Ubuntu-fr

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

ps:
Merci Yann 001, je ne suis pas franchement rassuré chez Windows, mais je suis en terrain défriché, et avec des outils aiguisés.

Je ne sais pas si mon message privé est arrivé Pator75, mais j'ajoute qu'il y a aussi les distributions *BSD , à coté des GNU/Linux, Mac OS, et windows …

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

ps:
Merci Yann 001, je ne suis pas franchement rassuré chez Windows, mais je suis en terrain défriché, et avec des outils aiguisés.

Je ne sais pas si mon message privé est arrivé Pator75, mais j'ajoute qu'il y a aussi les distributions *BSD , à coté des GNU/Linux, Mac OS, et windows …

Salut,

Je vais jeter un œil, merci.

voxpopuli

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Il y a quand même quelque chose de cassé, moi aussi j'ai accepté le discours « si Linux n'a pas d'antivirus, son code est surveillé étroitement et rapidement colmaté en cas de problème », on voit le résultat, 22 ans, toute personne qui s'intéresse au piratage sait que la compétition entre les découvreurs de failles et leurs colmateurs est l'axe déterminant, et un pirate formé sur le tas est meilleur à ce jeu qu'un lauréat de grande école, donc tout ça est de très mauvaise augure.

ps:
Merci Yann 001, je ne suis pas franchement rassuré chez Windows, mais je suis en terrain défriché, et avec des outils aiguisés.

LOL je pense que Pator75 nous provient tout droit des bureaux de Microsoft

Les distribution basées sur Linux ont des antivirus, il y en a même un sacré paquet (mais on a tendance a utiliser les mots réels: "HIDS" par exemple car antivirus ça fait franchement pharmacien). On ne va quand même pas sécuriser un serveur Linux avec des formules voodoo

Pour la sécurité: Il est un fait avérer que les types qui font des attaques ne sont pas des pro (sauf pour les groupuscules extrémistes, les gouvernements et autres hacktivistes). Par exemple la faille bash n'a pas eu le temps d'être ajouté dans les modules d'attaques automatiques comme ceux présent sur kali linux que les correctifs étaient déjà en route. Les seuls dont on peut soupçonner qu'ils ont utilisé la faille sont certains services secret (CIA, NSA, ptete les services anglais et français), on est loin des failles dans word exploitées depuis des années par les kits.

Pourquoi les pro Windows se jettent toujours a la moindre faille découverte dans linux pour insulter les libristes?

Des utilisateurs de systèmes GNU/Linux font la même chose en débarquant sur des forums Windows pour chier dessus.
Y'a pas si longtemps un membre de ce forum a été sur un forum Windows et sur les demandes d'aide il venait parler de Xubuntu.
C'est tout aussi gonflant.

Pator75 a le droit de vouloir utiliser Windows parce qu'il se méfie de cette faille et qu'il préfère utiliser un système qu'il connait parce que ça le rassure.

On est pas là pour faire un Linux vs Windows mais pour parler de la faille.
Si une personne fraichement débarquée sur Linux, lit 5 pages de versus ça va pas l'aider à comprendre le problème et elle risque de faire machine arrière.

Personne ne lui dit ni qu'il est pathétique (pourtant on pourrait, les utilisateurs de windows participent directement aux chômages des jeunes européens) et personne ne lui dit quoi utiliser comme OS, tout le monde s'en fou (surtout que la grosse moitié des utilisateurs de ubuntu-fr ont un dual boot windows/linux-like).
Désolé si ça parait troll mais le libre n'a pas de marketeux payé 5k dollars par mois pour le défendre

Dernière modification par voxpopuli (Le 06/10/2014, à 14:14)

---

« Si la destinée ne nous aide pas, nous l'aiderons nous même à se réaliser !  »
$Wold.Action.Boot();

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

"Pour la sécurité: Il est un fait avérer que les types qui font des attaques ne sont pas des pro (sauf pour les groupuscules extrémistes, les gouvernements et autres hacktivistes). Par exemple la faille bash n'a pas eu le temps d'être ajouté dans les modules d'attaques automatiques comme ceux présent sur kali linux que les correctifs étaient déjà en route. Les seuls dont on peut soupçonner qu'ils ont utilisé la faille sont certains services secret (CIA, NSA, ptete les services anglais et français), on est loin des failles dans word exploitées depuis des années par les kits."

