Faille de sécurité dans bash (mis à jour 12/10/2014)

maxire · Le 26/09/2014, à 18:49

@moko138, d'après l'information que tu fournis Debian a patché la version de Bash de Wheezy et ne parle pas de testing.
J'imagine qu'il faut attendre.
En même temps ne sois pas parano, si tu n'as pas de serveur Apache, que tu n'utilises pas CGI et que tu arrêtes ton serveur ssh cela devrait aller.
En plus tu as certainement un pare-feu sur ta box, personnellement les seuls serveurs que j'ai sont en local et j'ai fermé les portes (enfin, je crois, je vais vérifier).

Dernière modification par maxire (Le 26/09/2014, à 18:50)

Zurg · Le 26/09/2014, à 19:08

Pour ceux qui utilise Debian, il faut savoir que la version testing reçoit les paquet de la version sid (unstable) uniquement au bout d'un certain nombre de jours, voilà pourquoi les patchs de sécurité arrive bien avant sur wheezy (la stable).
La testing n'est a utiliser que si la sécurité n'est pas quelque chose d'important & urgent pour vous !
De toute façon, dans la plupart des cas il n'y a pas de question a ce poser a ce niveau : il est évident qu'il faut utiliser la stable.
Si vous voulez la dernière version de Firefox ou LibreOffice, VLC... Il y a les backports pour ça.

Dernière modification par Zurg (Le 26/09/2014, à 19:10)

CM63 · Le 26/09/2014, à 19:35

Bonsoir,
Il faudrait modifier le message du bandeau , ce n'est plus "vient d'être divulguée" mais "a été divulguée le 25 septembre", merci.
Bonne soirée.

moko138 · Le 26/09/2014, à 20:05

mon /usr/share/.../bash/changelog.gz date de 2013...
"testing" je le lis dans synaptic pour mon paquet bash.

Je n'ai pas de parefeu sur ma box puisque je n'ai pas de box, je passe par des hotspots (sfr et free, selon ce que je capte).

Quant à apache, ssh et cgi... je n'ai rien installé mais je n'ai jamais rien compris aux paquets préinstallés. Je sais que j'ai openssl, comme presque tout le monde.
Et openssh-client et libssh2-1 (me dit synaptic).
J'ai installé depuis longtemps fail2ban, suite à une tentative d'intrusion du temps de 10.04.

dpkg --get-selections *apache*
apache2-bin					install
apache2.2-bin					install
libapache2-mod-dnssd				install
:~$

~$ dpkg --get-selections *cgi*
libcupscgi1:amd64				install
:~$

@zurg : Je n'ai pas installé une Debian pure et dure, c'est une Linux Mint Debian Edition,
à laquelle j'ai rajouté hier les backports dans l'espoir que le patch pour bash arriverait plus vite.

Dernière modification par moko138 (Le 26/09/2014, à 20:06)

Kieran · Le 26/09/2014, à 21:02

CM63 a écrit :

Bonjour,
alca94 a écrit :
ceux qui font les màj régulièrement ne seront pas au courant, mais auront un système patché malgré tout, non ?
alors pourquoi avoir créer une alerte et pas simplement envoyer des mises a jour a tout le monde
Parce que les distributions Linux "n'envoient" jamais rien (contrairement à W$) c'est à toi d'aller chercher les updates.
Moi je n'avais pas capté qu'il fallait faire régulièrement des $ apt-get update ;; apt-get upgrade , je croyais que cela se faisait tout seul. Donc pour moi l'alarme en rouge n'a pas été inutile, ou plutôt les échanges de posts qui ont suivi
A plus

J'ai reçu cette mise à jour ce matin via le gestionnaire de mise à jour qui s'est mis déclenché automatiquement comme d'habitude, chez moi il est paramétré pour vérifier tous les jours. Donc c'est pas toujours à l'utilisateur d'aller chercher les updates. J'ai quand même lu le message sur le forum parce que c'est en gras et en rouge donc ça semblait important, et bien que la faille était déja corrigée chez moi, j' ai quand même fait le sudo apt-get upgrade (et pourquoi pas update vu que c'est une mise à jour) parce que ça mange pas de pain .

