Un ingénieur français, Stéphane Chazelas, a découvert une vulnérabilité dans les systèmes d’exploitation Mac OS X et Linux GNU.
Un ingénieur français, Stéphane Chazelas, a découvert une vulnérabilité dans bash, l’interpréteur de commandes Unix du projet GNU (Bourne -Again Shell). Baptisée Shellshock, cette faille a été publiée sous l’identification CVE-2014-6271. Elle pourrait être plus destructrice que la faille Heartbleed présente dans la bibliothèque de cryptographie open source OpenSSL.
Shellshock affecte le Shell (l’interface système en lignes de commandes) Bash (« Bourne-Again shell ») présent sur plusieurs systèmes d’exploitation Linux et Unix. Les distributions Linux comme Fedora, Debian, Ubuntu ou encore Red Hat sont concernées. Le système d’exploitation OS X est également vulnérable.
Cette faille peut être exploitée à distance dans de nombreux cas et peut affecter de nombreuses applications web, serveurs, PC ou Mac.
Il semblerait que cette faille touchait déjà la version 1.13 de Bash créée il y a 22 ans.
Des correctifs ont été publiés pour réparer les différentes versions de Bash. Toutes les distributions (Ubunty Debian, etc.) ont annoncé leur mise à jour.
