crédit photo © bloomua - shutterstock
Une faille critique vient d’être découverte dans l’interpréteur Bash. Elle permet de lancer du code distant sur un serveur, chose qui peut se montrer potentiellement très dangereuse, en particulier si vos processus serveur fonctionnent avec des droits étendus (voir l’article « Shellshock : une faille dans Bash à la hauteur de Heartbleed »).
Bash est un logiciel libre faisant partie du projet GNU. La Free Software Foundation se devait de réagir sans délai. Ce qu’elle a fait : « les problèmes les plus graves ont déjà été corrigés, et une solution complète est en bonne voie. Les distributions GNU/Linux travaillent rapidement à la publication de mises à jour. Tous les utilisateurs de Bash doivent installer immédiatement les mises à jour et vérifier la liste des services réseau en cours d’exécution sur leurs systèmes. »
Les opérations de mise à jour de Bash devraient être grandement facilitées par le fait que la plupart des OS Linux utilisent des gestionnaires de paquets prenant en compte cette problématique.
« Le logiciel libre est une condition préalable pour une informatique sécurisée, poursuit la FSF. Il garantit à chacun la possibilité d’examiner le code pour détecter des vulnérabilités, et les corriger. Cette liberté ne garantit pas un code sans bogue, pas plus que dans les logiciels propriétaires : des bogues peuvent survenir, quelle que soit la licence utilisée. Mais quand un bogue est découvert dans un logiciel libre, tout le monde à l’autorisation, les droits et le code source nécessaire pour exposer et résoudre le problème. »
En l’occurrence, c’est ici Red Hat qui s’est rapproché des équipes de développement du projet Bash et leur a fourni un correctif. Des patches pour Bash 3.0, 3.1, 3.2, 4.0, 4.1, 4.2 et 4.3 sont accessibles directement sur le FTP du projet GNU.
Sur le même thème
Alerte aux failles de sécurité pour Adobe Reader et Adobe Acrobat
5 mois après : le bilan de la faille Heartbleed
Crédit photo : © Bloomua – Shutterstock
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…