Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet...
------------------------------
ovd <valentin.ovd@live.fr>
________________________________
De : Fr=C3=A9d=C3=A9ric MASSOT<mailto:frederic@juliana-multimedia.com>
Envoy=C3=A9 : =E2=80=8E26/=E2=80=8E09/=E2=80=8E2014 12:17
=C3=80 : debian-user-french@lists.debian.org<mailto:debian-user-french@list=
s.debian.org>
Objet : Re: Linux et Unix affect=C3=A9s par une faille critique dans Bash
Le 26/09/2014 11:44=2C S=C3=A9bastien NOBILI a =C3=A9crit :
> Bonjour=2C
>
> Le vendredi 26 septembre 2014 =C3=A0 11:03=2C Fr=C3=A9d=C3=A9ric MASSOT a=
=C3=A9crit :
>> Sur un serveur web=2C est-ce que le fait d'avoir le lien "/bin/sh" vers =
dash
>> emp=C3=AAche ce type d'attaque ou limite l'attaque =C3=A0 certain CGI ma=
l =C3=A9crit ?
>
> Si tous les CGI utilisent =C2=AB /bin/sh =C2=BB=2C alors pas de probl=C3=
=A8me. En revanche=2C ceux
> qui utiliseraient explicitement =C2=AB /bin/bash =C2=BB seraient impact=
=C3=A9s.
>
> La meilleure parade reste de toute fa=C3=A7on la mise-=C3=A0-jour de Bash=
=E2=80=A6
D'apr=C3=A8s ce que je comprends=2C le probl=C3=A8me toucherait toutes appl=
ications
visibles sur Internet et qui utiliserait Bash avec les fonctions du type
system()=2C popen()=2C etc=2C et donc quelque soit le langage utilis=C3=A9=
=2C PHP=2C
Python...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER=2C envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis=2C contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54253D2E.3020007@juliana-multimedia.com
<html>
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html=3B charset=3Dutf-8">
</head>
<body>
<div>
<div style=3D"font-family: Calibri=2Csans-serif=3B font-size: 11pt=3B">Le f=
ix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet...<br>
<br>
------------------------------<br>
ovd <=3Bvalentin.ovd@live.fr>=3B</div>
</div>
<div dir=3D"ltr">
<hr>
<span style=3D"font-family: Calibri=2Csans-serif=3B font-size: 11pt=3B font=
-weight: bold=3B">De :
</span><span style=3D"font-family: Calibri=2Csans-serif=3B font-size: 11pt=
=3B"><a href=3D"mailto:frederic@juliana-multimedia.com">Fr=C3=A9d=C3=A9ric =
MASSOT</a></span><br>
<span style=3D"font-family: Calibri=2Csans-serif=3B font-size: 11pt=3B font=
-weight: bold=3B">Envoy=C3=A9 :
</span><span style=3D"font-family: Calibri=2Csans-serif=3B font-size: 11pt=
=3B">=E2=80=8E26/=E2=80=8E09/=E2=80=8E2014 12:17</span><br>
<span style=3D"font-family: Calibri=2Csans-serif=3B font-size: 11pt=3B font=
-weight: bold=3B">=C3=80 =3B:
</span><span style=3D"font-family: Calibri=2Csans-serif=3B font-size: 11pt=
=3B"><a href=3D"mailto:debian-user-french@lists.debian.org">debian-user-fre=
nch@lists.debian.org</a></span><br>
<span style=3D"font-family: Calibri=2Csans-serif=3B font-size: 11pt=3B font=
-weight: bold=3B">Objet :
</span><span style=3D"font-family: Calibri=2Csans-serif=3B font-size: 11pt=
=3B">Re: Linux et Unix affect=C3=A9s par une faille critique dans Bash</spa=
n><br>
<br>
</div>
<div class=3D"BodyFragment">
<div class=3D"PlainText">Le 26/09/2014 11:44=2C S=C3=A9bastien NOBILI a =C3=
=A9crit :<br>
>=3B Bonjour=2C<br>
>=3B<br>
>=3B Le vendredi 26 septembre 2014 =C3=A0 11:03=2C Fr=C3=A9d=C3=A9ric MAS=
SOT a =C3=A9crit :<br>
>=3B>=3B Sur un serveur web=2C est-ce que le fait d'avoir le lien "=
=3B/bin/sh"=3B vers dash<br>
>=3B>=3B emp=C3=AAche ce type d'attaque ou limite l'attaque =C3=A0 cert=
ain CGI mal =C3=A9crit ?<br>
>=3B<br>
>=3B Si tous les CGI utilisent =C2=AB /bin/sh =C2=BB=2C alors pas de prob=
l=C3=A8me. En revanche=2C ceux<br>
>=3B qui utiliseraient explicitement =C2=AB /bin/bash =C2=BB seraient imp=
act=C3=A9s.<br>
>=3B<br>
>=3B La meilleure parade reste de toute fa=C3=A7on la mise-=C3=A0-jour de=
Bash=E2=80=A6<br>
<br>
D'apr=C3=A8s ce que je comprends=2C le probl=C3=A8me toucherait toutes appl=
ications <br>
visibles sur Internet et qui utiliserait Bash avec les fonctions du type <b=
r>
system()=2C popen()=2C etc=2C et donc quelque soit le langage utilis=C3=A9=
=2C PHP=2C <br>
Python...<br>
<br>
<br>
-- <br>
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D<br>
| =3B =3B =3B =3B =3B =3B =3B =3B =3B&n=
bsp=3B =3B =3B =3B FR=C3=89D=C3=89RIC MASSOT =3B =3B&nb=
sp=3B =3B =3B =3B =3B =3B =3B =3B =3B =
=3B =3B =3B |<br>
| =3B =3B =3B =3B <a href=3D"http://www.juliana-multimedia.=
com">http://www.juliana-multimedia.com</a> =3B =3B =3B =3B&=
nbsp=3B |<br>
| =3B =3B <a href=3D"mailto:frederic@juliana-multimedia.com">mailto=
:frederic@juliana-multimedia.com</a> =3B =3B |<br>
| +=3B33.(0)2.97.54.77.94 =3B +=3B33.(0)6.67.19.95.69 |<br>
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3DDebian=3DGNU/Linux=3D=3D=3D<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href=3D"http://wiki.debian.org/fr/FrenchLists">http://wiki.debian.org/fr=
/FrenchLists</a><br>