Non, justement, la faille bash est à la portée d'un hacker moyen.

Antivirus sous Linux? pfff!

voxpopuli

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

"Pour la sécurité: Il est un fait avérer que les types qui font des attaques ne sont pas des pro (sauf pour les groupuscules extrémistes, les gouvernements et autres hacktivistes). Par exemple la faille bash n'a pas eu le temps d'être ajouté dans les modules d'attaques automatiques comme ceux présent sur kali linux que les correctifs étaient déjà en route. Les seuls dont on peut soupçonner qu'ils ont utilisé la faille sont certains services secret (CIA, NSA, ptete les services anglais et français), on est loin des failles dans word exploitées depuis des années par les kits."

Non, justement, la faille bash est à la portée d'un hacker moyen.

Antivirus sous Linux? pfff!

Non, la faille _était_ exploitable par le kéké moyen comme 99,9% des failles découverte par un type qui a un cerveau et qui a expliqué aux noobs comment l'utiliser, mais il faut d'abord que le type qui a le cerveau pour découvrir la faille la publie.
Tant que ce n'est pas automatisé, 99,9% des "pirates" sont incapables de l'utiliser (ils ont le même niveau que la majorité des anonymous a savoir: cliquer). Pour trouver la faille faut soit analyser le code (donc faut savoir programmer) ou faire de la rétro-ingénierie (se qui est encore plus complexe), c'est pas donné a la majorité des "pirates" qui utilisent un logiciel qui fait tout le boulot a leur place a coups de clic-clic.

Un antivirus est un logiciel qui scan des fichiers a la recherche de fichier corrompus, la majorité des white/black hate n'en ont pas car totalement inutile (la majorité des gens qui ont des virus sur leur pc ont aussi un antivirus), par contre si tu fais du partage de fichiers ou de l'émail (avec fichier pièce jointe), c'est pratique.
Se qui est surtout conseillé d'avoir, c'est l'anti-rootkit qui lui va surveiller de façon plus spécifique, et un analyseur réseau pour repérer quand des paquets suspect transitent (je t'invite a essayer wireshark si t'as sécurité réseau t'intéresse)

PS: ne pas confondre hacker et pirate qui sont deux mots qui n'ont rien a voir.

Dernière modification par voxpopuli (Le 06/10/2014, à 14:26)

---

« Si la destinée ne nous aide pas, nous l'aiderons nous même à se réaliser !  »
$Wold.Action.Boot();

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Inutile de discourir sans réel savoir sur le sujet, hacker (ou pirate pas d'importance) est une activité hyper spécialisée, on peut parler de "métier" à un certain niveau, il n'y a pas un concepteur de 0 day mais des concepteurs, à chacun son rayon, vous ne savez pas de quoi vous parlez, ce qui en rajoute sur le sujet.

Dernière modification par Pator75 (Le 06/10/2014, à 14:34)

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@voxpopuli
Si tu veux que l'on parle de Windows vs Linux ouvre un topic parce que celui-ci n'est pas là pour ça. Merci.

ssdg

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Attention lâcher de barbus!...

Moi j'ai une conception utilitaire d'un OS, je m'en sers c'est tout, côté sécurité entre nous je n'ai jamais suivi Linux, pas à l'épreuve des faits mais ça vient... seul le côté confidentiel de certaines distributions bien équipées m'intéressait, mais là y a un méga faux pas, une faute grossière, et elle a été dévoilée par des gens aveuglés par leurs dogmes et idéologies, pathétique.

Donc Linux se soigne et je m'en sers encore, dans le cas contraire ce sera très peu.

Troll détecté. Approche recommandée: Do not feed. Ceci est un message de service. Aucune interaction ne sera engagée dans le futur.

