Vulnérabilités GNU bash
 
 
26 septembre 2014
Une vulnérabilité majeure a été découverte dans GNU bash. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Cette faille constitue une grande menace car Bash est utilisé comme le Shell par défaut dans de nombreux systèmes d’exploitation Unix, y compris OS X, et Linux.
Elle peut donc affecter de nombreux PC, Mac, serveurs et routeurs.
Les serveurs Web, dont Apache en particulier, pourraient être compromis via des scripts CGI (Common-Gateway Interface) ou des requêtes HTTP qui font appel à Bash.
OpenSSH et DHCP sont également touchés sur les machines qui utilisent Bash.
Le risque : La faille se situe au niveau de la manipulation des variables d’environnement dans Bash, un pirate pourrait par l'intermédiaire de ces variables utiliser cette vulnérabilité pour exécuter à distance des commandes Shell et ainsi injecter des données dans les requêtes des applications qui appellent des commandes Shell Bash.

 

Bulletin du CERT : http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/

 

Note CVE–2014–7169

 


Référence RedHat :

https://access.redhat.com/announcements/1210053

https://access.redhat.com/articles/1200223

Update: 2014-09-26 05:15 UTC

Red Hat has become aware that the patch for CVE-2014-6271 is incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169.

Updated bash packages that address CVE-2014-7169 are now available for Red Hat Enterprise Linux 5, 6, and 7. Red Hat is working on updates for Shift_JIS, Red Hat Enterprise Linux 4 Extended Life Cycle Support, Red Hat Enterprise Linux 5.6 Long Life, Red Hat Enterprise Linux 5.9 Extended Update Support, Red Hat Enterprise Linux 6.2 Advanced Update Support, and Red Hat Enterprise Linux 6.4 Extended Update Support as a critical priority.

 


 

Référence TrendMicro :

esupport.trendmicro.com/solution/en-US/1105233.aspx

 
Rectorat de Bordeaux - SSI | Plan du site | Recherche | Contact