RE: Linux et Unix affectés par une faille critique dans Bash
Le
valentin OVD

--_0052f56e-f0ec-4fd3-8d2c-1217605504ec_
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="utf-8"
Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet
ovd <valentin.ovd@live.fr>
________________________________
De : Frédéric MASSOT<mailto:frederic@juliana-multimedia.com>
Envoyé : ‎26/‎09/‎2014 12:17
À : debian-user-french@lists.debian.org<mailto:debian-user-french@list=
s.debian.org>
Objet : Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 11:44, Sébastien NOBILI a écrit :
> Bonjour,
>
> Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a=
écrit :
>> Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers =
dash
>> empêche ce type d'attaque ou limite l'attaque à certain CGI ma=
l écrit ?
>
> Si tous les CGI utilisent « /bin/sh », alors pas de problÃ=
¨me. En revanche, ceux
> qui utiliseraient explicitement « /bin/bash » seraient impact=
és.
>
> La meilleure parade reste de toute façon la mise-à -jour de Bash=
…
D'après ce que je comprends, le problème toucherait toutes appl=
ications
visibles sur Internet et qui utiliserait Bash avec les fonctions du type
system(), popen(), etc, et donc quelque soit le langage utilisé=
, PHP,
Python
--
==
| FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==
==Debian=GNU/Linux
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54253D2E.3020007@juliana-multimedia.com
--_0052f56e-f0ec-4fd3-8d2c-1217605504ec_
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="utf-8"
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<div>
<div style="font-family: Calibri,sans-serif; font-size: 11pt;">Le f=
ix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet<br>
<br>
<br>
ovd <valentin.ovd@live.fr></div>
</div>
<div dir="ltr">
<hr>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">De :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;"><a href="mailto:frederic@juliana-multimedia.com">Frédéric =
MASSOT</a></span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">Envoyé :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;">‎26/‎09/‎2014 12:17</span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">À :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;"><a href="mailto:debian-user-french@lists.debian.org">debian-user-fre=
nch@lists.debian.org</a></span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">Objet :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;">Re: Linux et Unix affectés par une faille critique dans Bash</spa=
n><br>
<br>
</div>
<div class="BodyFragment">
<div class="PlainText">Le 26/09/2014 11:44, Sébastien NOBILI a Ã=
©crit :<br>
> Bonjour,<br>
><br>
> Le vendredi 26 septembre 2014 à 11:03, Frédéric MAS=
SOT a écrit :<br>
>> Sur un serveur web, est-ce que le fait d'avoir le lien "=
;/bin/sh" vers dash<br>
>> empêche ce type d'attaque ou limite l'attaque à cert=
ain CGI mal écrit ?<br>
><br>
> Si tous les CGI utilisent « /bin/sh », alors pas de prob=
lème. En revanche, ceux<br>
> qui utiliseraient explicitement « /bin/bash » seraient imp=
actés.<br>
><br>
> La meilleure parade reste de toute façon la mise-à -jour de=
Bash…<br>
<br>
D'après ce que je comprends, le problème toucherait toutes appl=
ications <br>
visibles sur Internet et qui utiliserait Bash avec les fonctions du type <b=
r>
system(), popen(), etc, et donc quelque soit le langage utilisé=
, PHP, <br>
Python<br>
<br>
<br>
-- <br>
==
<br>
| &n=
bsp; FRÉDÉRIC MASSOT &nb=
sp;  =
; |<br>
| <a href="http://www.juliana-multimedia.=
com">http://www.juliana-multimedia.com</a> &=
nbsp; |<br>
| <a href="mailto:frederic@juliana-multimedia.com">mailto=
:frederic@juliana-multimedia.com</a> |<br>
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |<br>
==
==Debian=GNU/Linux<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists">http://wiki.debian.org/fr=
/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubsc=
ribe"<br>
vers debian-user-french-REQUEST@lists.debian.org<br>
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org<br>
Archive: <a href="https://lists.debian.org/54253D2E.3020007@juliana-multi=
media.com">
https://lists.debian.org/54253D2E.3020007@juliana-multimedia.com</a><br>
<br>
</div>
</div>
</body>
</html>
--_0052f56e-f0ec-4fd3-8d2c-1217605504ec_--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/DUB408-EAS148EBDF8AEC18C979D9695886BF0@phx.gbl
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="utf-8"
Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet
ovd <valentin.ovd@live.fr>
________________________________
De : Frédéric MASSOT<mailto:frederic@juliana-multimedia.com>
Envoyé : ‎26/‎09/‎2014 12:17
À : debian-user-french@lists.debian.org<mailto:debian-user-french@list=
s.debian.org>
Objet : Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 11:44, Sébastien NOBILI a écrit :
> Bonjour,
>
> Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a=
écrit :
>> Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers =
dash
>> empêche ce type d'attaque ou limite l'attaque à certain CGI ma=
l écrit ?
