Bash : faille de sécurité

Anonyme · 25-09-2014 15:56:21

Je ne sais pas si c'est dans la bonne section mais je post.

Attention, une faille de sécurité dans bash vient d'être divulguée, il est recommandé de mettre à jour son système (plus de détails)

Trouvé ici :

http://forum.ubuntu-fr.org/viewtopic.ph … #p18120561

Je viens de faire la mise à jour.

Dernière modification par Anonyme (25-09-2014 15:58:12)

vv222 · 25-09-2014 16:48:59

Faille corrigée en Wheezy, Sid et Squeeze-lts.
Pour Jessie, comme d’habitude pour testing, il va falloir être plus patient.

(ceux qui font tourner leurs serveurs sous testing ne méritent de toutes façons aucune pitié de ma part)

paskal · 25-09-2014 17:05:14

Merci pour cette news

Sujet déplacé.

yoshi · 25-09-2014 17:54:43

Jessie a été corrigée aussi, même version que Sid:

https://security-tracker.debian.org/tra … -2014-6271

vv222 · 25-09-2014 17:58:07

Waouh, ça c’est de la réactivité ou je ne m’y connais pas

MaTTuX_ · 26-09-2014 00:24:22

Juste pour vous dire que DF a été mise a jour aussi sans problème.

Salutation.

MaTTuX_

potemkine17 · 26-09-2014 18:09:57

bonsoir.
Apres la mise à jour de Bash , comment vérifier que tout est rentré dans l'ordre? Au message de test que j'ai renvoyé, je n'ai plus" vulnérable" en retour mais pas non plus ce que j'attendais.simplement: "this is a test". Bon ou pas bon?

vv222 · 26-09-2014 19:36:03

potemkine17 a écrit :

Au message de test que j'ai renvoyé, je n'ai plus" vulnérable" en retour mais pas non plus ce que j'attendais.simplement: "this is a test". Bon ou pas bon?

Bon

potemkine17 · 26-09-2014 19:58:03

Merci. je n'ai pas tout compris des risques que cette faille représente mais ça va mieux quand on sait le problème réglé.
À bientôt.

captnfab · 27-09-2014 09:13:48

Pour un utilisateur Lambda : absolument aucun risque

Pour un serveur bien configuré : absolument aucun risque
Pour un serveur utilisant des CGI en shell ou dont le serveur SSH accepte toutes les variables d'environnement et permet de se logguer à des utilisateurs dont le shell est bash, dans ce cas il offre un shell à respectivement tout le monde ou les personnes pouvant s'identifier via ssh.

Donc vraiment vraiment très limité comme impact. Par contre, c'est une faille conceptuelle assez énorme dans bash, c'est pour ça que pas mal de gens ont réagi un peu fort…
Après, tout le monde sait que bash n'est pas sécurisé et ne doit pas être utilisé dans des CGI, ou donné comme shell à n'importe qui. Il n'est tout simplement pas fait pour.

Donc l'alerte ne concerne en fait que les mauvais administrateurs qui étaient déjà en danger. Donc de mon point de vue, elle ne change rien à la vulnérabilité des serveurs.

martinux_qc · 28-09-2014 01:46:34

Ouais ben en tout cas, cela en énerve vraiment certain, les fait paniquer même :
Shellshock, la faille qui sème la panique

Invité-5 · 28-09-2014 07:34:56

Merci pour cet article.

$ env x='() { :;}; echo vulnerable'
USER=ddd
XDG_SEAT=seat0
SSH_AGENT_PID=1302
HOME=/home/ddd
DESKTOP_SESSION=lightdm-xsession
XDG_SEAT_PATH=/org/freedesktop/DisplayManager/Seat0
DBUS_SESSION_BUS_ADDRESS=unix:abstract=/tmp/dbus-QkiD9LAAS1,guid=bfdca206d8844c09205c7c525427a6da
COLORTERM=xfce4-terminal
LOGNAME=ddd
WINDOWID=58720260
XDG_SESSION_ID=1
TERM=xterm
PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
SESSION_MANAGER=local/debian:@/tmp/.ICE-unix/1276,unix/debian:/tmp/.ICE-unix/1276
XDG_RUNTIME_DIR=/run/user/1001
XDG_SESSION_PATH=/org/freedesktop/DisplayManager/Session0
DISPLAY=:0.0
LANG=fr_FR.utf8
XAUTHORITY=/home/ddd/.Xauthority
SSH_AUTH_SOCK=/tmp/ssh-I90vFnoBfRPH/agent.1276
SHELL=/bin/sh
GDMSESSION=lightdm-xsession
GPG_AGENT_INFO=/tmp/gpg-kxOlwu/S.gpg-agent:1313:1
XDG_VTNR=7
PWD=/home/ddd
XDG_DATA_DIRS=/usr/share/xfce4:/usr/local/share/:/usr/share/
x=() { :;}; echo vulnerable

Je veux essayer d'exploiter également les autres distributions de la grande famille UNIX.

jiraya · 28-09-2014 08:01:16

hum corriger je veux bien sa donne que sa : this is a test
que dire j'ai pas sa : vulnerable
this is a test

et encore moins sa : bash: avertissement : x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test

vv222 · 28-09-2014 09:54:21

jiraya : Ta version de Bash n’est pas vulnérable.