bruno a écrit :

Ceux qui ont fait les mises à jour hier peuvent recommencer ce matin puisque le nouveau patch est arrivé dans les paquets bash de Debian et Ubuntu.
Changelog Ubuntu :
SECURITY UPDATE: incomplete fix for CVE-2014-6271
- debian/patches/CVE-2014-7169.diff: fix logic in bash/parse.y.
- CVE-2014-7169

@CM23 : il y a moyen d'automatiser les mises à jours sur une distribution GNU/Linux, ou au moins d'être notifié lorsque des mises à jour sont publiés dans les dépôts.

Pour Ubuntu : Tu peux paramétrer le gestionnaire de mise à jour pour qu'il checke tous les jours, tous les deux jours, toutes les semaines, toute les deux semaines ou jamais

nesthib · Le 26/09/2014, à 21:24

@moko138 : la liste des fichiers dans l'archive linux mint me montre aucun paquet récent pour bash : http://debian.linuxmint.com/latest/pool/main/b/bash/
À la limite tu peux installer le paquet ubuntu, ça ne devrait pas faire de différence : http://archive.ubuntu.com/ubuntu/pool/main/b/bash/

moko138 · Le 26/09/2014, à 22:42

@ nesthib :
De la version bash_4.2-2ubuntu2.2 à la version 4.3.9, il y a onze versions amd64.deb.
Laquelle est adaptée à mon

:~$ uname -a
Linux 3.11-2-amd64 #1 SMP Debian 3.11.8-1 (2013-11-13) x86_64 GNU/Linux
:~$

s'il te plaît ?

yann_001 · Le 26/09/2014, à 23:23

Bonsoir moko.

Tu devrais pouvoir installer celui-ci. Si je me fie au noyau que tu as, les dépendances devraient être les mêmes et tu devrais pouvoir l'installer sans problème.
Edit orthographe.

Dernière modification par yann_001 (Le 27/09/2014, à 01:00)

moko138 · Le 27/09/2014, à 00:51

Ils ont des yeux et ils ne voient point !

Mais à la fin je me suis aperçu que le bandeau disait explicitement et en grosses lettres rouges :

mise à jour (4.2-2ubuntu2.3 ou 4.3-7ubuntu1.3)

Du coup :

:~$ sudo dpkg -i bash_4.2-2ubuntu2.3_amd64.deb
dpkg : avertissement : dégradation (« downgrade ») de bash depuis 4.2+dfsg-1 vers 4.2-2ubuntu2.3
# Hein ?! "downgrade" ?
(Lecture de la base de données... 216455 fichiers et répertoires déjà installés.)
Préparation du remplacement de bash 4.2+dfsg-1 (en utilisant bash_4.2-2ubuntu2.3_amd64.deb) ...
Dépaquetage de la mise à jour de bash ...
Paramétrage de bash (4.2-2ubuntu2.3) ...
Installation de la nouvelle version du fichier de configuration /etc/skel/.bashrc ...
Installation de la nouvelle version du fichier de configuration /etc/bash.bashrc ...
update-alternatives: utilisation de « /usr/share/man/man7/bash-builtins.7.gz » pour fournir « /usr/share/man/man7/builtins.7.gz » (builtins.7.gz) en mode automatique
Traitement des actions différées (« triggers ») pour « man-db »...
Traitement des actions différées (« triggers ») pour « menu »...
:~$

:~$ sudo dpkg -i bash-doc_4.2-2ubuntu2.3_all.deb
dpkg : avertissement : dégradation (« downgrade ») de bash-doc depuis 4.2+dfsg-1 vers 4.2-2ubuntu2.3
(Lecture de la base de données... 216425 fichiers et répertoires déjà installés.)
Préparation du remplacement de bash-doc 4.2+dfsg-1 (en utilisant bash-doc_4.2-2ubuntu2.3_all.deb) ...
Dépaquetage de la mise à jour de bash-doc ...
Paramétrage de bash-doc (4.2-2ubuntu2.3) ...
Traitement des actions différées (« triggers ») pour « install-info »...
:~$

puis

:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
:~$

Quoi qu'il en soit, résultat du test OK :
Merci à tous !

Dernière modification par moko138 (Le 27/09/2014, à 00:52)

Compte supprimé · Le 27/09/2014, à 09:15

http://fr.falkvinge.net/2013/11/17/la-nsa-a-demande-a-linus-torvalds-dinstaller-des-portes-derobees-dans-gnulinux/ a écrit :

«La NSA a demandé à Linus Torvalds d’insérer secrètement des portes dérobées dans le système d’exploitation libre et ouvert GNU/Linux. Cela a été révélé cette semaine dans une audition sur la surveillance globale au Parlement Européen. Encore un exemple où la NSA américaine essaye de rendre les technologies de l’information moins sûres pour tout le monde.»
…
«La révélation de Nils Torvalds a été présentée dans une partie qui commence (à 3:06:58) par moi soulignant au représentant de Microsoft, que dans un système comme GNU/Linux, construit sur de l’open-source, vous pouvez examiner le code source pour vérifier qu’il n’y a aucune porte dérobée. Dans les systèmes Microsoft, ce n’est pas une possibilité, puisque le code source est secret.»
…

Et la vidéo : EP LIBE #EPinquiry 11 November 2013

CM63 · Le 27/09/2014, à 09:39

Linus Torvalds c'est une chose (si j'ose dire) mais les innombrables distributeurs de Linux qui se se prétendent libres en sont une autre. Ils risquent bien, eux, de se laisser impressionner par la NSA, quand on voit que Ubuntu envoie sans vergogne des infos persos à Amazon

michel_04 · Le 27/09/2014, à 09:41

Bonjour,

CM63 a écrit :

quand on voit que Ubuntu envoie sans vergogne des infos persos à Amazon

Il me semble que ce n'est pas tout à fait ça.

A+

Brunod · Le 27/09/2014, à 09:42

L_d_v_c@ a écrit :

...
Et la vidéo : EP LIBE #EPinquiry 11 November 2013

Merci pour la vidéo.
Les Belges n'auront pas manqué de remarquer la grande implication de leur pays dans ces questions !
Lors de la question posée en grande solitude par la dame en rouge, vous remarquerez que le siège à sa droite du belge Louis Michel est et reste désespérément vide... Pas étonnant quand on voit notre politique informatique nationale
BD

Compte supprimé · Le 27/09/2014, à 10:03

michel_04 a écrit :

Bonjour,
CM63 a écrit :
quand on voit que Ubuntu envoie sans vergogne des infos persos à Amazon
Il me semble que ce n'est pas tout à fait ça.
A+

http://www.ubuntu.com/legal/terms-and-p … acy-policy
http://www.ubuntu.com/privacy-policy/third-parties

Sinon, wheezy mise à jour sans difficultés:

bash:
  Installé : 4.2+dfsg-0.1+deb7u3
  Candidat : 4.2+dfsg-0.1+deb7u3

Bonne journée.

michel_04 · Le 27/09/2014, à 10:36

ignus a écrit :

michel_04 a écrit :
Bonjour,
CM63 a écrit :
quand on voit que Ubuntu envoie sans vergogne des infos persos à Amazon
Il me semble que ce n'est pas tout à fait ça.
A+
http://www.ubuntu.com/legal/terms-and-p … acy-policy
http://www.ubuntu.com/privacy-policy/third-parties

Et ?
Je ne vois nulle part que Ubuntu envoie sans vergogne des infos persos à Amazon.