>
> Si tous les CGI utilisent « /bin/sh », alors pas de problÃ=
¨me. En revanche, ceux
> qui utiliseraient explicitement « /bin/bash » seraient impact=
és.
>
> La meilleure parade reste de toute façon la mise-à -jour de Bash=
…
D'après ce que je comprends, le problème toucherait toutes appl=
ications
visibles sur Internet et qui utiliserait Bash avec les fonctions du type
system(), popen(), etc, et donc quelque soit le langage utilisé=
, PHP,
Python
--
==
| FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==
==Debian=GNU/Linux
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54253D2E.3020007@juliana-multimedia.com
--_0052f56e-f0ec-4fd3-8d2c-1217605504ec_
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="utf-8"
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<div>
<div style="font-family: Calibri,sans-serif; font-size: 11pt;">Le f=
ix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet<br>
<br>
<br>
ovd <valentin.ovd@live.fr></div>
</div>
<div dir="ltr">
<hr>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">De :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;"><a href="mailto:frederic@juliana-multimedia.com">Frédéric =
MASSOT</a></span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">Envoyé :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;">‎26/‎09/‎2014 12:17</span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">À :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;"><a href="mailto:debian-user-french@lists.debian.org">debian-user-fre=
nch@lists.debian.org</a></span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font=
-weight: bold;">Objet :
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt=
;">Re: Linux et Unix affectés par une faille critique dans Bash</spa=
n><br>
<br>
</div>
<div class="BodyFragment">
<div class="PlainText">Le 26/09/2014 11:44, Sébastien NOBILI a Ã=
©crit :<br>
> Bonjour,<br>
><br>
> Le vendredi 26 septembre 2014 à 11:03, Frédéric MAS=
SOT a écrit :<br>
>> Sur un serveur web, est-ce que le fait d'avoir le lien "=
;/bin/sh" vers dash<br>
>> empêche ce type d'attaque ou limite l'attaque à cert=
ain CGI mal écrit ?<br>
><br>
> Si tous les CGI utilisent « /bin/sh », alors pas de prob=
lème. En revanche, ceux<br>
> qui utiliseraient explicitement « /bin/bash » seraient imp=
actés.<br>
><br>
> La meilleure parade reste de toute façon la mise-à -jour de=
Bash…<br>
<br>
D'après ce que je comprends, le problème toucherait toutes appl=
ications <br>
visibles sur Internet et qui utiliserait Bash avec les fonctions du type <b=
r>
system(), popen(), etc, et donc quelque soit le langage utilisé=
, PHP, <br>
Python<br>
<br>
<br>
-- <br>
==
<br>
| &n=
bsp; FRÉDÉRIC MASSOT &nb=
sp;  =
; |<br>
| <a href="http://www.juliana-multimedia.=
com">http://www.juliana-multimedia.com</a> &=
nbsp; |<br>
| <a href="mailto:frederic@juliana-multimedia.com">mailto=
:frederic@juliana-multimedia.com</a> |<br>
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |<br>
==
==Debian=GNU/Linux<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists">http://wiki.debian.org/fr=
/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubsc=
ribe"<br>
vers debian-user-french-REQUEST@lists.debian.org<br>
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org<br>
Archive: <a href="https://lists.debian.org/54253D2E.3020007@juliana-multi=
media.com">
https://lists.debian.org/54253D2E.3020007@juliana-multimedia.com</a><br>
<br>
</div>
</div>
</body>
</html>
--_0052f56e-f0ec-4fd3-8d2c-1217605504ec_--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/DUB408-EAS148EBDF8AEC18C979D9695886BF0@phx.gbl
C'est le CVE-2014-6271
Le second est sorti depuis plus de 12h, c'est le CVE-2014-7169
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/