Bien qu'il soit techniquement complètement différent, sur le papier le Bash bug est au moins aussi grave que la faille Heartbleed qui a fait la une il y a six mois. La faille vient du Bourne-Again Shell (Bash), auquel on peut effectivement faire exécuter des commandes dans des contextes dans lesquels ce devrait être impossible, en définissant des variables d'environnement en l'occurrence.
La ligne de commande servant de preuve de concept est assez explicite, même pour un profane :
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
La commande est supposée définir une fonction Bash, mais le shell exécute en fait aussitôt les commandes qui lui sont apposées, alors qu'il ne devrait pas. Dans cet exemple on se contente de retourner du texte, mais on pourrait exécuter n'importe quelle autre commande.
Or Bash est l'interpréteur de commandes par défaut de nombreux systèmes d'exploitation Linux et Unix (dont OS X), il est par conséquent sollicité à de nombreuses occasions, potentiellement par un serveur Web.
Dans certains cas un internaute peut donc exécuter des commandes et saboter un serveur ou obtenir des informations auxquelles il n'aurait pas accès autrement. Le bug ne permet pas d'obtenir d'élévation des privilèges, le périmètre est donc limité dans la plupart des cas. Mais un serveur DHCP malveillant par exemple peut transmettre des variables et donc faire exécuter des commandes à un ordinateur personnel lorsqu'il se connecte au réseau, or le client DHCP bénéficie souvent des droits administrateur (root).
Fort heureusement sur le marché des objets connectés, de nombreux produits reposent sur BusyBox, une distribution Linux allégée intégrant un shell différent, baptisé « Almquist shell » (ash).
Une nouvelle version corrigée de Bash a immédiatement été publiée. Elle est d'ores et déjà proposée par la plupart des distributions Linux, telles que Debian, Ubuntu, Red Hat ou Fedora. Les utilisateurs sont invités à mettre à jour leur système dès que possible. Mais certains experts en sécurité soulignent qu'elle ne comble que partiellement la faille. Il y aura donc des suites ces prochains jours, que nous ne manquerons pas de relayer.