D@mien · 29-09-2014 07:37:34

Salut
Bah la rustine m'a péter une bonne partie de mes scripts

echo '{ ls }' | bash

bash: ligne 2: erreur de syntaxe : fin de fichier prématurée

jiraya · 29-09-2014 07:42:29

merci vv222

captnfab · 29-09-2014 07:44:56

@D@mien:

echo '{ ls; }' | bash

Fonctionne très bien.

D@mien · 29-09-2014 08:00:53

Ah oui, en effet.
J'avais prévu de les envoyer à zsh mais là çà devrait être vite réparer.

Merci de l'astuce

Edite:
Finalement je repasse au plan 1 car il me sort maintenant des erreurs qui n'ont aucun sens...

Dernière modification par D@mien (29-09-2014 09:34:30)

potemkine17 · 29-09-2014 14:42:29

Encore une question: Ce problème affecte-il TAILS et si oui , à quel degrés?

kao · 06-10-2014 08:20:23

La faille de sécurité est plus étendu que ce que l'on pense, elle touche beaucoup d'équipements différents et permettrait la création de virus qui s'autopropage.
http://www.silicon.fr/faille-shellshock … 97165.html

Une liste des failles est disponible ici: https://github.com/mubix/shellshocker-pocs
A surveiller donc.

Invité-5 · 06-10-2014 16:26:33

Pour savoir

./bashcheck

Invité-5 · 07-10-2014 10:45:54

Sous testing / Jessie

Testing /bin/bash ...

GNU bash, version 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable

Not vulnerable to CVE-2014-6271 (original shellshock)

Not vulnerable to CVE-2014-7169 (taviso bug)

Not vulnerable to CVE-2014-7186 (redir_stack bug)

Test for CVE-2014-7187 not reliable without address sanitizer

Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)

Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

Les deux derniers failles ont été trouvés mais ne sont pas exploitable.

EDIT: Sid pareil.

Dernière modification par Invité-5 (07-10-2014 14:54:31)

Invité-5 · 08-10-2014 05:44:35

Changement de situation ce-matin

Testing /bin/bash ...

GNU bash, version 4.3.30(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable

Not vulnerable to CVE-2014-6271 (original shellshock)

Not vulnerable to CVE-2014-7169 (taviso bug)

Not vulnerable to CVE-2014-7186 (redir_stack bug)

Test for CVE-2014-7187 not reliable without address sanitizer

Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)

Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

Debian-facile

#1 25-09-2014 15:56:21

Bash : faille de sécurité

#2 25-09-2014 16:48:59

Re : Bash : faille de sécurité

#3 25-09-2014 17:05:14

Re : Bash : faille de sécurité

#4 25-09-2014 17:54:43

Re : Bash : faille de sécurité

#5 25-09-2014 17:58:07

Re : Bash : faille de sécurité

#6 26-09-2014 00:24:22

Re : Bash : faille de sécurité

#7 26-09-2014 18:09:57

Re : Bash : faille de sécurité

#8 26-09-2014 19:36:03

Re : Bash : faille de sécurité

#9 26-09-2014 19:58:03

Re : Bash : faille de sécurité

#10 27-09-2014 09:13:48

Re : Bash : faille de sécurité

#11 28-09-2014 01:46:34

Re : Bash : faille de sécurité

#12 28-09-2014 07:34:56

Re : Bash : faille de sécurité

#13 28-09-2014 08:01:16

Re : Bash : faille de sécurité

#14 28-09-2014 09:54:21

Re : Bash : faille de sécurité

#15 29-09-2014 07:37:34

Re : Bash : faille de sécurité

#16 29-09-2014 07:42:29

Re : Bash : faille de sécurité

#17 29-09-2014 07:44:56

Re : Bash : faille de sécurité

#18 29-09-2014 08:00:53

Re : Bash : faille de sécurité

#19 29-09-2014 14:42:29

Re : Bash : faille de sécurité

#20 06-10-2014 08:20:23

Re : Bash : faille de sécurité

#21 06-10-2014 16:26:33

Re : Bash : faille de sécurité

#22 07-10-2014 10:45:54

Re : Bash : faille de sécurité

#23 08-10-2014 05:44:35

Re : Bash : faille de sécurité

Pied de page des forums