Imprimer

Shellshock

.

Mitigation ou correction ?

Mitigation de la vulnérabilité

La mitigation est difficile. Tous les processus accessibles depuis un environnement hostile devraient s'exécuter en isolation du système d'exploitation (mise en cage : jail, chroot) et la cage ne devrait pas contenir d'interpréteur de commandes. C'est plus facile à dire qu'à faire. Rien ne garantit, hormis des audits approfondis, qu'il n'existe pas, caché au fond d'une obscure configuration, un démon ayant la capacité de lancer bash.

Même si, dans votre serveur Web, vous n'avez pas de code écrit en shell, rien n'exclut que l'un ou l'autre des programmes fassent appel à bash (plus exactement à une fonction de type system(), laquelle peut invoquer l'interpréteur par défaut).

Correction de la vulnérabilité

La correction se fait en mettant à jour bash, vers la version 4.2 patch 50 au minimum. Cette correction doit être faite sur tout système disposant de bash, y compris les appliances et autres équipements embarqués.

Il est à noter que la découverte de la vulnérabilité initiale a amené à l'identification en cascade d'autres vulnérabilités  (toujours autour de la définition de variables d'environnement contenant des fonctions). Il est donc possible que de nouveaux correctifs soient produits à un rythme assez élevé sur les jours qui viennent.

Une autre possibilité est d'éliminer bash et d'utiliser un autre interpréteur de commandes.