Mise à jour 1.0 d'OS X Bash pour remédier à une faille de sécurité de Shellshock

Apple a publié une importante mise à jour de sécurité pour les utilisateurs de Mac, appelée OS X Bash Update 1.0. Cette mise à jour corrige une faille de sécurité critique récemment découverte connue sous le nom de "Shellshock" qui affecte le shell bash, le shell par défaut utilisé par l'application Terminal d'OS X. Il est recommandé à tous les utilisateurs de l'installer même s'ils n'utilisent pas l'application Terminal, bash ou la ligne de commande sur Mac.

Le téléchargement est très petit, pesant environ 3,5 Mo, et les notes de publication indiquent simplement "Cette mise à jour corrige une faille de sécurité dans le shell UNIX bash. Le correctif de sécurité est actuellement disponible en trois téléchargements distincts pour OS X Mavericks 10.9.5, OS X Mountain Lion et OS X Lion. Un correctif de bash pour les versions bêta publique et Developer Preview d'OS X Yosemite n'est pas encore disponible.

Les utilisateurs peuvent télécharger le fichier DMG approprié pour leur version d'OS X via les liens ci-dessous :

Notez que les utilisateurs de Mac doivent disposer de la dernière version de leur version respective pour installer la mise à jour. Bien qu'il s'agisse d'une petite mise à jour, il est conseillé de faire une sauvegarde rapide de votre Mac avec Time Machine ou le logiciel de sauvegarde de votre choix avant d'installer une mise à jour du système.

Pour l'instant, la mise à jour Bash d'OS X n'est disponible que sur le site web d'Apple, mais il est probable qu'elle sera également publiée dans un proche avenir par le biais du mécanisme de mise à jour logicielle d'OS X.

Bien qu'il soit peu probable que la plupart des utilisateurs de Mac aient été touchés par une brèche de sécurité particulière, ou risquent d'être touchés par l'exploit Shellshock bash, c'est quand même une bonne idée d'installer des correctifs de sécurité critiques comme celui-ci. Apple a précédemment fait la déclaration suivante à MacRumors concernant la faille et les personnes qu'elle pourrait toucher :

"Bash, un shell de commande UNIX et un langage inclus dans OS X, présente une faiblesse qui pourrait permettre à des utilisateurs non autorisés de prendre le contrôle à distance de systèmes vulnérables. Avec OS X, les systèmes sont sûrs par défaut et ne sont pas exposés aux exploits à distance du Bash, sauf si les utilisateurs configurent des services UNIX avancés. Nous nous efforçons de fournir rapidement une mise à jour logicielle pour nos utilisateurs avancés d'UNIX".

Les "services UNIX avancés" auxquels Apple fait référence sont vraisemblablement le Remote Login et le serveur SSH, qui permettent l'administration à distance, bien qu'un utilisateur ait toujours besoin d'un login valide pour accéder à un Mac, et un autre vecteur d'attaque théorique par les faiblesses trouvé possible grâce au serveur web Apache OS X optionnel, qui permet aux utilisateurs de Mac d'héberger des pages web directement depuis leur Mac. Là encore, il est assez peu probable que de nombreux utilisateurs de Mac aient été exposés à des risques, même s'ils utilisent les fonctionnalités de connexion à distance ou de serveur web d'OS X.

Que diriez-vous d'un patch Bash pour Mac OS X Snow Leopard ?

Pour les utilisateurs de Mac fonctionnant sous OS X 10.6.8 Snow Leopard, vous disposez de quelques options pour patcher bash :

  • Vous pouvez installer manuellement la dernière version de bash avec gcc, homebrew, ou MacPorts
  • Vous pouvez installer manuellement les patchs Lion bash ci-dessus soit en extrayant le fichier pkg de la version OS X de Lion et en copiant manuellement les nouvelles versions de bash dans Snow Leopard, soit en modifiant le fichier Distributions pour permettre l'installation sur Snow Leopard

Pour l'instant, Apple n'a pas publié de patch officiel de bash pour Snow Leopard, ce qui signifie que 10,6 utilisateurs devront installer la nouvelle version de bash eux-mêmes.

Click to rate this post!
[Total: 0 Average: 0]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *