La faille "Shellshock" loin d'être réglée ?

Alors que les éditeurs -Apple compris- se veulent rassurants sur la fameuse faille touchant le Bash, il semblerait que les correctifs proposés jusque là soient bien loin de régler le problème. L'expert en sécurité David A. Wheeler a posté un message dans les listes de l'Open Source Software Security (oss-sec) dans lequel il estime que les patchs proposés actuellement sont insuffisants. Certaines commandes (comme cat, un outil de concaténation) permettrait de passer outre les nouvelles protections. L'homme propose d'autres solutions, qui ne seraient pas sans poser de problèmes : elles contribueraient tout simplement à casser la compatibilité existante des scripts. Cela étant, notre cher Wheeler n'est pas le seul à évoquer la nécessité d'un changement profond du bash pour se prémunir d'éventuelles attaques futures liées à Shellshock. Tout cela est un peu technique, mais si le sujet vous intéresse, les discussions se poursuivent ici.