Mise à jour de sécurité: Bash

Pour faire suite au Pense-bête pour la mise à jour de Debian et dérivées, il est important de faire votre mise à jour et de vérifier si Bash a bien été corrigé.

Il y a deux commandes à copier-coller dans votre terminal car il y a eu deux correctifs.

Vérifiez si le premier correctif a bien été appliqué

  1. Lancez le terminal — tout est expliqué là-bas: Le terminal pour les débutants
  2. Copiez-collez cette commande dans le terminal, après l’invite
  3. env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
  4. Appuyez sur la touche [Entrée] pour exécuter la commande.
  5. Si votre Bash est bien sécurisé, vous devez avoir la réponse suivante:
    Bash Test

Ne fermez pas le terminal.

Si votre Bash est bien mis à jour, avec

Vérifiez si le deuxième correctif a bien été appliqué

Copiez-collez cette commande dans le terminal, après l’invite puis appuyez sur la touche [Entrée] pour exécuter la commande.:

cd /tmp; rm -f echo; env 'x=() { (a)=>\' bash -c "echo date"; cat echo

Cette commande doit retourner ceci sur le terminal:

cat: echo: No such file or directory

ou en bon français: «aucun fichier ou dossier de ce type»

Vous pouvez alors fermer le terminal.

Encore une faille de sécurité?

Cette faille de sécurité de Bash, nommée «Shellshock», succède à HeartBleed mais n’a rien à voir avec OpenSSL (Faille OpenSSL (Heartbleed): pan dans la gueule à nous tous). Il n’y a pas de raison de paniquer car il est peu probable que votre ordinateur GNU/Linux soit piraté à cause de cette faille qui a été réparée très vite et très soigneusement.

Ces failles sont surtout très graves pour les serveurs.

Dans les systèmes propriétaires comme Mac OS X et M$Windows, cette faille existe aussi mais vous n’aurez jamais l’assurance qu’elle aura été corrigée. En revanche, vous pouvez être certains que cette faille a été rapportée par M$ à la NSA pour qu’elle soit exploitée à des fins d’espionnage avant d’être corrigée.

Et, tiens, ce matin, j’ai appris que le portable de C. sous Windows a été piraté, mais c’est sans doute sans rapport avec Bash. J’espère en savoir davantage plus tard. C’est toujours instructif.

1 commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *