Ubuntu-fr

david96

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Il serait temps de remettre une baniere plus discrète, celle-ci est un  vrai repoussoir,et le danger pas si grand, a part pour  les serveurs !!

Je suis d'accord, surtout que ceux qui ont un serveur font une mise à jour quotidienne.

Dernière modification par david96 (Le 28/09/2014, à 22:28)

---

Matthieu Côte « Qu'est ce qu'ils sont cons »

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Dans l'exemple, après la commande env, tout ce qu'on fait c'est qu'on définit une variable environnement x qui va contenir une chaîne de caractères (et ensuite on execute bash -c echo "this is a test"). Mais après que le contenu de la chaîne x soit en fait une définition de fonction, j'imagine que bash ne va pas explorer toutes les chaines de caractère qu'on définit pour voir si il n'y aurait pas une définition de fonction, et surtout, ne pas se contenter de les définir, mais les exécuter tout de suite. Non je ne comprends toujours pas.
Pour que notre x soit pris en compte en tant que définition de fonction il faudrait faire quelque chose comme echo $(x) je ne me souviens plus de la syntaxe, mais ce n'est pas ce qui est fait dans l'exemple.
mais si le truc c'est : env permet d'élever les privilèges, ben y'a pas besoin de définir des commandes dans une variable environnement, il suffit de faire $ env <commande malicieuse> . Et si c'est vraiment ça la faille, on a mis 20 ans pour s'en rendre compte?

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

J'ai un ordinateur non à jour, et hors réseau, je vérifierai des choses si j'ai le temps mais comment env pourrait-il gagner des droits alors qu'une exécution hérite des droits du propriétaire l'appelant ? (ai-je réussi à bien m'exprimer ? )

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Les hébergeurs web sont un peu à la ramasse, en tout cas le mien. Il ne communique pas sur la faille, il disent juste qu'il vont faire quelque chose, un jour. pourtant là c'est critique.

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Donc avec les mises à jour effectuées, env sert à faire des trucs comme ça ? ls n'est pas dangereux, mais … env me rappelle quelque chose Unix-like …

ludovic@ludovic-G41MT-S2PT:~$ cd Vidéos/Allégement\ disques/
ludovic@ludovic-G41MT-S2PT:~/Vidéos/Allégement disques$ x="ls"
ludovic@ludovic-G41MT-S2PT:~/Vidéos/Allégement disques$ env $x
allègement_de_disque_de_frein_honda_four_par_roger_ruiz_sur_tour_michel_charlet_phase_2_medium.flac  thumbnail
allègement_de_disque_de_frein_honda_four_par_roger_ruiz_sur_tour_michel_charlet_phase_2_medium.webm  Usinage des disques.osp
Michel et Roger - usinage des disques.mp4

ludovic@ludovic-G41MT-S2PT:~$ x="sudo who"
ludovic@ludovic-G41MT-S2PT:~$ env $x
[sudo] password for ludovic: 
Sorry, try again.
[sudo] password for ludovic: 
sudo: 1 incorrect password attempt
ludovic@ludovic-G41MT-S2PT:~$ x="who"
ludovic@ludovic-G41MT-S2PT:~$ env $x
ludovic  tty7         2014-09-28 22:59
ludovic@ludovic-G41MT-S2PT:~$ 

ssdg

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

C'est bash quand il reçoit la liste des variables d'environnement, il regarde si ça commence par (), et si oui, il execute.

Si ce n'est qu'une fonction, l'execution ne fait que mettre de coté le code de la fonction pour execution lorsque quelqu'un fait un truc genre $(X)() (ou quelque chose du genre).

Mais si c'est une fonction suivie de code, l'execution mettra la fonction de coté, mais elle passera à l'instruction suivante qui est le code malicieux.

Si c'est fait avec un bash lancé par un utilisateur "normal", les effets seront limités aux choses que tu peux faire sans taper ton mot de passe.
Si c'est fait avec un bash lancé par le serveur web, les effets seront limités aux fichiers du serveur web.
etc pour tout les services (qui mettent informations provenant d'internet dans l'environnement de bash) et les comptes utilisateurs "humains".

Évidement, de nombreux fichiers qui contiennent des informations "sensibles" sont disponibles pour tout les logiciels qui tournent sur la machine. Un attaquant peut en extraire des informations qui lui permettra par la suite de trouver d'autres failles ou de récupérer des informations personnelles.

Prendre les accès root est peut être plus compliqué, puisqu'il faudrait trouver un script bash qui s'execute avec les droits root sans demander le mot de passe (l’exécutable "ping" ne marche qu'avec les droits root, mais eut être lancé par tout le monde, peut être un script bash peut être configuré de la même façon.)

---

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Alors tout simplement je ne comprends pas que env soit accessible à tous les utilisateurs, et pas seulement root (sudo avec ubuntu) ?
Avons-nous besoin de env ?

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ah c'est une idée, il suffirait de surcharger env pour résoudre le problème (moi qui ne peut pas faire de mise à jour de bash).

