Comment protéger son serveur contre la vulnérabilité "Shellshock Bash"
Le 24 Septembre 2014, une vulnérabilité GNU Bash, dénommé Shellshock ou le «Bug Bash", a été divulgué.
En bref, la vulnérabilité permet à des attaquants d'exécuter du code arbitraire, par la transmission de chaînes de code suivants les variables d'environnement. En raison de l'état omniprésent du Bash dans les systèmes Linux, BSD, Mac OS X .
Les distributions de nombreux ordinateurs sont vulnérables à Shellshock; toutes les versions de Bash non patchées entre 1.14 à 4.3 (soit toutes les versions jusqu'à présent) sont à risque.
La vulnérabilité peut être exploitée sur les systèmes qui sont des services ou des applications qui permettent aux utilisateurs distants non autorisés à attribuer des variables d'environnement bash. Des exemples de systèmes exploitables sont les suivants:
- Serveur HTTP Apache qui utilisent des scripts CGI (via mod_cgi et mod_cgid) qui sont écrites en Bash ou en sous-shells Bash
- Certains clients DHCP
- Serveurs OpenSSH qui utilisent la capacité ForceCommand
- Divers services réseau exposés qui utilisent Bash
Parce que la vulnérabilité Shellshock est très répandue - plus encore que le bug OpenSSL heartbleed - et particulièrement facile à exploiter, il est fortement recommandé que les systèmes concernés soient correctement mis à jour pour corriger la vulnérabilité dès que possible. Nous allons vous montrer comment faire pour tester vos machines pour savoir si elles sont vulnérables et, si elles le sont, comment mettre à jour Bash pour éliminer la vulnérabilité.
Vérifiez la vulnérabilité du système
Sur chacun de vos systèmes qui exécutent Bash, vous pouvez vérifier la vulnérabilité Shellshock en exécutant la commande suivante:
env 'VAR=() { :;}; echo Bash is vulnerable!' 'FUNCTION()=() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
Si vous avez :
Bash is vulnerable!
Bash Test
Vous devez impérativement mettre à jour votre système !
Si vous n'avez que :
Bash Test
Votre système est protégé face à cette faille !
Si vous voulez testé votre serveur via votre navigateur, c'est par
là
Résoudre cette vulnérabilité !
APT-GET: Ubuntu / Debian
Pour Ubuntu & Débian, mettez à jour la dernière version de bash en envoyant cette commande :
sudo apt-get update && sudo apt-get install --only-upgrade bash
YUM: CentOS / Red Hat / Fedora
Mettez à jour BASH via yum:
sudo yum update bash
Assurez-vous de garder BASh et vos systèmes de sécurité à jour
Source ( English ) : digitalocean.com