<br>
Pour vous DESABONNER=2C envoyez un message avec comme objet "=3Bunsubsc=
ribe"=3B<br>
vers debian-user-french-REQUEST@lists.debian.org<br>
En cas de soucis=2C contactez EN ANGLAIS listmaster@lists.debian.org<br>
Archive: <a href=3D"https://lists.debian.org/54253D2E.3020007@juliana-multi=
media.com">
https://lists.debian.org/54253D2E.3020007@juliana-multimedia.com</a><br>
<br>
</div>
</div>
</body>
</html>
--_0052f56e-f0ec-4fd3-8d2c-1217605504ec_--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/DUB408-EAS148EBDF8AEC18C979D9695886BF0@phx.gbl
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
daniel huhardeaux
Le 26/09/2014 12:26, valentin OVD a écrit :
Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet...
C'est le CVE-2014-6271
Le second est sorti depuis plus de 12h, c'est le CVE-2014-7169
------------------------------ ovd ------------------------------------------------------------------------ De : Frédéric MASSOT <mailto: Envoyé : 26/09/2014 12:17 À : <mailto: Objet : Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 11:44, Sébastien NOBILI a écrit : > Bonjour, > > Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : >> Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash >> empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? > > Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux > qui utiliseraient explicitement « /bin/bash » seraient impactés. > > La meilleure parade reste de toute façon la mise-à-jour de Bash…
D'après ce que je comprends, le problème toucherait toutes applications visibles sur Internet et qui utiliserait Bash avec les fonctions du type system(), popen(), etc, et donc quelque soit le langage utilisé, PHP, Python...
-- ============================================= > | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto: | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ==========================Þbian=GNU/Linux== > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Le 26/09/2014 12:26, valentin OVD a écrit :
Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet...
C'est le CVE-2014-6271
Le second est sorti depuis plus de 12h, c'est le CVE-2014-7169
------------------------------
ovd <valentin.ovd@live.fr>
------------------------------------------------------------------------
De : Frédéric MASSOT <mailto:frederic@juliana-multimedia.com>
Envoyé : 26/09/2014 12:17
À : debian-user-french@lists.debian.org
<mailto:debian-user-french@lists.debian.org>
Objet : Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 11:44, Sébastien NOBILI a écrit :
> Bonjour,
>
> Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
>> Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh"
vers dash
>> empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
>
> Si tous les CGI utilisent « /bin/sh », alors pas de problème. En
revanche, ceux
> qui utiliseraient explicitement « /bin/bash » seraient impactés.
>
> La meilleure parade reste de toute façon la mise-à-jour de Bash…
D'après ce que je comprends, le problème toucherait toutes applications
visibles sur Internet et qui utiliserait Bash avec les fonctions du type
system(), popen(), etc, et donc quelque soit le langage utilisé, PHP,
Python...
--
============================================= > | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==========================Þbian=GNU/Linux== >
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54253D2E.3020007@juliana-multimedia.com
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/542543B9.5090305@tootai.net
Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet...
C'est le CVE-2014-6271
Le second est sorti depuis plus de 12h, c'est le CVE-2014-7169
------------------------------ ovd ------------------------------------------------------------------------ De : Frédéric MASSOT <mailto: Envoyé : 26/09/2014 12:17 À : <mailto: Objet : Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 11:44, Sébastien NOBILI a écrit : > Bonjour, > > Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : >> Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash >> empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? > > Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux > qui utiliseraient explicitement « /bin/bash » seraient impactés. > > La meilleure parade reste de toute façon la mise-à-jour de Bash…
D'après ce que je comprends, le problème toucherait toutes applications visibles sur Internet et qui utiliserait Bash avec les fonctions du type system(), popen(), etc, et donc quelque soit le langage utilisé, PHP, Python...
-- ============================================= > | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto: | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ==========================Þbian=GNU/Linux== > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