A+

Compte supprimé · Le 27/09/2014, à 10:57

michel_04 a écrit :

Et ?
Je ne vois nulle part que Ubuntu envoie sans vergogne des infos persos à Amazon.
A+

rms nous met en garde !

http://www.gnu.org/philosophy/ubuntu-spyware.fr.html a écrit :

Un logiciel espion dans Ubuntu ! Que faire ?
…
Ubuntu, distribution GNU/Linux influente et largement utilisée, a installé du code de surveillance. Lorsque l'utilisateur effectue une recherche dans ses propres fichiers en utilisant le système de recherche d'Ubuntu desktop, Ubuntu envoie cette recherche à l'un des serveurs de Canonical (Canonical étant la société qui développe Ubuntu).
…
Ubuntu se sert de ces informations sur leurs recherches pour afficher aux utilisateurs des publicités pour des produits vendus par Amazon. Or, Amazon commet beaucoup de méfaits ; en faisant la promotion de cette société, Canonical y contribue. Cependant, les publicités ne sont pas le cœur du problème. Le véritable problème est l'espionnage des utilisateurs. Canonical affirme qu'Amazon ne sait rien de l'origine des recherches. Toutefois, il est tout aussi déplorable de la part de Canonical de collecter vos informations personnelles que cela ne l'aurait été de la part d'Amazon. La surveillance exercée par Ubuntu n'est pas anonyme.
…
Pendant que vous y êtes, vous pouvez aussi leur dire qu'Ubuntu contient des programmes non libres et suggère l'installation d'autres programmes non libres (voir http://www.gnu.org/distros/common-distros.html). Cela contrecarrera l'autre forme d'influence négative qu'exerce Ubuntu dans la communauté du logiciel libre : la légitimation des logiciels non libres.

En mars 2014, j'ai entendu parler d'un projet de modification d'Ubuntu consistant à supprimer cette antifonctionnalité de surveillance. J'espère que cette modification interviendra effectivement, et vite, car cela va entacher la réputation du logiciel libre. Cependant, il apparaît qu'en Avril 2014, Ubuntu 14.O4 a toujours ce problème.
La présence de logiciel non libre dans Ubuntu pose un problème d'éthique différent. Pour qu'Ubuntu devienne éthique, il faut que cela aussi soit corrigé.

Peut-être ça ?

http://www.ubuntu.com/legal/terms-and-policies/privacy-policy a écrit :

Searching in the dash
When you enter a search term into the dash Ubuntu will search your Ubuntu computer and will record the search terms locally. Unless you have opted out (see the “Online Search” section below), we will also send your keystrokes as a search term to productsearch.ubuntu.com and selected third parties so that we may complement your search results with online search results from such third parties including: Facebook, Twitter, BBC and Amazon. Canonical and these selected third parties will collect your search terms and use them to provide you with search results while using Ubuntu.

Dernière modification par Compte supprimé (Le 27/09/2014, à 11:04)

durard · Le 27/09/2014, à 11:35

Bonjour !

J'ai 2 ordis sur Ubuntu 14.04 après les mises a jour update et upgrade
l'un me donne mis a jour hier
--------------------------
bash: avertissement : x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test
-------------------------------

et l'autre mis a jour aujourd’hui

moi@moi-desktop:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
moi@moi-desktop:~$

-------

pourquoi cette différence

apparemment pas de réponse sur le second

D'avance Merci

Dernière modification par durard (Le 27/09/2014, à 11:41)

michel_04 · Le 27/09/2014, à 11:40

Re,

J'ai lu, comme beaucoup, toute la "littérature" sur le sujet depuis l'apparition de la lens-shopping incriminée.

Sympa RMS, mais il a souvent dans son discours des termes un peu trop "agressifs", amha.
Perso, je n'utilise pas Ubuntu, mais je l'installe et je fais quelques modifications (vie privée, suggestions d'achat, etc...)

A+

Dernière modification par michel_04 (Le 27/09/2014, à 11:41)

Floyd Pepper · Le 27/09/2014, à 12:02

Salut
un de mes systèmes est encore sous ubuntu 10.04 (pas version serveur),(je sais, c'est pas bien).
hier il était vulnérable, suite à la maj ce matin, il ne l'est plus.
Il semblerait donc, qu'un correctif soit quand même appliqué à une version "obsolète".

jplemoine · Le 27/09/2014, à 12:10

Floyd Pepper a écrit :

Il semblerait donc, qu'un correctif soit quand même appliqué à une version "obsolète".

Ce n'est pas tout à fait ça : c'est la version server qui est mise à jour mais le module (bash) est commun : la version desktop a donc été (au moins en partie) mise à jour sur ce coup-là. Il reste toutefois important d'utiliser une version supportée :
- 10.04 server
- 12.04
- 14.04

Floyd Pepper · Le 27/09/2014, à 12:16

jplemoine a écrit :

Floyd Pepper a écrit :
Il semblerait donc, qu'un correctif soit quand même appliqué à une version "obsolète".
Ce n'est pas tout à fait ça : c'est la version server qui est mise à jour mais le module (bash) est commun : la version desktop a donc été (au moins en partie) mise à jour sur ce coup-là. Il reste toutefois important d'utiliser une version supportée :
- 10.04 server
- 12.04
- 14.04

Floyd Pepper a écrit :

(je sais, c'est pas bien).
.

...

nesthib · Le 27/09/2014, à 12:47

@L_d_v_c@/CM63/michel_04/Brunod/ignus : pas de HS merci, (surtout pour ressortir de vieilles discussions maintes fois débattues)

Compte supprimé · Le 27/09/2014, à 12:55

Pardon au forum, j'aurais dû répondre à michel_04 en privé, je croyais que la faille bash -c était résolue par mise à jour, histoire ancienne la faille de sécurité bash ?

Dernière modification par Compte supprimé (Le 27/09/2014, à 12:59)

michel_04 · Le 27/09/2014, à 13:06

Re,

L_d_v_c@ a écrit :

Pardon au forum

Pareil. Mes excuses.

A+

Dernière modification par michel_04 (Le 27/09/2014, à 13:06)

yann_001 · Le 27/09/2014, à 13:22

Bonjour.

L_d_v_c@ a écrit :

je croyais que la faille bash -c était résolue par mise à jour, histoire ancienne la faille de sécurité bash ?

Non pas vraiment il y a une nouvelle mise à jour de bash aujourd'hui.
C'est la troisième de la semaine.

bash (4.2-2ubuntu2.5) precise-security; urgency=medium
* SECURITY UPDATE: out-of-bounds memory access
- debian/patches/CVE-2014-718x.diff: guard against overflow and fix
off-by-one in bash/parse.y.
- CVE-2014-7186
- CVE-2014-7187
* SECURITY IMPROVEMENT: use prefixes and suffixes for function exports
- debian/patches/variables-affix.diff: add prefixes and suffixes in
bash/variables.c.

Dernière modification par yann_001 (Le 27/09/2014, à 13:24)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#101 Le 26/09/2014, à 18:49

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#102 Le 26/09/2014, à 19:08

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#103 Le 26/09/2014, à 19:35

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#104 Le 26/09/2014, à 20:05

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#105 Le 26/09/2014, à 21:02

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#106 Le 26/09/2014, à 21:24

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#107 Le 26/09/2014, à 22:42

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#108 Le 26/09/2014, à 23:23

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#109 Le 27/09/2014, à 00:51

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#110 Le 27/09/2014, à 09:15

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#111 Le 27/09/2014, à 09:39

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#112 Le 27/09/2014, à 09:41

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#113 Le 27/09/2014, à 09:42

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#114 Le 27/09/2014, à 10:03

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#115 Le 27/09/2014, à 10:36

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#116 Le 27/09/2014, à 10:57

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#117 Le 27/09/2014, à 11:35

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#118 Le 27/09/2014, à 11:40

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#119 Le 27/09/2014, à 12:02

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#120 Le 27/09/2014, à 12:10

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#121 Le 27/09/2014, à 12:16

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#122 Le 27/09/2014, à 12:47

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#123 Le 27/09/2014, à 12:55

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#124 Le 27/09/2014, à 13:06

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#125 Le 27/09/2014, à 13:22

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pied de page des forums