Shellshock (faille informatique)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Shellshock.
Un des symboles utilisés pour le Shellshock.

Shellshock, aussi appelé Bashdoor, est une vulnérabilité logicielle présente dans le shell Unix bash. Elle a été découverte en septembre 2014[1].

De nombreux serveurs réseaux, tels que les serveurs web, utilisent bash pour traiter certaines commandes, ce qui permet à un attaquant d'exécuter des commandes arbitraires sur les versions vulnérables de cette interface système. Cela peut donc permettre à un « attaquant » d'obtenir un accès non autorisé à un système informatique.

Les cas particuliers où cette faille peut être utilisée[modifier | modifier le code]

Serveur web utilisant CGI[modifier | modifier le code]

Quand un serveur web sous Unix ou linux (apache ou autres) utilise Common Gateway Interface (CGI), il est possible que le shell utilisé soit le bash, et dans ce cas, sur les anciennes versions de bash, le serveur web sera vulnérable à une attaque shellshock.

Plus techniquement, l'attaque utilise une variable d'environnement (par exemple HTTP_USER_AGENT) et l'appel système system(3).

Serveur DHCP[modifier | modifier le code]

Sur des serveurs DHCP (Unix ou linux) utilisant le wi-fi et une version trop ancienne de bash, une attaque shellshock pourra être effectuée avec succès.

Serveur de messagerie[modifier | modifier le code]

Pour certaines configurations, le serveur de messagerie qmail pourrait être vulnérable à une attaque shellshock[2].

Serveur SSH[modifier | modifier le code]

L'attaque se sert de la variable d'environnement SSH_ORIGINAL_COMMAND et de la spécification "ForceCommand".

Notes et références[modifier | modifier le code]

  1. « Shellshock, la faille qui sème la panique », sur courrierinternational.com, (consulté le 4 octobre 2014)
  2. "qmail is a vector for CVE-2014-6271 (bash "shellshock")", Qmail users mailing list

Sur les autres projets Wikimedia :

Liens externes[modifier | modifier le code]