lo-ol

“Less is more.”

Attention, ce billet date de plus de 3 mois.
Les informations qu'il contient ne sont peut-être plus à jour.


ShellShock et Synology

Rédigé par lolo • 26 septembre 2014 • Aucun commentaire

Pour ceux qui n'auraient pas suivi l'actualité de ces derniers jours, une gigantesque faille nommée ShellShock a été découverte dans le célébrissime interpréteur de commande "Bash" sous Linux (et également sous Mac Os). Je ne vais pas revenir sur celle-ci, de nombreux sites l'ont déjà fait (par exemple https://shellshocker.net/).

Apparement, cette vulnérabilité existe depuis une vingtaine d'années mais maintenant qu'elle est connue, c'est le branle-bas de combat entre les pirates en herbes qui vont s'en donner à coeur-joie et les sys-admin qui vont devoir payer les pôts cassés. En tout cas, après la désormais célèbre faille "HeartBleed", voilà qui ne va pas redorer le blason du monde du libre...

Bref, maintenant que le problème est connu, la question est de savoir s'il nous impacte en tant que possesseur de nas Synology.

Pour cela, il suffit de se connecter à son nas depuis un terminal et de lancer la commande suivante pour connaitre le shell utilisé :

$ echo $SHELL

Si vous n'avez pas installé de paquets alternatifs via ipkg, vous devriez avoir comme résultat :

/bin/ash

Il s'agit du shell utilisé par défaut par le nas. Il n'est pas impacté par la vulnérabilité. Pour s'en assurer, vous pouvez tester les commandes ci-dessous :

Exploit 1 (CVE-2014-6271)

env x='() { :;}; echo vulnerable' /bin/ash -c "echo this is a test"

Exploit 2 (CVE-2014-7169)

env X='() { (a)=>\' /bin/ash -c "echo date"; cat echo ; rm -f echo

Ouf, c'est rassurant smiley.

En revanche, si vous avez installé bash depuis le gestionnaire de paquets ipkg, vous êtes concerné par la faille et je vous conseille de l'enlever au plus vite :

$ /opt/bin/ipkg remove bash

Si vous souhaiter garder un shell un peu plus évolué que celui installé par défaut, vous pouvez vous tourner vers zsh qui est au moins aussi bien que bash, la vulnérabilité en moins.

Écrire un commentaire

Quelle est la troisième lettre du mot vyla ? :