :
$ env ‘x=() { :;}; echo vulnerable’ ‘BASH_FUNC_x()=() { :;}; echo vulnerable’ bash -c « echo test »
vulnerable
bash: BASH_FUNC_x(): line 0: syntax error near unexpected token `)’
bash: BASH_FUNC_x(): line 0: `BASH_FUNC_x() () { :;}; echo vulnerable’
bash: error importing function definition for `BASH_FUNC_x’
test