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ca marche!

cm@CM-PC ~/Bureau $ env() { echo "blabla" ; }
cm@CM-PC ~/Bureau $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
blabla
cm@CM-PC ~/Bureau $

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

ssdg

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

CM 63> Aucun rapport
env est une commande qui modifie l'environnement (une grosse table de correspondance nom > valeur) pour le programme qui suit. il y a dans les faits autant d'environnements que de processus qui tournent sur ta machine. (en gros)

Mais surtout, dans le cas de la faille, env n'est PAS utilisé dans le cadre d'une attaque extérieure, c'est apache-mod-cgi qui remplis ce role. (ou n'importe quel programme qui lance bash.)

L'alternative à mettre à jour bash est de désinstaller TOUT programme susceptible de le lancer ou de lancer un script shell. (et oui, ça peut inclure apache, ssh, ... en gros tout ce qui est executable sur ton serveur doit être décortiqué par toi... ça risque de prendre du temps.)

---

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Compte anonymisé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pour tester son site : http://www.shellshock.fr/

Compte anonymisé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ne sont donc pas concernées : toutes les distributions ayant un autre shell que Bash. Toutes les distributions ayant SELinux activé bénéficient d'une protection contre des exploitations de ce type. Mais également : tous les matériels embarqués et objets connectés, contrairement à ce que des articles de presse affirment, car ces matériels utilisent la plupart du temps busybox et son implémentation inline de Bash n'est pas vulnérable. Ne sont pas concernés non plus les téléphones portables (pas plus les Android que les iPhones). Les "box" internet ne le sont pas davantage, ni les télévisions, ni les lecteurs de salon, les autoradios, ni les avions, drones, missiles, sous-marins… Bref, nous avons eu le plaisir de lire un peu n'importe quoi sur le sujet et la revue de presse contient quelques jolies perles.

http://linuxfr.org/news/une-faille-nommee-shellshock

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Merci ignace72,

Ne sont donc pas concernées : toutes les distributions ayant un autre shell que Bash. Toutes les distributions ayant SELinux activé bénéficient d'une protection contre des exploitations de ce type. Mais également : tous les matériels embarqués et objets connectés, contrairement à ce que des articles de presse affirment, car ces matériels utilisent la plupart du temps busybox et son implémentation inline de Bash n'est pas vulnérable.
…

SELinux était peut-être activé par défaut dans la LTS 8.04, qui s'en souvient ?

Ne serait-il pas prudent de le remettre par défaut ? ou bien AppArmor a-t-il pris le relai ? (dans ce cas pourquoi la faille si AppArmor protège le système ?)

édit : je confonds apparemment avec Fedora qui tournait souvent comme bureau chez moi à l'époque.

SE(Security Enhanced) Linux is a security feature in the Linux kernel and enabled by default in Fedora that provides more fine grained access control compared to traditional file permissions. A centralized policy determines which software can access what resources. For example, network services can be confined to a particular port and Apache web server can be restricted to be able to connect to only 80 by default.

Dernière modification par Compte supprimé (Le 29/09/2014, à 10:33)

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour,

Merci ignace72 pour ces infos. On aurait du commencer par là, regarder le site linuxfr.org, je me le suis mis en favoris. Merci aussi pour le lien permettant de tester notre site web

A plus

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Julie.M

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour
Je suis débutante et pas du tt une pro de l'informatique....Je rencontre ce souci mais ne comprend pas comment le régler.....J'ai comme dans le #1 effectué la commande
guest-jKXCbp@ozzotom-System-Product-Name:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Je suppose dc qu une mise à jour ou à niveau est à faire et c'est la ou je e suis plus je tape dans le terminal et voila ce que ca me renvoi je ne sais comment faire pr régler le probléme
guest-jKXCbp@ozzotom-System-Product-Name:~$ sudo apt-get update ; sudo apt-get upgrade
sudo: unable to change to sudoers gid: Operation not permitted
sudo: setresuid() [0, 0, 0] -> [119, -1, -1]: Operation not permitted
sudo: unable to change to sudoers gid: Operation not permitted
sudo: setresuid() [0, 0, 0] -> [119, -1, -1]: Operation not permitted
guest-jKXCbp@ozzotom-System-Product-Name:~$ sudo apt-get update
sudo: unable to change to sudoers gid: Operation not permitted
sudo: setresuid() [0, 0, 0] -> [119, -1, -1]: Operation not permitted
guest-jKXCbp@ozzotom-System-Product-Name:~$ sudo apt-get dist-upgrade
sudo: unable to change to sudoers gid: Operation not permitted
sudo: setresuid() [0, 0, 0] -> [119, -1, -1]: Operation not permitted
guest-jKXCbp@ozzotom-System-Product-Name:~$
guest-jKXCbp@ozzotom-System-Product-Name:~$ sudo apt-get update
sudo: unable to change to sudoers gid: Operation not permitted
sudo: setresuid() [0, 0, 0] -> [119, -1, -1]: Operation not permitted
guest-jKXCbp@ozzotom-System-Product-Name:~$

Merci à celui ou celle qui aura la patience de me diriger.
Bonne journée

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour Julie.M

Tu es actuellement sur une session invité donc tu ne peux utiliser les droits administrateur.
Il te faut fermer cette session et démarrer depuis la session administrateur.

