bash bug

par

Bash Bug et Fork Bomb

À part les sciences, je m’intéresse beaucoup à l’univers de l’informatique depuis les années 90. Aujourd’hui je tombe sur un article sur la sécurité informatique. Mais si cet article fait référence à un bug qui menace les entreprises, je dois souligner que ce problème particulier existe depuis au moins une vingtaine d’années si ce n’est plus…

En effet, la première fois que j’entendis parler de ce type de bug avec Bash (qui concerne les systèmes Linux et Unix), c’était il y a plusieurs années, il y a peut-être 6 ou 7 ou 10 ans déjà. Ce bug est connu sous le nom de fork bombhttp://fr.wikipedia.org/wiki/Fork_bomb

Je m’aperçois encore aujourd’hui que les distributions GNU/Linux sont toujours vulnérables. J’ai testé sur Linux Mint 17 (distribution sortie en 2014) par exemple, et c’est vulnérable. Pourtant, il est possible de se protéger de ce bug, comme ce qui est écrit dans l’article suivant : http://doc.ubuntu-fr.org/tutoriel/comment_se_proteger_des_fork_bomb

Pour se protéger de ce bug : on limite le nombre maximum des processus chargés dans la mémoire vive, on peut aussi filtrer tout ce qui est écrit dans le shell par exemple au moyen d’une macrocommande comme la commande alias (je viens d’essayer mais ça ne marche pas car il faut une chaîne alphanumérique pour définir un alias), ou mieux, au moyen d’un programme filtrant (programmé en langage C) qui fait le relai entre le terminal et bash.

Pour tester la vulnérabilité d’un système qui utilise bash, on tape ceci dans le shell :

  • env x='() { :;}; echo vulnerable’ bash -c « echo this is a test »

Je suis vulnérable…

Surtout, ne pas taper la ligne de commande d’une fork bomb citée en exemple dans l’article de Wikipedia (cela provoque la saturation de la mémoire vive du système, et il faudra rebooter, j’avais pris le risque de tester). Le meilleur moyen de tester sans risque est d’utiliser un live-CD de Linux.

Ainsi, le Bash Bug n’est pas un problème nouveau, il existe depuis longtemps. Trop longtemps. Mieux vaut prévenir que guérir. Il ne faut jamais négliger la sécurité informatique, surtout quand les concernés sont des entreprises.

La pire faille de sécurité en informatique, c’est l’être humain lui-même… La preuve, avec ce que l’on voit avec l’essor du phishing sur Internet…

© 2014 John Philip C. Manson