Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 25-09-2014 16:56:21

golgot200
Membre
Lieu : AIN
Distrib. : Debian Jessie
Noyau : Linux debian 3.16.0-4-amd64
(G)UI : MATE
Inscription : 05-08-2007

Bash : faille de sécurité

Je ne sais pas si c'est dans la bonne section mais je post.

Attention, une faille de sécurité dans bash vient d'être divulguée, il est recommandé de mettre à jour son système (plus de détails)

Trouvé ici :

http://forum.ubuntu-fr.org/viewtopic.ph … #p18120561



Je viens de faire la mise à jour.

Dernière modification par golgot200 (25-09-2014 16:58:12)


L'ultime question ... l'intelligence a besoin de la bêtise pour s'affirmer, la beauté a besoin de la laideur pour resplendir, le courage nait dans la peur, les forts impressionnent au millieu des faibles, mais au final,... qui a donc besoin d'autant de connards ?

Hors ligne

#2 25-09-2014 17:48:59

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Bash : faille de sécurité

Faille corrigée en Wheezy, Sid et Squeeze-lts.
Pour Jessie, comme d’habitude pour testing, il va falloir être plus patient.

(ceux qui font tourner leurs serveurs sous testing ne méritent de toutes façons aucune pitié de ma part)

Jouer sous Debian ? Facile !

Hors ligne

#3 25-09-2014 18:05:14

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Bash : faille de sécurité

Merci pour cette news smile

Sujet déplacé.  wink

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#4 25-09-2014 18:54:43

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS/Antix/Slackware
Noyau : 4.8.12/4.4.10/4.4.32
(G)UI : Plasma5/Fluxbox/KDE4/Trinity
Inscription : 05-03-2014

Re : Bash : faille de sécurité

Jessie a été corrigée aussi, même version que Sid:

https://security-tracker.debian.org/tra … -2014-6271

PcLinuxOs KDE Plasma 5.8.4 / Slackware -current KDE 4.14.21 sur workstation bi-processeur AMD Opteron 4234 32 Go DDR-3
antiX 16 rox/fluxbox sur laptop Toshiba Satellite C-660-2D6 Intel core I3 8Go DDR-3
PcLinuxOs Trinity Desktop+Kodi sur media-center HP Intel Celeron 2Go DDR-3

En ligne

#5 25-09-2014 18:58:07

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Bash : faille de sécurité

Waouh, ça c’est de la réactivité ou je ne m’y connais pas wink

Jouer sous Debian ? Facile !

Hors ligne

#6 26-09-2014 01:24:22

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Bash : faille de sécurité

Juste pour vous dire que DF a été mise a jour aussi sans problème.

Salutation.

MaTTuX_

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#7 26-09-2014 19:09:57

potemkine17
Membre
Distrib. : Jessie 8.3
Noyau : i386
(G)UI : KDE
Inscription : 17-09-2014

Re : Bash : faille de sécurité

bonsoir.
Apres la mise à jour de Bash , comment vérifier que tout est rentré dans l'ordre? Au message de test que j'ai renvoyé, je n'ai plus" vulnérable" en retour mais pas non plus ce que j'attendais.simplement: "this is a test". Bon ou pas bon?

Hors ligne

#8 26-09-2014 20:36:03

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Bash : faille de sécurité

potemkine17 a écrit :

Au message de test que j'ai renvoyé, je n'ai plus" vulnérable" en retour mais pas non plus ce que j'attendais.simplement: "this is a test". Bon ou pas bon?


Bon wink


Jouer sous Debian ? Facile !

Hors ligne

#9 26-09-2014 20:58:03

potemkine17
Membre
Distrib. : Jessie 8.3
Noyau : i386
(G)UI : KDE
Inscription : 17-09-2014

Re : Bash : faille de sécurité

Merci. je n'ai pas tout compris des risques que cette faille représente mais ça va mieux quand on sait le problème réglé.
À bientôt.

Hors ligne

#10 27-09-2014 10:13:48

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Bash : faille de sécurité

Pour un utilisateur Lambda : absolument aucun risque smile
Pour un serveur bien configuré : absolument aucun risque
Pour un serveur utilisant des CGI en shell ou dont le serveur SSH accepte toutes les variables d'environnement et permet de se logguer à des utilisateurs dont le shell est bash, dans ce cas il offre un shell à respectivement tout le monde ou les personnes pouvant s'identifier via ssh.

Donc vraiment vraiment très limité comme impact. Par contre, c'est une faille conceptuelle assez énorme dans bash, c'est pour ça que pas mal de gens ont réagi un peu fort…
Après, tout le monde sait que bash n'est pas sécurisé et ne doit pas être utilisé dans des CGI, ou donné comme shell à n'importe qui. Il n'est tout simplement pas fait pour.

Donc l'alerte ne concerne en fait que les mauvais administrateurs qui étaient déjà en danger. Donc de mon point de vue, elle ne change rien à la vulnérabilité des serveurs.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#11 28-09-2014 02:46:34

martinux_qc
Administrateur
Lieu : Montréal (Québec)
Distrib. : Sid
Noyau : Linux 4.7.0-1-amd64
(G)UI : XFCE 4.12
Inscription : 12-10-2008

Re : Bash : faille de sécurité

Ouais ben en tout cas, cela en énerve vraiment certain, les fait paniquer même :
Shellshock, la faille qui sème la panique

"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#12 28-09-2014 08:34:56

Invité-5
Banni(e)

Re : Bash : faille de sécurité

Merci pour cet article.

