Shellshock (faille informatique)
Pour les articles homonymes, voir Shellshock.
Cet article est une ébauche concernant la sécurité de l'information.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.
Shellshock, aussi appelé Bashdoor, est une vulnérabilité logicielle présente dans le shell Unix bash. Elle a été découverte en septembre 2014[1].
De nombreux serveurs réseaux, tels que les serveurs web, utilisent bash pour traiter certaines commandes, ce qui permet à un attaquant d'exécuter des commandes arbitraires sur les versions vulnérables de cette interface système. Cela peut donc permettre à un « attaquant » d'obtenir un accès non autorisé à un système informatique.
Les cas particuliers où cette faille peut être utilisée modifier
Serveur web utilisant CGI modifier
Quand un serveur web sous Unix ou linux (apache ou autres) utilise Common Gateway Interface (CGI), il est possible que le shell utilisé soit le bash, et dans ce cas, sur les anciennes versions de bash, le serveur web sera vulnérable à une attaque shellshock.
Plus techniquement, l'attaque utilise une variable d'environnement (par exemple HTTP_USER_AGENT) et la fonction system(3).
Serveur DHCP modifier
Sur des serveurs DHCP (Unix ou linux) utilisant le wi-fi et une version trop ancienne de bash, une attaque shellshock pourra être effectuée avec succès.
Serveur de messagerie modifier
Pour certaines configurations, le serveur de messagerie qmail pourrait être vulnérable à une attaque shellshock[2].
Serveur SSH modifier
L'attaque se sert de la variable d'environnement SSH_ORIGINAL_COMMAND et de la spécification "ForceCommand".
Notes et références modifier
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Shellshock (software bug) » (voir la liste des auteurs).
- « Shellshock, la faille qui sème la panique », sur courrierinternational.com, (consulté le )
- "qmail is a vector for CVE-2014-6271 (bash "shellshock")", Qmail users mailing list
