RE: Linux et Unix affectés par une faille critique dans Bash

--_0052f56e-f0ec-4fd3-8d2c-1217605504ec_
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="utf-8"

Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet


ovd <valentin.ovd@live.fr>
________________________________
De : Frédéric MASSOT<mailto:frederic@juliana-multimedia.com>
Envoyé : ‎26/‎09/‎2014 12:17
À : debian-user-french@lists.debian.org<mailto:debian-user-french@list=
s.debian.org>
Objet : Re: Linux et Unix affectés par une faille critique dans Bash

Le 26/09/2014 11:44, Sébastien NOBILI a écrit :
> Bonjour,
>
> Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a=
écrit :
>> Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers =
dash
>> empêche ce type d'attaque ou limite l'attaque à certain CGI ma=
l écrit ?
>
> Si tous les CGI utilisent « /bin/sh », alors pas de problÃ=
¨me. En revanche, ceux
> qui utiliseraient explicitement « /bin/bash » seraient impact=
és.
>
> La meilleure parade reste de toute façon la mise-à-jour de Bash=
…

D'après ce que je comprends, le problème toucherait toutes appl=
ications
visibles sur Internet et qui utiliserait Bash avec les fonctions du type
system(), popen(), etc, et donc quelque soit le langage utilisé=
, PHP,
Python


--
==

| FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==
==Debian=GNU/Linux

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54253D2E.3020007@juliana-multimedia.com


--_0052f56e-f0ec-4fd3-8d2c-1217605504ec_
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="utf-8"

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<div>
<div style="font-family: Calibri,sans-serif; font-size: 11pt;">Le f=
ix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet<br>
<br>
<br>
ovd &lt;valentin.ovd@live.fr&gt;</div>
</div>
<div dir="ltr">
<hr>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">De :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;"><a href="mailto:frederic@juliana-multimedia.com">Frédéric =
MASSOT</a></span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">Envoyé :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;">‎26/‎09/‎2014 12:17</span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">À&nbsp;:
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;"><a href="mailto:debian-user-french@lists.debian.org">debian-user-fre=
nch@lists.debian.org</a></span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">Objet :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;">Re: Linux et Unix affectés par une faille critique dans Bash</spa=
n><br>
<br>
</div>
<div class="BodyFragment">
<div class="PlainText">Le 26/09/2014 11:44, Sébastien NOBILI a Ã=
©crit :<br>
&gt; Bonjour,<br>
&gt;<br>
&gt; Le vendredi 26 septembre 2014 à 11:03, Frédéric MAS=
SOT a écrit :<br>
&gt;&gt; Sur un serveur web, est-ce que le fait d'avoir le lien &quot=
;/bin/sh&quot; vers dash<br>
&gt;&gt; empêche ce type d'attaque ou limite l'attaque à cert=
ain CGI mal écrit ?<br>
&gt;<br>
&gt; Si tous les CGI utilisent « /bin/sh », alors pas de prob=
lème. En revanche, ceux<br>
&gt; qui utiliseraient explicitement « /bin/bash » seraient imp=
actés.<br>
&gt;<br>
&gt; La meilleure parade reste de toute façon la mise-à-jour de=
Bash…<br>
<br>
D'après ce que je comprends, le problème toucherait toutes appl=
ications <br>
visibles sur Internet et qui utiliserait Bash avec les fonctions du type <b=
r>
system(), popen(), etc, et donc quelque soit le langage utilisé=
, PHP, <br>
Python<br>
<br>
<br>
-- <br>
==
<br>
|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&n=
bsp;&nbsp;&nbsp;&nbsp; FRÉDÉRIC MASSOT&nbsp;&nbsp;&nb=
sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp=
;&nbsp;&nbsp; |<br>
|&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://www.juliana-multimedia.=
com">http://www.juliana-multimedia.com</a>&nbsp;&nbsp;&nbsp;&nbsp;&=
nbsp; |<br>
|&nbsp;&nbsp; <a href="mailto:frederic@juliana-multimedia.com">mailto=
:frederic@juliana-multimedia.com</a>&nbsp;&nbsp; |<br>
| &#43;33.(0)2.97.54.77.94&nbsp; &#43;33.(0)6.67.19.95.69 |<br>
==
==Debian=GNU/Linux<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists">http://wiki.debian.org/fr=
/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubsc=
ribe&quot;<br>
vers debian-user-french-REQUEST@lists.debian.org<br>
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org<br>
Archive: <a href="https://lists.debian.org/54253D2E.3020007@juliana-multi=
media.com">
https://lists.debian.org/54253D2E.3020007@juliana-multimedia.com</a><br>
<br>
</div>
</div>
</body>
</html>

--_0052f56e-f0ec-4fd3-8d2c-1217605504ec_--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/DUB408-EAS148EBDF8AEC18C979D9695886BF0@phx.gbl