$ env x='() { :;}; echo vulnerable'
USER=ddd
XDG_SEAT=seat0
SSH_AGENT_PID=1302
HOME=/home/ddd
DESKTOP_SESSION=lightdm-xsession
XDG_SEAT_PATH=/org/freedesktop/DisplayManager/Seat0
DBUS_SESSION_BUS_ADDRESS=unix:abstract=/tmp/dbus-QkiD9LAAS1,guid=bfdca206d8844c09205c7c525427a6da
COLORTERM=xfce4-terminal
LOGNAME=ddd
WINDOWID=58720260
XDG_SESSION_ID=1
TERM=xterm
PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
SESSION_MANAGER=local/debian:@/tmp/.ICE-unix/1276,unix/debian:/tmp/.ICE-unix/1276
XDG_RUNTIME_DIR=/run/user/1001
XDG_SESSION_PATH=/org/freedesktop/DisplayManager/Session0
DISPLAY=:0.0
LANG=fr_FR.utf8
XAUTHORITY=/home/ddd/.Xauthority
SSH_AUTH_SOCK=/tmp/ssh-I90vFnoBfRPH/agent.1276
SHELL=/bin/sh
GDMSESSION=lightdm-xsession
GPG_AGENT_INFO=/tmp/gpg-kxOlwu/S.gpg-agent:1313:1
XDG_VTNR=7
PWD=/home/ddd
XDG_DATA_DIRS=/usr/share/xfce4:/usr/local/share/:/usr/share/
x=() { :;}; echo vulnerable

Je veux essayer d'exploiter également les autres distributions de la grande famille UNIX.

#13 28-09-2014 09:01:16

jiraya
Membre
Lieu : quelque part sur la planete
Distrib. : debian jessie 8.5
(G)UI : xfce
Inscription : 24-05-2013

Re : Bash : faille de sécurité

hum corriger je veux bien  sa donne que sa  : this is a test
que dire j'ai pas sa : vulnerable
                                  this is a test

et encore moins sa : bash: avertissement : x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test

Hors ligne

#14 28-09-2014 10:54:21

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Bash : faille de sécurité

jiraya : Ta version de Bash n’est pas vulnérable.

Jouer sous Debian ? Facile !

Hors ligne

#15 29-09-2014 08:37:34

D@mien
Membre
Distrib. : Gnoulinusque
Noyau : Linux 4\.[7-9]+(\.\d+)?-[1-9]+-custom
(G)UI : i3
Inscription : 22-03-2014

Re : Bash : faille de sécurité

Salut
Bah la rustine m'a péter une bonne partie de mes scripts hmm

echo '{ ls }' | bash
bash: ligne 2: erreur de syntaxe : fin de fichier prématurée
 


% cat /usr/include/sys/errno.h
#define EPERM           1               /* Operation not permitted */
[...]
#define EMACS           666             /* Too many macros */

Hors ligne

#16 29-09-2014 08:42:29

jiraya
Membre
Lieu : quelque part sur la planete
Distrib. : debian jessie 8.5
(G)UI : xfce
Inscription : 24-05-2013

Re : Bash : faille de sécurité

merci vv222 smile

Hors ligne

#17 29-09-2014 08:44:56

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Bash : faille de sécurité

@D@mien:

echo '{ ls; }' | bash


Fonctionne très bien.


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#18 29-09-2014 09:00:53

D@mien
Membre
Distrib. : Gnoulinusque
Noyau : Linux 4\.[7-9]+(\.\d+)?-[1-9]+-custom
(G)UI : i3
Inscription : 22-03-2014

Re : Bash : faille de sécurité

Ah oui,  en effet.
J'avais prévu de les envoyer à zsh mais là çà devrait être vite réparer.

Merci de l'astuce smile

Edite:
Finalement je repasse au plan 1 car il me sort maintenant des erreurs qui n'ont aucun sens...

Dernière modification par D@mien (29-09-2014 10:34:30)


% cat /usr/include/sys/errno.h
#define EPERM           1               /* Operation not permitted */
[...]
#define EMACS           666             /* Too many macros */

Hors ligne

#19 29-09-2014 15:42:29

potemkine17
Membre
Distrib. : Jessie 8.3
Noyau : i386
(G)UI : KDE
Inscription : 17-09-2014

Re : Bash : faille de sécurité

Encore une question: Ce problème affecte-il TAILS  et si oui , à quel degrés?

Hors ligne

#20 06-10-2014 09:20:23

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 28-09-2012
Site Web

Re : Bash : faille de sécurité

La faille de sécurité est plus étendu que ce que l'on pense, elle touche beaucoup d'équipements différents et permettrait la création de virus qui s'autopropage.
http://www.silicon.fr/faille-shellshock … 97165.html

Une liste des failles est disponible ici: https://github.com/mubix/shellshocker-pocs
A surveiller donc.

Hors ligne

#21 06-10-2014 17:26:33

Invité-5
Banni(e)

Re : Bash : faille de sécurité

Pour savoir

./bashcheck

#22 07-10-2014 11:45:54

Invité-5
Banni(e)

Re : Bash : faille de sécurité

Sous testing / Jessie

Testing /bin/bash ...
GNU bash, version 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)
 

Les deux derniers failles ont été trouvés mais ne sont pas exploitable.

EDIT: Sid pareil. cool

Dernière modification par Invité-5 (07-10-2014 15:54:31)

#23 08-10-2014 06:44:35

Invité-5
Banni(e)

Re : Bash : faille de sécurité

Changement de situation ce-matin

Testing /bin/bash ...
GNU bash, version 4.3.30(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)
 

smile

Pied de page des forums