Header Ads

Shellsock: une faille de sécurité Bash... aussi sur le Raspberry-Pi

Shellsock est une faille de sécurité qui semble toucher tous les implémentation Bash.

Sur le Raspberry-Pi, la parade est très simple:
sudo apt-get update
sudo apt-get upgrade


C'est quoi Shellsock?
C'est l'exploit d'une faille Bash qui vise à créer une fonction dans une variable d'environnement permettant l'exécution d'un code malicieux en même temps qu'une commande légitime.
Si le fonction légitime réclamait l'accès root, vous lui fourniriez sans forcement vous douter de l'exécution d'un élément malicieux placé par un intermédiaire peu scrupuleux.

Avant la mise à jour:
$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
hello


Après la mise à jour:
$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
bash: avertissement :x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello