logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 25-09-2014 15:56:21

Anonyme
Invité

Bash : faille de sécurité

Je ne sais pas si c'est dans la bonne section mais je post.

Attention, une faille de sécurité dans bash vient d'être divulguée, il est recommandé de mettre à jour son système (plus de détails)

Trouvé ici :

http://forum.ubuntu-fr.org/viewtopic.ph … #p18120561



Je viens de faire la mise à jour.

Dernière modification par Anonyme (25-09-2014 15:58:12)

#2 25-09-2014 16:48:59

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Bash : faille de sécurité

Faille corrigée en Wheezy, Sid et Squeeze-lts.
Pour Jessie, comme d’habitude pour testing, il va falloir être plus patient.

(ceux qui font tourner leurs serveurs sous testing ne méritent de toutes façons aucune pitié de ma part)

Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#3 25-09-2014 17:05:14

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Bash : faille de sécurité

Merci pour cette news smile

Sujet déplacé.  wink

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#4 25-09-2014 17:54:43

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : Bash : faille de sécurité

Jessie a été corrigée aussi, même version que Sid:

https://security-tracker.debian.org/tra … -2014-6271

Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#5 25-09-2014 17:58:07

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Bash : faille de sécurité

Waouh, ça c’est de la réactivité ou je ne m’y connais pas wink

Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#6 26-09-2014 00:24:22

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : Bash : faille de sécurité

Juste pour vous dire que DF a été mise a jour aussi sans problème.

Salutation.

MaTTuX_

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#7 26-09-2014 18:09:57

potemkine17
Membre
Distrib. : Débian Bookworm Cinnamon
Noyau : amd64
Inscription : 17-09-2014

Re : Bash : faille de sécurité

bonsoir.
Apres la mise à jour de Bash , comment vérifier que tout est rentré dans l'ordre? Au message de test que j'ai renvoyé, je n'ai plus" vulnérable" en retour mais pas non plus ce que j'attendais.simplement: "this is a test". Bon ou pas bon?

Hors ligne

#8 26-09-2014 19:36:03

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Bash : faille de sécurité

potemkine17 a écrit :

Au message de test que j'ai renvoyé, je n'ai plus" vulnérable" en retour mais pas non plus ce que j'attendais.simplement: "this is a test". Bon ou pas bon?


Bon wink


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#9 26-09-2014 19:58:03

potemkine17
Membre
Distrib. : Débian Bookworm Cinnamon
Noyau : amd64
Inscription : 17-09-2014

Re : Bash : faille de sécurité

Merci. je n'ai pas tout compris des risques que cette faille représente mais ça va mieux quand on sait le problème réglé.
À bientôt.

Hors ligne

#10 27-09-2014 09:13:48

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Bash : faille de sécurité

Pour un utilisateur Lambda : absolument aucun risque smile
Pour un serveur bien configuré : absolument aucun risque
Pour un serveur utilisant des CGI en shell ou dont le serveur SSH accepte toutes les variables d'environnement et permet de se logguer à des utilisateurs dont le shell est bash, dans ce cas il offre un shell à respectivement tout le monde ou les personnes pouvant s'identifier via ssh.

Donc vraiment vraiment très limité comme impact. Par contre, c'est une faille conceptuelle assez énorme dans bash, c'est pour ça que pas mal de gens ont réagi un peu fort…
Après, tout le monde sait que bash n'est pas sécurisé et ne doit pas être utilisé dans des CGI, ou donné comme shell à n'importe qui. Il n'est tout simplement pas fait pour.

Donc l'alerte ne concerne en fait que les mauvais administrateurs qui étaient déjà en danger. Donc de mon point de vue, elle ne change rien à la vulnérabilité des serveurs.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#11 28-09-2014 01:46:34

martinux_qc
Anar
Lieu : Montréal (Québec)
Distrib. : Debian 11 stable
Noyau : Linux 5.10.0-8-amd64
(G)UI : XFCE 4.16
Inscription : 12-10-2008

Re : Bash : faille de sécurité

Ouais ben en tout cas, cela en énerve vraiment certain, les fait paniquer même :
Shellshock, la faille qui sème la panique

"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#12 28-09-2014 07:34:56

Invité-5
Banni(e)

Re : Bash : faille de sécurité

Merci pour cet article.

$ env x='() { :;}; echo vulnerable'
USER=ddd
XDG_SEAT=seat0
SSH_AGENT_PID=1302
HOME=/home/ddd
DESKTOP_SESSION=lightdm-xsession
XDG_SEAT_PATH=/org/freedesktop/DisplayManager/Seat0
DBUS_SESSION_BUS_ADDRESS=unix:abstract=/tmp/dbus-QkiD9LAAS1,guid=bfdca206d8844c09205c7c525427a6da
COLORTERM=xfce4-terminal
LOGNAME=ddd
WINDOWID=58720260
XDG_SESSION_ID=1
TERM=xterm
PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
SESSION_MANAGER=local/debian:@/tmp/.ICE-unix/1276,unix/debian:/tmp/.ICE-unix/1276
XDG_RUNTIME_DIR=/run/user/1001
XDG_SESSION_PATH=/org/freedesktop/DisplayManager/Session0
DISPLAY=:0.0
LANG=fr_FR.utf8
XAUTHORITY=/home/ddd/.Xauthority
SSH_AUTH_SOCK=/tmp/ssh-I90vFnoBfRPH/agent.1276
SHELL=/bin/sh
GDMSESSION=lightdm-xsession
GPG_AGENT_INFO=/tmp/gpg-kxOlwu/S.gpg-agent:1313:1
XDG_VTNR=7
PWD=/home/ddd
XDG_DATA_DIRS=/usr/share/xfce4:/usr/local/share/:/usr/share/
x=() { :;}; echo vulnerable

Je veux essayer d'exploiter également les autres distributions de la grande famille UNIX.

#13 28-09-2014 08:01:16

jiraya
Membre
Inscription : 24-05-2013

Re : Bash : faille de sécurité

hum corriger je veux bien  sa donne que sa  : this is a test
que dire j'ai pas sa : vulnerable
                                  this is a test

et encore moins sa : bash: avertissement : x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test

Hors ligne

#14 28-09-2014 09:54:21

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Bash : faille de sécurité

jiraya : Ta version de Bash n’est pas vulnérable.

Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#15 29-09-2014 07:37:34

D@mien
Membre
Distrib. : Gnoulinusque
Noyau : Linux 4\.\d+(\.\d+)?-[1-9]+-custom
(G)UI : i3
Inscription : 22-03-2014

Re : Bash : faille de sécurité

Salut
Bah la rustine m'a péter une bonne partie de mes scripts hmm

echo '{ ls }' | bash
bash: ligne 2: erreur de syntaxe : fin de fichier prématurée
 


% cat /usr/include/sys/errno.h
#define EPERM           1               /* Operation not permitted */
[...]
#define EMACS           666             /* Too many macros */

Hors ligne

#16 29-09-2014 07:42:29

jiraya
Membre
Inscription : 24-05-2013

Re : Bash : faille de sécurité

merci vv222 smile

Hors ligne

#17 29-09-2014 07:44:56

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Bash : faille de sécurité

@D@mien:

echo '{ ls; }' | bash


Fonctionne très bien.


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#18 29-09-2014 08:00:53

D@mien
Membre
Distrib. : Gnoulinusque
Noyau : Linux 4\.\d+(\.\d+)?-[1-9]+-custom
(G)UI : i3
Inscription : 22-03-2014

Re : Bash : faille de sécurité

Ah oui,  en effet.
J'avais prévu de les envoyer à zsh mais là çà devrait être vite réparer.

Merci de l'astuce smile

Edite:
Finalement je repasse au plan 1 car il me sort maintenant des erreurs qui n'ont aucun sens...

Dernière modification par D@mien (29-09-2014 09:34:30)


% cat /usr/include/sys/errno.h
#define EPERM           1               /* Operation not permitted */
[...]
#define EMACS           666             /* Too many macros */

Hors ligne

#19 29-09-2014 14:42:29

potemkine17
Membre
Distrib. : Débian Bookworm Cinnamon
Noyau : amd64
Inscription : 17-09-2014

Re : Bash : faille de sécurité

Encore une question: Ce problème affecte-il TAILS  et si oui , à quel degrés?

Hors ligne

#20 06-10-2014 08:20:23

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 27-09-2012
Site Web

Re : Bash : faille de sécurité

La faille de sécurité est plus étendu que ce que l'on pense, elle touche beaucoup d'équipements différents et permettrait la création de virus qui s'autopropage.
http://www.silicon.fr/faille-shellshock … 97165.html

Une liste des failles est disponible ici: https://github.com/mubix/shellshocker-pocs
A surveiller donc.

Hors ligne

#21 06-10-2014 16:26:33

Invité-5
Banni(e)

Re : Bash : faille de sécurité

Pour savoir

./bashcheck

#22 07-10-2014 10:45:54

Invité-5
Banni(e)

Re : Bash : faille de sécurité

Sous testing / Jessie

Testing /bin/bash ...
GNU bash, version 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)
 

Les deux derniers failles ont été trouvés mais ne sont pas exploitable.

EDIT: Sid pareil. cool

Dernière modification par Invité-5 (07-10-2014 14:54:31)

#23 08-10-2014 05:44:35

Invité-5
Banni(e)

Re : Bash : faille de sécurité

Changement de situation ce-matin

Testing /bin/bash ...
GNU bash, version 4.3.30(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)
 

smile

Pied de page des forums