Red Hat a récemment a annoncé un bug majeur lié à la sécurité dans le shell Bash. Certains l'appellent le bogue "shellshock". Puisque OS X est construit à partir d'Unix, est-il vulnérable aux attaques qui exploitent ce bogue ?
En tant qu'utilisateur final, dois-je m'inquiéter d'un correctif immédiat ? Ou est-il préférable pour moi d'attendre une mise à jour logicielle officielle d'Apple ?
Oui, vous l'êtes. techniquement vulnérables. Alors si vous avez envie de paniquer ou de facturer à un client paniqué quelques heures de travail en panique, allez-y !
Mais en réalité, à moins que vous n'autorisiez un accès SSH à partir de connexions distantes ou un serveur web qui exécute des scripts côté serveur, vous n'êtes pas en danger. Vous n'êtes vraiment vulnérable que si quelqu'un que vous ne connaissez pas peut accéder à distance à votre machine et le faire de manière à ce qu'une commande Bash puisse être exécutée.
Cela signifie que votre Mac de bureau - qui n'exécute pas vraiment d'applications de serveur d'aucune sorte - ne court aucun risque sérieux. Je suis prêt à faire preuve d'humilité, mais je ne pense pas que la majorité des utilisateurs de Mac seront en danger au bout du compte.
Ce problème concerne donc principalement les administrateurs système sur les serveurs Mac OS X et Unix/Linux exposés au monde entier, et non les utilisateurs de bureau qui n'activent pas le partage SSH.
Il existe peut-être un risque de création d'un malware ou d'un virus Mac pour exploiter ce risque, mais j'en doute.
EDIT : Et juste pour préciser que ce problème n'est, à mon humble avis, pas vraiment un problème pour la plupart des utilisateurs moyens, oui je peux exécuter la commande suivante à partir de bash sur Mac OS X 10.9.5 :
env x='() { :;}; echo vulnerable' bash -c 'echo hello'Et je vois ça :
vulnerable
helloDevinez quoi ? C'est seulement terrifiant si vous ne réfléchissez pas rationnellement. Je devais déjà être connecté à mon Mac pour pouvoir ouvrir le terminal. Et pour contredire ce que j'ai dit plus haut à propos de SSH, pour arriver au point où je peux exécuter ce test, même si SSH est activé, il faut que je sois connecté pour commencer. Et ensuite - admettons que j'obtienne l'accès via SSH - la commande ne me permet pas de faire QUELQUE CHOSE au-delà de mes droits d'utilisateur normaux, comme ceci :
env x='() { :;}; echo vulnerable' bash -c 'cat /etc/ssh_host_rsa_key'Ce qui signifie que si vous êtes vraiment vulnérable à l'exploitation par ce piratage, votre sécurité de base sur le système devrait être tellement compromise que le fait que bash a un défaut est vraiment le moindre de vos problèmes.
Il s'agit d'une préoccupation d'un point de vue global de contrôle et de droits, étant donné que le potentiel pour permettre un accès involontaire puisque le comportement s'étend en dehors des normes attendues. Mais à mon humble avis, il ne s'agit pas d'un risque comparable à celui d'OpenSSL ou des risques de type "laissez-moi laisser mon mot de passe sur une note collée à mon écran".
A la fin de la journée, je suis toujours Parcheando tous mes serveurs Linux/Unix que j'exécute comme procédure standard. Et je patcherai volontiers les Macs que je gère dès qu'un correctif sera disponible. Mais pour une utilisation pratique au jour le jour, je me sens bien de ne pas m'inquiéter à ce sujet, car je ne comprends pas comment une faille qui ne permet pas d'élever les privilèges de l'utilisateur s'ajoute à quoi que ce soit.
UPDATE : Mot officiel d'Apple posté ici ; c'est moi qui souligne :
"La grande majorité des utilisateurs d'OS X n'est pas exposée au risque de contracter la récente vulnérabilités de bash," a déclaré un porte-parole d'Apple à iMore. "Bash, un shell de commande UNIX et langage de commande UNIX inclus dans OS X, présente une faiblesse qui pourrait permettre à des utilisateurs non autorisés de prendre le contrôle à distance de systèmes vulnérables. Avec OS X, les systèmes sont sûrs par défaut et ne sont pas exposés à à des exploitations à distance de bash, sauf si les utilisateurs configurent des services UNIX avancés. Nous travaillons à fournir rapidement une mise à jour du logiciel pour nos produits avancés. utilisateurs UNIX avancés."
