Avis ID vasco-sa-20140930-bash
Numéro de révision 1.0
Date de sortie 30 septembre 2014 12:00 PM UTC
Dernière mise à jour 17 octobre 2014 12:00 PM UTC
Résumé
Le 24 septembre 2014, la fondation GNU a annoncé publiquement une vulnérabilité dans la coquille GNU Bash. Bash est une coquille Unix développée dans le cadre du projet GNU en remplacement de la coquille Bourne (sh). Il a été largement distribué dans le cadre du système d'exploitation GNU et est la coquille par défaut pour Linux et OS X. La vulnérabilité est communément appelée la vulnérabilité "shellshock".
De nombreux démons internet, y compris telnet, SSH et serveurs web, invoquer la coquille Bash. La coquille Bash utilise des variables environnementales pour transmettre l'information dans les processus qui en découlent. La vulnérabilité permet à un attaquant d'injecter des commandes arbitraires dans une coquille Bash à l'aide de variables d'environnement spécialement conçues.
L'impact spécifique de la vulnérabilité dépend du processus utilisant la coquille Bash. Dans le pire des cas, un attaquant distant non authentifié serait en mesure d'exécuter des commandes sur un serveur affecté.
Produits touchés
Les produits et services OneSpan suivants sont affectés par la vulnérabilité :
- aXsGUARD Gatekeeper (toutes les versions)
- IDENTIKEY Federation Server (versions 1.3, 1.4 et 1.5)
- MYDIGIPASS.COM
Description
La coquille Bash utilise des variables environnementales pour transmettre l'information dans les processus qui en découlent. Les variables environnementales peuvent être utilisées pour stocker les définitions de fonction. Ces variables environnementales commencent par « () ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '
Toutefois, Bash exécute n'importe quel code dans la variable de l'environnement après la définition de la fonction. Cela permet à un attaquant de créer une définition de fonction telle que :
FUNCTMD() - ignorer; echo shellshock
Cela entraînerait l'exécution du code « echo shellshock » lorsque Bash traite ses variables environnementales.
L'impact de cette vulnérabilité sur les produits OneSpan varie en fonction du produit affecté et de la nature de l'utilisation du produit.
Cette vulnérabilité a été attribuée aux ID CVE-2014-6271 et CVE-2014-7169.
Score de gravité
Les tableaux ci-dessous indiquent le score de vulnérabilité CVSS 2.0.
1. Vecteurs d'attaque qui ne nécessitent pas d'authentification
| Score de base CVSS: 7.5 | |||||
| Accès Vector | Complexité d'accès |
Authentification |
Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| réseau | Faible | Aucun | qui aime bien | qui aime bien | qui aime bien |
| Score temporel CVSS: 7.1 | ||
| Exploitabilité | Niveau d'assainissement | Confiance du rapport |
| fonctionnel | Non défini | Confirmé |
2. Vecteurs d'attaque nécessitant une authentification
| Score de base CVSS: 6.5 | |||||
| Accès Vector | Complexité d'accès | Authentification | Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| réseau | Faible | Seul | qui aime bien | qui aime bien | qui aime bien |
| Score temporel CVSS: 6.2 | ||
| Exploitabilité | Niveau d'assainissement | Confiance du rapport |
| fonctionnel | Non défini | Confirmé |
Corrections de produits
OneSpan a patché les produits suivants:
- aXsGUARD Gatekeeper 7.6.5, 7.7.0, 7.7.1, 7.7.2 et 7.7.3
OneSpan a corrigé le service suivant :
- MYDIGIPASS.COM
OneSpan publiera des correctifs pour les produits suivants :
- IDENTIKEY Federation Server 1.4.4 et 1.5.3, à paraître le 22 octobre 2014
Emplacement
Pour les produits aXsGUARD Gatekeeper :
OneSpan a déjà déployé des correctifs pour les produits aXsGUARD Gatekeeper via le service de mise à jour automatisée. Les clients qui ne permettent pas à leur système de recevoir mis à jour via ce service doivent contacter OneSpan pour obtenir des instructions sur la façon d'obtenir le patch.
Pour les autres produits :
Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance. Les clients sans contrat de maintenance doivent contacter leur représentant commercial.
référence
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
Avis de non-responsabilité juridique
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.
?? GNU Bash Environnement Variable Command Injection Vulnerability in OneSpan products GNU Bash