Dernière modification par yann_001 (Le 29/09/2014, à 12:19)

Julie.M

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

ok je suis retourner sur ma session administrateur!mais je n'ai aucune icone lorsque je suis dessus comment faire pr accéder au terminal?

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour Julie.M,

Si tu prends l'habitude de chercher dans la documentation et dans un moteur de recherche, tu trouveras souvent des problèmes déjà résolus.
Toutefois, tu as pu louper les raccourcis clavier dans la documentation de terminal (Comment ouvrir un terminal ? → chapitre 2).

Pas de panique …

Dernière modification par Compte supprimé (Le 29/09/2014, à 13:00)

Julie.M

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

j'ai déja lu ce chapitre :-) mais les raccourcis claviers ne m ouvrent rien!!!il ne se passe rien quoique je tape.....le terminal ne s'ouvre pas!c'est pr cela que je suis allé sur la session invité pr avoir accés au terminal....
merci de votre patience

Dernière modification par Julie.M (Le 29/09/2014, à 13:05)

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Julie.M ← je t'ai donné des indications en message privé (afin d'éviter un hors-sujet).

Dernière modification par Compte supprimé (Le 29/09/2014, à 13:36)

arn0-Linux

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Merci ignace72,

Ne sont donc pas concernées : toutes les distributions ayant un autre shell que Bash. Toutes les distributions ayant SELinux activé bénéficient d'une protection contre des exploitations de ce type. Mais également : tous les matériels embarqués et objets connectés, contrairement à ce que des articles de presse affirment, car ces matériels utilisent la plupart du temps busybox et son implémentation inline de Bash n'est pas vulnérable.
…

SELinux était peut-être activé par défaut dans la LTS 8.04, qui s'en souvient ?

Ne serait-il pas prudent de le remettre par défaut ? ou bien AppArmor a-t-il pris le relai ? (dans ce cas pourquoi la faille si AppArmor protège le système ?)

édit : je confonds apparemment avec Fedora qui tournait souvent comme bureau chez moi à l'époque.

SE(Security Enhanced) Linux is a security feature in the Linux kernel and enabled by default in Fedora that provides more fine grained access control compared to traditional file permissions. A centralized policy determines which software can access what resources. For example, network services can be confined to a particular port and Apache web server can be restricted to be able to connect to only 80 by default.

Bonjour,

Sa m’intéresse également de savoir si la 8.0.4 LTS bénéficie de la protection vu que cette version n'est plus pris en charge...

san-claudio

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Faille du Bash : les NAS ne sont pas épargnés

---

Lenovo Thinkpad X220 Windows 7 Pro/SolydX EE 9 64/, Dell M4300 MX15/SolydX Xfce 8 64

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour,

Sa m’intéresse également de savoir si la 8.0.4 LTS bénéficie de la protection vu que cette version n'est plus pris en charge...

On oublie la 8.04 évidemment, ce qui compte est que les paquets SELinux sont disponibles et maintenus (édit pour 12.04 et 14.04 ! ).

https://wiki.ubuntu.com/SELinux
https://help.ubuntu.com/community/SELinux

J'ai trouvé cette page intéressante concernant les paquets orientés sécurité, peut-être à ajouter à la documentation …

Une page de 2008 https://wiki.ubuntu.com/SELinuxByDefault  pour mettre SELinux par défaut.

#Installing SELinux is easy..
sudo apt-get install selinux
#Reboot !

PS : qui peut me dire si je suis dans le sujet, sinon j'arrête mon éventuel hors sujet …

Dernière modification par Compte supprimé (Le 29/09/2014, à 17:24)

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Installer SELinux sur une 8.04 pour combler la faille de bash ne servira pas à grand chose.
Il y a eu tellement d'autres failles découvertes notamment dans les différents noyaux depuis et non corrigés dans la 8.04 puisque plus soutenues, que c'est mettre un pansement sur une jambe de bois.

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Prière de relire :

On oublie la 8.04 évidemment, ce qui compte est que les paquets SELinux sont disponibles et maintenus (édit pour 12.04, 14.04 et 14.10 ! ).

(il suffisait de cliquer sur les liens que je donnais pour le voir, mais je comprends maintenant en relisant que mon post portait à confusions.)
On garde les 12.04 LTS et 14.04 LTS, 14.10 évidemment…

édit : je remets le lien :
J'ai trouvé cette page intéressante concernant les paquets orientés sécurité, peut-être à ajouter à la documentation …

Dernière modification par Compte supprimé (Le 29/09/2014, à 17:48)