Les administrateurs système du monde entier se sont réveillés face à une autre frayeur majeure en matière de sécurité - après le bogue de Heartbleed en avril, qui concernait les systèmes d’exploitation basés sur UNIX, notamment Linux, Mac OSX et potentiellement Android - dont les racines sont UNIX.

Le bogue BASH (ou Shellshock), comme on l'appelle maintenant, a été découvert hier par des chercheurs en sécurité travaillant pour la société open source Red Hat et, comme les plateformes affectées sont omniprésentes, il faut s'attendre à plus de dommages que Heart Bleed..

En fait, ce qui le rend si inquiétant, c’est que cela concerne tout ce qui tourne sous Bourne Again Shell (autrement dit BASH) de GNU et qui est connecté à Internet..

Cela inclut tous les périphériques Internet tels que les caméras vidéo qui fonctionnent à l'aide de scripts BASH basés sur le Web. Celles-ci sont non seulement difficiles à corriger, mais également difficiles à suivre et à auditer, ce qui rend très probable des exploits dans la nature.

Mark James d'ESET propose une procédure simple pour déterminer si vos systèmes sont affectés. Type

env x = "() :;; echo vulnérable" bash -c "echo c'est un test"

La sortie sur un système vulnérable sera lue

vulnérable

c'est un test

Un système corrigé ou non affecté produira:

bash: warning: x: tentative de définition de la fonction ignorée

bash: erreur lors de l'importation de la définition de fonction pour 'x'

c'est un test

Il a ajouté que le bogue existe depuis très longtemps et que la communauté ne sait pas vraiment combien de systèmes en sont réellement affectés..