--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/201409252224.51179.andre_debian@numericable.fr
As tu fais un upgrade de ta (tes) machine(s) aujourd'hui? La réponse s'y
trouvera sûrement ;-)
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54247C78.4090706@tootai.net
Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Pour vérifier si l'on est vulnérable, exécuter cette commande : env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Sur une machine vulnérable, on aura : vulnerable hello
Sinon bash: avertissement :x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello
Alain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 25/09/2014 22:24, andre_debian@numericable.fr a écrit :
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed
Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de
l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Pour vérifier si l'on est vulnérable, exécuter cette commande :
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Sur une machine vulnérable, on aura :
vulnerable
hello
Sinon
bash: avertissement :x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello
Alain
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5424FFF6.50205@jupin.net
Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Pour vérifier si l'on est vulnérable, exécuter cette commande : env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Sur une machine vulnérable, on aura : vulnerable hello
Sinon bash: avertissement :x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello
Alain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Charles Plessy
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Bonne nouvelle:
bash (4.1-3+deb6u2) squeeze-lts; urgency=high
* Non-maintainer upload by the Security Team. * Add variables-affix.patch patch. Apply patch from Florian Weimer to add prefix and suffix for environment variable names which contain shell functions. * Add parser-oob.patch patch. Fixes two out-of-bound array accesses in the bash parser. * Add CVE-2014-7169.diff diff. CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors
de l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Bonne nouvelle:
bash (4.1-3+deb6u2) squeeze-lts; urgency=high
* Non-maintainer upload by the Security Team.
* Add variables-affix.patch patch.
Apply patch from Florian Weimer to add prefix and suffix for environment
variable names which contain shell functions.
* Add parser-oob.patch patch.
Fixes two out-of-bound array accesses in the bash parser.
* Add CVE-2014-7169.diff diff.
CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140926061102.GA13233@falafel.plessy.net
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Bonne nouvelle:
bash (4.1-3+deb6u2) squeeze-lts; urgency=high
* Non-maintainer upload by the Security Team. * Add variables-affix.patch patch. Apply patch from Florian Weimer to add prefix and suffix for environment variable names which contain shell functions. * Add parser-oob.patch patch. Fixes two out-of-bound array accesses in the bash parser. * Add CVE-2014-7169.diff diff. CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Daniel Huhardeaux
Le 26/09/2014 08:11, Charles Plessy a écrit :
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à jour est disponible.
-- Daniel
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 26/09/2014 08:11, Charles Plessy a écrit :
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors
de l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette
nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à
jour est disponible.
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54251DB7.5050407@tootai.net
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à jour est disponible.
-- Daniel
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Frédéric MASSOT
Le 26/09/2014 10:03, Daniel Huhardeaux a écrit :
Le 26/09/2014 08:11, Charles Plessy a écrit :
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à jour est disponible.
Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
-- ============================================= | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto: | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ==========================Þbian=GNU/Linux== -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 26/09/2014 10:03, Daniel Huhardeaux a écrit :
Le 26/09/2014 08:11, Charles Plessy a écrit :
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors
de l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est
obsolète)
Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette
nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à
jour est disponible.
Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers
dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54252BE0.8060208@juliana-multimedia.com
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à jour est disponible.
Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
-- ============================================= | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto: | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ==========================Þbian=GNU/Linux== -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Francois Lafont
Bonjour,
Le 25/09/2014 22:24, a écrit :
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed
Perso, même si c'est vraiment une grosse faille, ça me semble moins grave que Heartbleed. Je vais peut-être dire des bêtises (auquel cas je serais ravi d'avoir des explications) mais il me semble que si l'on prend l'exemple d'un serveur Web, ça n'est pas simple de pouvoir exploiter cette faible à distance. Parce qu'il faut déjà que le serveur web soit amené à lancer un bash ce qui me semble pas toujours le cas (mais il paraît que ça peut arriver avec du cgi par exemple) mais surtout il faut que l'attaquant arrive à distance à faire en sorte qu'une nouvelle variable d'environnement soit définie au moment où le bash s'exécute sur le serveur et ça, ça me semble pas évident à distance.
