Les postes de travail OS X ordinaires sont-ils menacés par le bogue bash "Shellshock" (CVE-2014-6271)?
J'ai récemment entendu parler de CVE-2014-6271 via Twitter.
Les postes de travail OS X ordinaires, qui n'agissent pas comme un serveur Web, risquent-ils de recevoir des attaques qui pourraient exploiter cette vulnérabilité?
Définissez le "risque".
Le cœur de cette attaque consiste à créer une variable d'environnement qui ressemble à une fonction de script Bash mais se termine par l'appel d'un programme, puis à exécuter Bash. Bash verra la variable d'environnement, l'analysera, puis continuera d'analyser après la fin de la fonction et exécutera le programme.
Toute méthode de déclenchement de l'exécution de Bash avec au moins une variable d'environnement contrôlée par l'attaquant fonctionnera. Les attaques CGI du serveur Web retiennent l'attention en ce moment, mais un utilisateur qui se connecte via SSH pourrait le faire (une connexion échouée, cependant, ne peut pas). Il est possible que certains serveurs FTP puissent le déclencher (par exemple, en exécutant un script post-téléchargement). Un programme d'installation basé sur PackageMaker pourrait le déclencher, mais si vous exécutez un programme d'installation hostile, vous avez de plus gros problèmes que cela. Il existe probablement de nombreuses autres façons également.
Il est peu probable qu'un utilisateur de bureau moyen effectuant des activités d'utilisateur de bureau moyen ait des vecteurs d'attaque ouverts qui pourraient être utilisés pour déclencher ce bogue, mais Bash apparaît dans suffisamment d'endroits inattendus qu'il est impossible de dire avec certitude.
Ce que vous devez faire est de déterminer quels processus exécutent bash. Sur les systèmes Linux, une vulnérabilité semble résider dans la façon dont les requêtes DHCP sont gérées.
Vous pouvez envisager d'utiliser execsnoop pour repérer ce qui fonctionne bash, puis essayer de faire des choses normales - comme se connecter à un réseau wifi ou parcourir des pages Web qui nécessitent des aides externes (par exemple, quelque chose comme iTunes). Vérifiez si bash est exécuté, puis utilisez d'autres outils dtrace pour voir si vous pouvez inspecter les environnements.
Cependant, pour être honnête, il serait plus logique de mettre à jour votre machine dès qu'un correctif est disponible. Je n'en ai pas encore vu pour OS X (mais je n'ai pas cherché depuis quelques heures), mais je garderais un œil et mettrais à jour quand cela se produirait.
Non, pour autant que je sache, ordinaire les bureaux OS X ne le sont pas.
OS X DHCP n'est pas vulnérable. De nos jours, il n'invoque même pas du tout un Shell, et dans les versions qui utilisaient un bootpd qui did invoque un Shell, ce Shell n'était pas Bash; certains sites ont suggéré que cela aurait été tcsh qui a été exécuté, mais je pense que cela aurait en fait été /bin/sh, qui (de mémoire) sur les anciennes versions d'OS X était l'implémentation BSD du Bourne Shell, pas Bash.
Si vous exécutez Apache et que vous utilisez Vanilla CGI (qui est pas normal pour un bureau OS X) avec Bash, vous êtes vulnérable.
De même, si vous utilisez une machine OS X pour exécuter un serveur SSH restreint à l'aide de ForceCommand, vous êtes vulnérable. Encore une fois, c'est pas normal pour un bureau OS X.
Quant aux différents processus serveur d'Apple, bien que je ne les ai pas tous vérifiés, de mémoire, ils ont tendance à utiliser Twisted puis à les inverser par proxy en utilisant Apache. Cela n'implique pas CGI et n'est pas vulnérable.