Se protéger de la faille bash ShellShock

- Unix

Ca fait deux-trois jours que l’on n’arrête pas de parler de cette faille de bash qui permet d’executer des commandes sur un serveur en envoyant des requêtes HTTP spécialement forgées pour cela. Sans rentrer trop dans le détail, c’est une faille très très grave parce que bash est installé sur la majorité des serveurs mondiaux et tous les Macs sont vulnerables…

On comprend bien pourquoi cette faille est bien plus importante que la faille HeartBleed.

Infecté ou pas ?

Pour tester si votre serveur est touché, il n’y a pas de raison qu’il ne le soit pas puisque la faille touche toutes les versions de bash depuis 25 ans, saisissez la commande suivante sur votre serveur :

$> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si “vulnerable” s’affiche c’est que votre serveur n’est pas protégé.

Protéger son serveur

Pour protéger son serveur Debian ou Ubuntu de la faille, un apt-get suffit :

$> sudo apt-get update && sudo apt-get install --only-upgrade bash

Voilà, votre serveur est protégé, il ne risque plus rien,jusqu’à la prochaine faille majeure.

Pour le cas d’OSX

Comme je le disais dans l’intro, tous les Macs sont touchés aussi par la faille et pour l’instant il n’y a pas de correctif de la part d’Apple.

Mais vous pouvez vous mettre à l’abri si vous utilisez l’excellentissime brew, si vous ne l’utilisez pas ce sera peut-être l’occasion de le faire, vous serez rapidement à l’abri. Ouvrez un terminal et faites une installation (ou un upgrade) de bash :

$> brew update && brew install bash

La version de bash installée par brew sera exécutée à la place de la version native d’OSX et vous serez protégé de la faille, jusqu’à ce qu’Apple publie une mise à jour de sécurité où vous pourrez désinstaller bash via un brew uninstall bash.

Et voilà…

Partager sur Twitter