Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 26-09-2014 13:39:28

laguespa
Membre
Distrib. : Jessie
Noyau : 4.2.0-0.bpo.1-amd64
(G)UI : Mate
Inscription : 25-09-2009

Faille de sécurité Linux.

Bonjour.

J'imagine que tout le monde est déjà au courant...
Une faille de sécurité a été récemment découverte pour Linux et Mac OS X.
http://www.01net.com/editorial/627512/l ... et-max-os/

Le remède consiste à mettre à jour nos distributions :

 aptitude update && aptitude upgrade


ou à ne mettre à jour que bash :

apt-get update && apt-get install --only-upgrade bash



A+


"Ce serait peut-être l’une des plus grandes opportunités manquées de notre époque si le logiciel libre ne libérait rien d’autre que du code."

Hors ligne

#2 26-09-2014 13:44:42

Lunatic
Membre
Lieu : Lyon
Distrib. : Fedora 24
Noyau : Linux 4.6.5-300.fc24.x86_64
(G)UI : Gnome
Inscription : 03-08-2013
Site Web

Re : Faille de sécurité Linux.

Salut,

Il y a déjà un topic concernant cette faille smile

Je suis aussi sur Twitter et nouvellement sur Diaspora*
Mon blog de geekeries : HAL-9000

(J'applique la règle de proximité)

Hors ligne

#3 26-09-2014 13:44:43

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité Linux.

Plop smile

Ça n'est pas une faille de sécurité Linux mais une faille de sécurité Bash.

Ensuite, bon, le bruit fait autour d'elle est un peu démesuré par rapport aux risques réels…

Bash n'est pas une application connue pour être sécurisée, c'est pourquoi aucun utilisateur extérieur ne doit pouvoir envoyer des données qui seront exécutées par bash.
Si vous êtes bien dans ce cas, alors vous ne craignez rien.
Si vous avez un gitolite ou autre autorisant les connexions par ssh, alors il est peut-être temps de changer le shell de login de l'utilisateur par dash smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#4 26-09-2014 14:08:25

laguespa
Membre
Distrib. : Jessie
Noyau : 4.2.0-0.bpo.1-amd64
(G)UI : Mate
Inscription : 25-09-2009

Re : Faille de sécurité Linux.

C'est bon à savoir. Je me doutais bien que ça ne me concernait pas pauvre utilisateur de base que je suis. smile

J'aimerais comprendre par quel mécanisme cette faille est exploitable. Apparemment il faudrait déjà autoriser une connexion ssh depuis l'extérieur pour que soit exécutée une commande dans le shell bash via le navigateur internet. C'est ça ?

C'est en général le cas sur les serveurs d'autoriser une connexion ssh non ?
Cependant c'est rare qu'on fasse de la navigation internet avec un serveur non ?

Bref, je ne comprends pas comment on peut exploiter ça.

Dernière modification par laguespa (26-09-2014 14:09:03)


"Ce serait peut-être l’une des plus grandes opportunités manquées de notre époque si le logiciel libre ne libérait rien d’autre que du code."

Hors ligne

#5 26-09-2014 19:57:34

Comral
Membre
Lieu : Poitiers
Distrib. : Debian 8.2
Noyau : 3.16.0-4-amd64
(G)UI : KDE 4.12
Inscription : 30-05-2014

Re : Faille de sécurité Linux.

La faille de sécurité, ça serait pas plutôt 01net? (désolé, envie de troll)

Hors ligne

Pied de page des forums