Claude Code v2.1.98 : 12 corrections de securite sur le sandboxing Bash en une seule release
/ 4 min read
Claude Code v2.1.98 : 12 corrections de securite sur le sandboxing Bash en une seule release
La version 2.1.98 de Claude Code, sortie le 9 avril 2026, contient 12 corrections de securite concentrees sur le systeme de permissions de l outil Bash. Les fixes couvrent des contournements par backslash, des commandes composees qui bypassaient les prompts de permission, des redirections /dev/tcp et /dev/udp auto-approuvees par erreur, et des variables d environnement prefixees qui masquaient des commandes dangereuses. En parallele, la release introduit l isolation PID namespace pour les sous-processus sur Linux et le scrubbing automatique des credentials Anthropic dans les environnements de sous-processus.
Quelles vulnerabilites de permissions Bash ont ete corrigees ?
Quatre categories de contournement. Premiere : les flags avec backslash. Une commande comme rm \-rf pouvait etre auto-approuvee comme commande read-only car le systeme de detection ne decodait pas les backslashes. Deuxieme : les commandes composees. Une commande pipee melangeant cd et une commande dangereuse pouvait contourner le prompt de permission en mode auto/bypass. Troisieme : les variables d environnement. Une commande prefixee d une variable d environnement inconnue n etait pas soumise au prompt de permission. Quatrieme : les redirections reseau. Les redirections vers /dev/tcp et /dev/udp n etaient pas detectees et etaient auto-approuvees, ce qui permettait potentiellement des connexions reseau non autorisees.
Comment fonctionne l isolation PID namespace ?
Sur Linux, quand la variable CLAUDE_CODE_SUBPROCESS_ENV_SCRUB est activee, les sous-processus lances par l outil Bash tournent dans un namespace PID isole. Concretement, le sous-processus ne voit que son propre arbre de processus, pas les autres processus de la machine. C est le meme mecanisme utilise par Docker pour l isolation des conteneurs. En complement, la variable CLAUDE_CODE_SCRIPT_CAPS permet de limiter le nombre d invocations de scripts par session, ce qui empeche un agent de lancer un nombre illimite de sous-processus. Ces deux mecanismes sont desactives par defaut et doivent etre actives explicitement via les variables d environnement.
Pourquoi le scrubbing des credentials est-il important ?
Quand Claude Code lance un sous-processus via l outil Bash, l environnement du processus parent est herite par defaut. Si la session a des variables comme ANTHROPIC_API_KEY ou des tokens cloud (AWS, GCP), le sous-processus y a acces. Avec CLAUDE_CODE_SUBPROCESS_ENV_SCRUB, ces credentials sont automatiquement retirees de l environnement du sous-processus. C est critique pour deux raisons. Premiere : un script malveillant ou un paquet npm compromis execute par Claude ne peut pas exfiltrer les credentials. Deuxieme : les agents qui executent du code utilisateur (tests, builds, scripts custom) le font dans un environnement propre sans acces aux secrets de la session.
Quelles corrections touchent le systeme de regles de permissions ?
Trois bugs dans le moteur de regles. Premier : les regles avec des noms qui matchent des proprietes du prototype JavaScript (comme toString ou constructor) causaient l ignorance silencieuse du fichier settings.json entier. Deuxieme : les regles de deny pour les commandes Bash etaient downgrade en simples prompts pour les commandes pipees contenant cd. Troisieme : les regles wildcard comme Bash(cmd:*) echouaient quand la commande contenait des espaces ou des tabs supplementaires. Ces trois bugs sont des cas limites que la plupart des utilisateurs ne rencontrent jamais, mais qui representent des failles exploitables dans un contexte d attaque ciblee.
Quelles autres corrections de securite sont dans la v2.1.98 ?
Au-dela du Bash, la release corrige des fuites de memoire dans Remote Control ou les handlers de permissions etaient retenus pendant toute la session. Elle corrige aussi le comportement de dangerously-skip-permissions qui etait silencieusement downgrade en mode accept-edits apres l approbation d une ecriture sur un chemin protege. Et les regles allow des managed-settings restaient actives apres leur suppression par l admin jusqu au redemarrage de Claude Code. La release corrige aussi la commande grep -f et rg -f qui ne demandaient pas de permission quand le fichier de patterns etait en dehors du repertoire de travail.
En resume, Claude Code v2.1.98 du 9 avril 2026 est la release de securite la plus significative depuis le lancement de l outil. 12 corrections sur le sandboxing Bash, isolation PID namespace, scrubbing des credentials et 4 fixes sur le moteur de regles de permissions. Les variables CLAUDE_CODE_SUBPROCESS_ENV_SCRUB et CLAUDE_CODE_SCRIPT_CAPS sont a activer sur les environnements de production ou Claude Code execute du code non-trusted.