Traduction : Ce que j'ai dit plus haut sur le fait que c'était un problème de serveur et non de client ? Exactement.
UN UDPATE FINAL : Pour tous ceux qui ont des difficultés à compiler à partir des sources, Apple a officiellement publié, le 29 septembre, des correctifs pour Mac OS X 10.9.5, 10.8.5 et 10.7.5 :
ENCORE UNE DERNIÈRE MISE À JOUR : Et maintenant, Apple vient de publier une mise à jour de sécurité combinée aujourd'hui qui comprend le bash mise à jour également !
Remarque : la mise à jour de sécurité 2014-005 inclut le contenu de sécurité d'OS X. bash Mise à jour 1.0
Oui !
Tapez ceci dans votre shell
env x='() { :;}; echo vulnerable' bash -c 'echo hello'S'il est écrit vulnerable alors vous êtes vulnérable.
S'il est écrit
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
helloalors vous êtes bon.
Editar: lien vers le correctif
En tant que utilisateur final vérifiez-le :
votre compte invité est désactivé :
System Preferences > Users & Groups > Guest Uservotre ssh l'accès est désactivé :
System Preferences > Sharing > Remote LoginPar défaut, ils sont tous deux désactivés sur Mavericks.
En tant que utilisateur final c'est plus sûr d'attendre une mise à jour de sécurité officielle d'Apple corrigeant ce problème bash vulnérabilité.
Toutes les machines Mac OS X sont techniquement vulnérables à "Shellshock", jusqu'à ce qu'Apple publie une mise à jour de sécurité qui corrige bash, mais
Votre question devrait être : Puis-je être piraté à distance ?
Il y a tellement de logiciels qui utilisent bash distraitement que répondre à cette question est extrêmement difficile. Si vous êtes inquiet, je vous suggérerais plusieurs changements dans System Preferences pour empêcher les exploitations à distance :
Si vous êtes particulièrement inquiet, appuyez sur la touche Firewall bouton d'options pour :
Automatically allow signed software to receive incoming connections .Block all incoming connections .Il y a toujours une chance respectable que vous soyez vulnérable à une attaque de niveau utilisant DHCP, Bonjour, etc., mais si vous avez besoin d'un autre service, vous pouvez évidemment le laisser fonctionner en espérant qu'il ne sera pas exploité. Et vous devrez également laisser le pare-feu plus ouvert. Tout ira bien si votre machine se trouve derrière un autre pare-feu.
Par ailleurs, existe-t-il des attaques locales par escalade de privilèges permises par "Shellshock" ? Oui, presque certainement. Je ne m'inquiéterais pas cependant car Mac OS X a suffisamment d'attaques similaires. Les bugs d'escalade de privilèges locaux ne sont pas corrigés rapidement. Et Apple en crée fréquemment avec les services activés par Apple script. Partez simplement du principe que toutes les machines Mac OS X sont toujours vulnérables aux attaques locales. Si vous avez besoin d'assister à des conférences de hackers comme DEFCON, achetez une machine Linux à cette fin.
Mise à jour : Il existe des instructions pour recompilation de votre propre bash corrigé y d'autres questions ont porté sur la façon de procéder aussi. Je vais le faire moi-même, mais je pense que c'est un peu exagéré si vous n'avez pas de serveurs et que vous gardez le pare-feu d'Apple activé de toute façon.
Mise à jour : Si vous êtes à l'aise avec l'utilisation d'un terminal, il existe un programme appelé execsnoop mentionné aquí qui vous permettra de tester si bash est habituellement appelé par les processus de votre serveur. Ce n'est pas une solution miracle puisque le processus serveur peut appeler bash uniquement dans des situations inhabituelles, mais cela vous donnera une bonne idée.
Enfin, Apple n'est pas très doué pour Parcheando les failles de sécurité, mais ils sont bons en relations publiques, donc cela sera patché relativement vite. Il est donc raisonnable de penser "je n'ai pas besoin de courir plus vite que l'ours, j'ai seulement besoin de courir plus vite que le grand nombre de serveurs facilement exploitables sur internet". :)
J'ai fait cet outil dès que j'ai entendu parler de cette vulnérabilité. Il vous fournira un lien vers un article pour patcher votre shell si l'outil détermine que vous êtes vulnérable.
Nécessite Mac OS X 10.6 et plus.
LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.
