Linux et Unix affectés par une faille critique dans Bash

Le
andre_debian
La vulnérabilité pourrait constituer une plus grande menace que Heartbl=
eed

www.developpez.com/actu/75661/Linux-et-Unix-affectes-par-une-faille-critiqu=
e-dans-Bash-la-vulnerabilite-pourrait-constituer-une-plus-grande-menace-que=
-Heartbleed/

http://seclists.org/oss-sec/2014/q3/649

Info, hoax ou intox ?

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/201409252224.51179.andre_debian@numericable.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
daniel huhardeaux
Le #26311587
Bonsoir,

Le 25/09/2014 22:24, a écrit :
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed

www.developpez.com/actu/75661/Linux-et-Unix-affectes-par-une-faille-critique-dans-Bash-la-vulnerabilite-pourrait-constituer-une-plus-grande-menace-que-Heartbleed/

http://seclists.org/oss-sec/2014/q3/649

Info, hoax ou intox ?



As tu fais un upgrade de ta (tes) machine(s) aujourd'hui? La réponse s'y
trouvera sûrement ;-)

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
JUPIN Alain
Le #26311697
Le 25/09/2014 22:24, a écrit :
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed

www.developpez.com/actu/75661/Linux-et-Unix-affectes-par-une-faille-critique-dans-Bash-la-vulnerabilite-pourrait-constituer-une-plus-grande-menace-que-Heartbleed/

http://seclists.org/oss-sec/2014/q3/649

Info, hoax ou intox ?

André



Bonjour,

Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de
l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)

Pour vérifier si l'on est vulnérable, exécuter cette commande :
env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Sur une machine vulnérable, on aura :
vulnerable
hello

Sinon
bash: avertissement :x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello

Alain

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Charles Plessy
Le #26311699
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :

Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors
de l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)



Bonne nouvelle:

bash (4.1-3+deb6u2) squeeze-lts; urgency=high

* Non-maintainer upload by the Security Team.
* Add variables-affix.patch patch.
Apply patch from Florian Weimer to add prefix and suffix for environment
variable names which contain shell functions.
* Add parser-oob.patch patch.
Fixes two out-of-bound array accesses in the bash parser.
* Add CVE-2014-7169.diff diff.
CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)

-- Thijs Kinkhorst
https://wiki.debian.org/LTS/Using

Disponible dans tous les bons miroirs.

Amicalement,

--
Charles Plessy
Tsurumi, Kanagawa, Japon

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Daniel Huhardeaux
Le #26311739
Le 26/09/2014 08:11, Charles Plessy a écrit :
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors
de l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)


Bonne nouvelle:

bash (4.1-3+deb6u2) squeeze-lts; urgency=high
[...]



Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette
nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à
jour est disponible.

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Frédéric MASSOT
Le #26311750
Le 26/09/2014 10:03, Daniel Huhardeaux a écrit :
Le 26/09/2014 08:11, Charles Plessy a écrit :
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors
de l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est
obsolète)


Bonne nouvelle:

bash (4.1-3+deb6u2) squeeze-lts; urgency=high
[...]



Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette
nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à
jour est disponible.




Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers
dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?


--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Francois Lafont
Le #26311772
Bonjour,

Le 25/09/2014 22:24, a écrit :
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed

www.developpez.com/actu/75661/Linux-et-Unix-affectes-par-une-faille-critique-dans-Bash-la-vulnerabilite-pourrait-constituer-une-plus-grande-menace-que-Heartbleed/

http://seclists.org/oss-sec/2014/q3/649

Info, hoax ou intox ?



Perso, même si c'est vraiment une grosse faille, ça me semble moins
grave que Heartbleed. Je vais peut-être dire des bêtises (auquel cas
je serais ravi d'avoir des explications) mais il me semble que si
l'on prend l'exemple d'un serveur Web, ça n'est pas simple de pouvoir
exploiter cette faible à distance. Parce qu'il faut déjà que le serveur
web soit amené à lancer un bash ce qui me semble pas toujours le cas
(mais il paraît que ça peut arriver avec du cgi par exemple) mais
surtout il faut que l'attaquant arrive à distance à faire en sorte
qu'une nouvelle variable d'environnement soit définie au moment où
le bash s'exécute sur le serveur et ça, ça me semble pas évident à
distance.

En effet, la faille s'exploite en définissant une variable
d'environnement qui fera partie du processus du bash. Mais si un
attaquant arrive à faire cela, alors sans même que cette faille existe,
ça veut dire qu'il peut modifier le PATH par exemple et potentiellement
déjà mettre un peu la pagaille, non ?

Je serais curieux d'avoir vos avis d'expert. ;)


--
François Lafont

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
andre_debian
Le #26311771
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'



J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :

"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"

Quid ?

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
admini
Le #26311770
Le 26/09/2014 11:16, a écrit :
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'



J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :

"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"



il faut refaire l'upgrade une fois. il y a une nouvelle upgrade de bash
ce matin, il devrait afficher que hello sans erreur.


Quid ?

André




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
David Guyot
Le #26311769
--=-+CIKpnclWaeT/WYgnnuc
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Bonjour, tout le monde.

Ce message d'erreur signifie, à mon sens, que Bash a détecté ta
tentative de création de fonction par une variable d'environnement et
l'a rejetée. Ça prouve que le correctif est appliqué chez to i.

Cordialement.

Le vendredi 26 septembre 2014 à 11:16 +0200, fr
a écrit :
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
> env x='() { :;}; echo vulnerable' bash -c 'echo hello'

J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :

"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour  « x »
hello"

Quid ?

André




--
David Guyot
Administrateur système, réseau et télécom / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
03 29 30 47 85

--=-+CIKpnclWaeT/WYgnnuc
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part
Content-Transfer-Encoding: 7bit

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=1pGf
-----END PGP SIGNATURE-----

--=-+CIKpnclWaeT/WYgnnuc--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
S
Le #26311781
Bonjour,

Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?



Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux
qui utiliseraient explicitement « /bin/bash » seraient impactés.

La meilleure parade reste de toute façon la mise-à-jour de Bash…

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Publicité
Poster une réponse
Anonyme