En effet, la faille s'exploite en définissant une variable d'environnement qui fera partie du processus du bash. Mais si un attaquant arrive à faire cela, alors sans même que cette faille existe, ça veut dire qu'il peut modifier le PATH par exemple et potentiellement déjà mettre un peu la pagaille, non ?
Je serais curieux d'avoir vos avis d'expert. ;)
-- François Lafont
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Bonjour,
Le 25/09/2014 22:24, andre_debian@numericable.fr a écrit :
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed
Perso, même si c'est vraiment une grosse faille, ça me semble moins
grave que Heartbleed. Je vais peut-être dire des bêtises (auquel cas
je serais ravi d'avoir des explications) mais il me semble que si
l'on prend l'exemple d'un serveur Web, ça n'est pas simple de pouvoir
exploiter cette faible à distance. Parce qu'il faut déjà que le serveur
web soit amené à lancer un bash ce qui me semble pas toujours le cas
(mais il paraît que ça peut arriver avec du cgi par exemple) mais
surtout il faut que l'attaquant arrive à distance à faire en sorte
qu'une nouvelle variable d'environnement soit définie au moment où
le bash s'exécute sur le serveur et ça, ça me semble pas évident à
distance.
En effet, la faille s'exploite en définissant une variable
d'environnement qui fera partie du processus du bash. Mais si un
attaquant arrive à faire cela, alors sans même que cette faille existe,
ça veut dire qu'il peut modifier le PATH par exemple et potentiellement
déjà mettre un peu la pagaille, non ?
Je serais curieux d'avoir vos avis d'expert. ;)
--
François Lafont
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54252D9D.5090400@free.fr
Perso, même si c'est vraiment une grosse faille, ça me semble moins grave que Heartbleed. Je vais peut-être dire des bêtises (auquel cas je serais ravi d'avoir des explications) mais il me semble que si l'on prend l'exemple d'un serveur Web, ça n'est pas simple de pouvoir exploiter cette faible à distance. Parce qu'il faut déjà que le serveur web soit amené à lancer un bash ce qui me semble pas toujours le cas (mais il paraît que ça peut arriver avec du cgi par exemple) mais surtout il faut que l'attaquant arrive à distance à faire en sorte qu'une nouvelle variable d'environnement soit définie au moment où le bash s'exécute sur le serveur et ça, ça me semble pas évident à distance.
En effet, la faille s'exploite en définissant une variable d'environnement qui fera partie du processus du bash. Mais si un attaquant arrive à faire cela, alors sans même que cette faille existe, ça veut dire qu'il peut modifier le PATH par exemple et potentiellement déjà mettre un peu la pagaille, non ?
Je serais curieux d'avoir vos avis d'expert. ;)
-- François Lafont
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
andre_debian
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"
Quid ?
André
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/201409261116.29103.andre_debian@numericable.fr
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"
il faut refaire l'upgrade une fois. il y a une nouvelle upgrade de bash
ce matin, il devrait afficher que hello sans erreur.
Quid ?
André
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5425303A.4010609@freeatome.com
--=-+CIKpnclWaeT/WYgnnuc Content-Type: application/pgp-signature; name="signature.asc" Content-Description: This is a digitally signed message part Content-Transfer-Encoding: 7bit
--=-+CIKpnclWaeT/WYgnnuc
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part
Content-Transfer-Encoding: 7bit
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/1411723176.28127.20.camel@Antares.europecamions-interactive.com
--=-+CIKpnclWaeT/WYgnnuc Content-Type: application/pgp-signature; name="signature.asc" Content-Description: This is a digitally signed message part Content-Transfer-Encoding: 7bit
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
S
Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux qui utiliseraient explicitement « /bin/bash » seraient impactés.
La meilleure parade reste de toute façon la mise-à-jour de Bash…
Seb
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux
qui utiliseraient explicitement « /bin/bash » seraient impactés.
La meilleure parade reste de toute façon la mise-à-jour de Bash…
Seb
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140926094405.GA16795@sebian.nob900.homeip.net