OS X : Apple publie un correctif pour la faille critique dans le Bash

Apple vient de publier un correctif pour les trois dernières versions de son système d'exploitation OS X afin de corriger une faille de sécurité critique dans le Bash (Terminal). Cette faille critique touche un des shells disponibles sur Unix (OS X, la plupart des distributions Linux, ...) : Bash. Toutes les versions de la 1.14 à la 4.3 sont touchées par cette faille qui est très importante puisqu'elle offre un vecteur d'attaque permettant de compromettre la cible et en prendre le contrôle touchant pratiquement tous les systèmes Unix - Bash étant très répandu.

Pour tester votre vulnérabilité ou non, tapez simplement cette ligne de commande dans un terminal :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si vous n'êtes pas touché par la faille, la réponse devrait être similaire à celle-ci :

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for 'x'

this is a test

Au contraire, si vous êtes vulnérable vous aurez droit au message suivant :

vulnerable

this is a test

De nombreuses distributions ont déjà publiées des mises à jour pour corriger le problème, Apple vient de faire de même pour les trois dernières versions de son système d'exploitation dont voici les liens de téléchargement (également disponible via le Mac App Store) :

• OS X Bash Update 1.0 pour OS X 10.8 Lion
• OS X Bash Update 1.0 pour OS X 10.9 Mountain Lion
• OS X Bash Update 1.0 pour OS X 10.9 Mavericks

Si vous avez sous votre contrôle d'autres machines Unix/Linux, il est important les mettre à jour au plus vite.