crédit photo © bloomua - shutterstock
Une faille critique vient d’être découverte dans l’interpréteur Bash. Elle permet de lancer du code distant sur un serveur, chose qui peut se montrer potentiellement très dangereuse, en particulier si vos processus serveur fonctionnent avec des droits étendus (voir l’article « Shellshock : une faille dans Bash à la hauteur de Heartbleed »).
Bash est un logiciel libre faisant partie du projet GNU. La Free Software Foundation se devait de réagir sans délai. Ce qu’elle a fait : « les problèmes les plus graves ont déjà été corrigés, et une solution complète est en bonne voie. Les distributions GNU/Linux travaillent rapidement à la publication de mises à jour. Tous les utilisateurs de Bash doivent installer immédiatement les mises à jour et vérifier la liste des services réseau en cours d’exécution sur leurs systèmes. »
Les opérations de mise à jour de Bash devraient être grandement facilitées par le fait que la plupart des OS Linux utilisent des gestionnaires de paquets prenant en compte cette problématique.
« Le logiciel libre est une condition préalable pour une informatique sécurisée, poursuit la FSF. Il garantit à chacun la possibilité d’examiner le code pour détecter des vulnérabilités, et les corriger. Cette liberté ne garantit pas un code sans bogue, pas plus que dans les logiciels propriétaires : des bogues peuvent survenir, quelle que soit la licence utilisée. Mais quand un bogue est découvert dans un logiciel libre, tout le monde à l’autorisation, les droits et le code source nécessaire pour exposer et résoudre le problème. »
En l’occurrence, c’est ici Red Hat qui s’est rapproché des équipes de développement du projet Bash et leur a fourni un correctif. Des patches pour Bash 3.0, 3.1, 3.2, 4.0, 4.1, 4.2 et 4.3 sont accessibles directement sur le FTP du projet GNU.
Sur le même thème
Alerte aux failles de sécurité pour Adobe Reader et Adobe Acrobat
5 mois après : le bilan de la faille Heartbleed
Crédit photo : © Bloomua – Shutterstock
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…