Loading AI tools
vulnérabilité du shell Unix bash De Wikipédia, l'encyclopédie libre
Pour les articles homonymes, voir Shellshock.
Shellshock, aussi appelé Bashdoor, est une vulnérabilité logicielle présente dans le shell Unix bash. Elle a été découverte en septembre 2014[1].
Cet article est une ébauche concernant la sécurité de l'information.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.
De nombreux serveurs réseaux, tels que les serveurs web, utilisent bash pour traiter certaines commandes, ce qui permet à un attaquant d'exécuter des commandes arbitraires sur les versions vulnérables de cette interface système. Cela peut donc permettre à un « attaquant » d'obtenir un accès non autorisé à un système informatique.
Quand un serveur web sous Unix ou linux (apache ou autres) utilise Common Gateway Interface (CGI), il est possible que le shell utilisé soit le bash, et dans ce cas, sur les anciennes versions de bash, le serveur web sera vulnérable à une attaque shellshock.
Plus techniquement, l'attaque utilise une variable d'environnement (par exemple HTTP_USER_AGENT) et la fonction system(3).
Sur des serveurs DHCP (Unix ou linux) utilisant le wi-fi et une version trop ancienne de bash, une attaque shellshock pourra être effectuée avec succès.
Pour certaines configurations, le serveur de messagerie qmail pourrait être vulnérable à une attaque shellshock[2].
L'attaque se sert de la variable d'environnement SSH_ORIGINAL_COMMAND et de la spécification "ForceCommand".
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