PS: Les insultes, c'est un truc de trou du cul. (y compris quand c'est des mots du langage soutenu comme "dogme, idéologies et pathétique"

Dernière modification par ssdg (Le 06/10/2014, à 14:52)

---

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

voxpopuli

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ouai et quand on voit ce topic, on voit l'habitué à la FUD: http://forum.ubuntu-fr.org/viewtopic.php?id=1658781

@voxpopuli
Si tu veux que l'on parle de Windows vs Linux ouvre un topic parce que celui-ci n'est pas là pour ça. Merci.

désolé ^^ loin de moi l'envie de polluer ce topic

---

« Si la destinée ne nous aide pas, nous l'aiderons nous même à se réaliser !  »
$Wold.Action.Boot();

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

désolé ^^ loin de moi l'envie de polluer ce topic

Je sais on sait presque tous au moins une fois laissés emporter dans ce genre de débat. Moi le premier.

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

J'ai ouvert un ticket sur Launchpad qui m'a renvoyé sur Github, voir post suivant.

j'ai fermé le ticket Launchpad, d'une je l'avais apparamment pas ouvert au bon endroit : "Answers" au lieu de "Bugs", de deux, ils viennent de me dire

This seems to be a know issue, see http://people.canonical.com/~ubuntu-sec … -6277.html

Je suis donc allé à ce lien qui indique

mdeslaur> this issue is mitigated by Florian Weimer's prefix-suffix patch
mdeslaur> that is included in http://www.ubuntu.com/usn/usn-2364-1/
mdeslaur> since bash parser vulnerabilities are now limited to specially
mdeslaur> named environment variables, and as such are no longer directly
mdeslaur> exposed to CGI scripts, SSH, etc.
mdeslaur>
mdeslaur> As of 2014-09-30, there is no official upstream patch for this
mdeslaur> vulnerability. Once an upstream patch is made available, we
mdeslaur> will release bash updates, but we don't consider this to be
mdeslaur> a critical issue requiring immediate attention.

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pator75 > 3 vulnérabilités en 22 ans ... C'est clair que chez windows c'est mieux... Les chiffres sont plus proches du 22 en 3 ans, mais c'est mieux

clairement .

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Attention lâcher de barbus!...

linux = barbus ? Bonjour les stéréotypes...Là je suis un peu barbu parce que j'ai la flemme de me raser mais généralement, je ne le suis pas (barbu).

Moi j'ai une conception utilitaire d'un OS, je m'en sers c'est tout, côté sécurité entre nous je n'ai jamais suivi Linux, pas à l'épreuve des faits mais ça vient... seul le côté confidentiel de certaines distributions bien équipées m'intéressait, mais là y a un méga faux pas, une faute grossière, et elle a été dévoilée par des gens aveuglés par leurs dogmes et idéologies, pathétique.

donc en gros, tu ne suis Linux que depuis peu, tu découvre UNE faille, qui comme cela a déjà été dit, à déja commencé à être corrigée et tu t'indignes tout en précisant que les gens qui l'ont découvertes sont "aveuglés par leurs dogmes et idéologies", je crois que s'ils étaient aveuglés à ce point la faille n'aurait pas été découverte ou bien caché de peur que les dogmes et les idéologies s’effondrent...ce qui n'est pas le cas, la faille a été découverte, elle a été corrigée en partie, d'autres patchs vont arriver et rien n'a été caché, je ne vois pas là le comportement de gens fanatiques enfermés dans leurs convictions mais plutôt de gens conscients que rien n'est parfait et prêt à tout mettre en œuvre pour régler ça. I y a eu d'avantage de failles de sécurité chez Windows que chez Linux en 22 ans, c'est pas une invention, c'est un fait et c'est très facilement vérifiable si tu te tiens informé un minimum, je viens du monde Windows et je suis passé sur Linux il y a 5-6 ans, je vois nettement la différence et encore, je ne gère pas un serveur en ce qui me concerne.

Petite lecture intéressante : http://www.theregister.co.uk/2004/10/22 … _vs_linux/

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Antivirus sous Linux? pfff!

https://doc.ubuntu-fr.org/antivirus

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@Ciryon

C'est très bien d'avoir ouvert un ticket sur Launchpad mais là c'est plus les dev de Bash qu'il faut contacter.
Comme la faille CVE-2014-6277 est exploitable (dans certaines conditions) sur la majorité des distributions GNU/Linux ils sont déjà informés.

