Résumé des correctifs pour la vulnérabilité critique dans Bash

Numéro : AV14-079
Date : le 1er octobre  2014

Objet

L'objectif de cet avis est d’offrir un résumé des vulnérabilités récemment dévoilées dans Bash et de fournir une liste de correctifs disponibles pour ces vulnérabilités.

Évaluation

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) est au courant d'une vulnérabilité hautement critique dans Bash. En raison de la complexité des vulnérabilités trouvées et des programmes de corrections qui y sont associés, provenant de divers fournisseurs, le CCRIC offre cet avis à titre d'endroit central où obtenir l’information la plus actuelle.

Les services internet qui font appel à Bash sont considérés comme à risque élevé d'exploitation, tels que, mais sans s'y limiter, Apache cgi‑bin et OpenSSH. D’autres services pourraient utiliser Bash, dont les serveurs Web, les équilibreurs de charges, *[les appareils de périmètre de sécurité], les serveurs VoIP, les rétrovirus, les réseaux privés virtuels (RPV), les serveurs DHCP, les routeurs et l’[aiguillage].

Distribution – mise à jour :

La National Vulnerability Database (NVD) fournit un résumé de chaque vulnérabilité ainsi que des références à des avertissements, des solutions et des outils. Le CCRIC recommande de surveiller de près ces liens pour obtenir des mises à jour aux correctifs des fournisseurs.

Mesures Recommandées

Le CCRIC recommande que les administrateurs des systèmes déterminent les produits touchés et leur possible interdépendance avec les services essentiels de l’organisme et suivent leur processus de gestion des correctifs en conséquence.
• Installez les correctifs dans votre système le plus tôt possible et vérifiez que l’installation a été effectuée correctement. L’installation de ces correctifs représente le meilleur moyen de défense contre l’exploitation de ces vulnérabilités.

Références :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :