English sum-up :
A little post concerning the “ShellShock” bash vulnerability. A real potentially “explosive” threat for the IT administrators.

Une fois n’est pas coutume, je ne vais pas parler de stockage ou de virtualisation aujourd’hui ! En fait, le sujet est relativement grave et potentiellement explosif, il s’agit de la fameuse faille du shell “bash”, récemment révélée par un administrateur français travaillant chez Akamaï, le fournisseur de CDN bien connu.

Pour résumer, il s’agit d’un problème assez profond lié à l’interprétation des définitions de variable de bash. Ce défaut dans l’analyse des variables d’environnement permet d’injecter du code et le faire exécuter par l’interpréteur. Techniquement, c’est assez simple à comprendre et vous trouverez des explications précises dans les billet référants en fin d’article. Le danger ici c’est que bash est utilisé par énormément de serveurs (des dizaines de million) mais également par certains services web de type CGI, ce qui ouvre la porte à l’exécution potentielle de code à distance, via une requête spécifique, un peu à la manière des failles plus classiques d’injection de code SQL.

L’ampleur de la tâche qui attend les administrateurs Unix du monde entier tient en fait à la nécessité, d’une part, de patcher les systèmes exécutant l’ensemble des services web exposés, mais aussi, sans doute, de revoir profondément la plupart du code de ces service ! En effet, d’après une discussion récente sur les forums Open Source GNU, il semble que malgré les corrections récentes du code de bash pour contrer les premiers PoC, certaines commandes comme ‘cat’ provoquent toujours cette injection de code. Certains vont même jusqu’à évoquer qu’un virus de type vers pourrait sans doute être particulièrement virulent s’il exploitait cette faille majeure.

Dans la pratique, pour nous, administrateurs, il est nécessaire de rester particulièrement vigilants, notamment sur nos services web exposés à la jungle d’Internet. En outre, et je pense que c’est le plus important, il faut absolument casser le mythe très répandu dans la communauté Unix/Linux qui consiste à imaginer que ce type de système est intrinsèquement protégé des virus et malware en tout genre. Comme toujours, connaitre son ennemi et surtout ne pas le sous-estimer, c’est la première pière d’une politique de sécurité efficace.

Pour terminer, coté VMWare et EMC, sachez que les deux sociétés sont actuellement en pleine investigation pour vérifier le niveau d’exposition des logiciels utilisés dans leurs solution. VMWare dispose d’un KB dédié ICI. EMC a également un KB ICI.

Sources : présentation du Shellshock sur silicon.fr, une explication technique de la faille, Le thread de discussion sur GNU.