J'ai lu je ne sais plus où, que cette faille nécessitait des modifications dans le code de Bash qui pourraient influer sur le fonctionnement de certains logiciels.
Donc à mon avis la mise à jour risque de tarder un peu.

Compte anonymisé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

La mise à jour ne devrait pas tarder car la faille CVE-2014-6277 est déjà corrigé depuis samedi ou dimanche (j'ai testé dimanche) sur ArchLinux.

voxpopuli

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Étonnamment j'ai vu défiler un patch sur les raspberry pi mais ils semblent toujours vulnérable d'après cette commande (j'ai testé sur Arch et Raspbian):
env x='() { :;}; echo This Raspbmc device is vulnerable'  bash -c "echo Testing vulnerability"

source: http://www.raspbmc.com/2014/09/security … hellshock/

Espérons voir vite débarquer la sécurité car là c'est plus problématique. Mais si je ne m'abuse, elle ne sert que pour élever ses privilèges, si les serveurs sont sécure cette faille est inutile a l'attaquant ?

---

« Si la destinée ne nous aide pas, nous l'aiderons nous même à se réaliser !  »
$Wold.Action.Boot();

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

La mise à jour ne devrait pas tarder car la faille CVE-2014-6277 est déjà corrigé depuis samedi ou dimanche (j'ai testé dimanche) sur ArchLinux.

Ça devrait pas tarder à arriver sur Ubuntu.

si les serveurs sont sécure cette faille est inutile a l'attaquant ?

Tout dépend ce que tu appelles secure. Un serveur totalement sécurisé pour moi pour le moment, c'est un serveur qui n'est pas connecté au net.

PPdM

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Il y a quand même quelque chose de cassé, moi aussi j'ai accepté le discours « si Linux n'a pas d'antivirus, son code est surveillé étroitement et rapidement colmaté en cas de problème », on voit le résultat, 22 ans, toute personne qui s'intéresse au piratage sait que la compétition entre les découvreurs de failles et leurs colmateurs est l'axe déterminant, et un pirate formé sur le tas est meilleur à ce jeu qu'un lauréat de grande école, donc tout ça est de très mauvaise augure.

ps:
Merci Yann 001, je ne suis pas franchement rassuré chez Windows, mais je suis en terrain défriché, et avec des outils de sécurité aiguisés.

Je pouffe !!!!
Et windows est mon quotidien  !!!

---

La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bon vous allez pas tous vous y mettre. Y'a assez de topic pourris pour vous défouler .
Surtout toi PPdM. Tu t'es plaint sur un autre topic de la dérive alors ne fais pas de même ici.  Merci

PPdM

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

J'ai rien dis, mais quand je lis une énormité.......
C'est mon métier depuis suffisamment d'années pour avoir le hoquet, mais je cherche pas a polémiquer, vu que pour certains l'OS est une question de fois pas de technique, et contre la foi y a rien a faire.

Dernière modification par PPdM (Le 06/10/2014, à 20:18)

---

La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Compte anonymisé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Et hop, nouvelle version de bash dipo sur ArchLinux, la 4.3.030.
Ça fait combien depuis dredi ? 5 ou 6 ?

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Je ne suis pas chez Linux depuis peu, j'ai testé les principales versions, et si Linux en est actuellement à 1,60% et quelques chez les PC, c'est en partie à cause du sectarisme bien connu de certains barbus, bien visible sur ce topic, windowsien... troll... nous insulte (sic), bref que de l'avenir comme d'habitude, alors que la disparition d'XP n'a absolument rien rapporté, continuez! c'est bien...

Pas près de réinstaller Linux, manque de sensations.

Dernière modification par Pator75 (Le 06/10/2014, à 20:48)

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

J'ai rien dis, mais quand je lis une énormité.......
C'est mon métier depuis suffisamment d'années pour avoir le hoquet, mais je cherche pas a polémiquer, vu que pour certains l'OS est une question de fois pas de technique, et contre la foi y a rien a faire.

Oui ben t'es un vieux donc tu devrais savoir te maitriser.

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Et hop, nouvelle version de bash dipo sur ArchLinux, la 4.3.030.
Ça fait combien depuis dredi ? 5 ou 6 ?

Ça veut rien dire. Tu pourrais nous fournir les change-log s'il te-plait. merci .