Faille de sécurité sur bash

sandrockurt · Le 25/09/2014, à 19:53

Bonjour,

Je vous contacte concernant la faille découverte récemment : http://www.zdnet.fr/actualites/bash-uni … 806881.htm

Je m'interroge sur la vulnérabilité de mes serveurs LAMP. Je ne fais pas appel a des scripts bash dans mon code mais est-ce que mon serveur apache le fait? Mon inquiétude vient du fait que j'ignore un peu ce qu'il se passe derrière une interface comme phpmyadmin par exemple.
Dans tous les cas, je vais vérifier demain s'il utilise mod_cgi ou mod_cgid dans la config. Personnellement, je ne n'ai jamais activé manuellement l'emploi du cgi.

Dernière modification par sandrockurt (Le 25/09/2014, à 20:00)

Yooxel · Le 25/09/2014, à 20:27

Salut,

Si tu t'inquiètes de la sécurité de ton serveur, tu peux déjà enlever phpmyadmin.

sandrockurt · Le 25/09/2014, à 20:48

Je vois, ta réponse est très instructive ... sur ma propre méconnaissance de ce que je manipule ^^

tiramiseb · Le 25/09/2014, à 21:44

Salut,

Bah mets à jour tes systèmes, c'est tout...

Yooxel · Le 25/09/2014, à 21:58

tiramiseb a écrit :

Salut,
Bah mets à jour tes systèmes, c'est tout...

Non, ce n'est pas tout, le patch officiel ne règle pas entièrement le problème.
Mais pour répondre plus sérieusement au sujet. Tu n'as probablement pas de scripts cgi donc ça roule.

Et je suis sérieux à propos de phpmyadmin, c'est très bien pour le localhost, ton ordi; mais pour un serveur, il est préférable d'apprendre à manier la commande mysql.

https://www.google.fr/search?q=phpmyadmin+failles

tiramiseb · Le 25/09/2014, à 22:10

Je suis d'accord, phpmyadmin sur un serveur en prod' c'est une erreur.
Surtout qu'on a rarement des choses à faire avec phpmyadmin sur un serveur.

sandrockurt · Le 25/09/2014, à 22:14

Pas de souci, j'ai bien pris le conseil au sérieux. Je désinstalle phpmyadmin demain.
je pense installer un client lourd comme le serveur est sur mon lan.

En tout cas merci pour l'aide. A+

tiramiseb · Le 25/09/2014, à 22:25

À part ça, pour vérifier si Apache peut accéder à Bash, jette un œil aux modules chargés, en effet.
Mais je pense qu'il n'y a pas trop de risques...

bruno · Le 25/09/2014, à 22:34

Il y a déjà 2 fils de discussion là-dessus dans la rubrique « Sécurité » et un gros bandeau alarmiste en tête du forum

Pour l'instant la seule exploitation relevée est sur du serveur web avec cgi. Apache+PHP+mod_cgi par exemple. Et comme d'autres personnes j'ai constaté des tentatives d'exploitation dans les logs de plusieurs serveurs web.
Généralement les gens configurent leur serveur web personnel avec mod_php qui ne semble pas impacté.

D'autre part sur Debian/Ubuntu les scripts shell lancés par un utilisateur système sont exécutés par Dash (sauf erreur de ma part) et non par Bash. Or Dash n'est pas impacté par cette faille. Donc a priori rien à craindre à moins d'avoir modifié /bin/sh…

Dernière modification par bruno (Le 25/09/2014, à 22:36)

Pseudo supprimé · Le 25/09/2014, à 23:35

sudo a2dismod cgi

et mettre à jour le paquet bash

tiramiseb · Le 26/09/2014, à 09:25

Sur Ubuntu je n'ai pas fait gaffe, mais la faille est entièrement corrigée sur Debian maintenant. Donc mise à jour, et voilà c'est bon, comme je l'ai dit en #4 (sauf qu'entre-temps le problème est contrairement corrigé, le message #5 de Yooxel est devenu caduc, vive le logiciel libre et ses patches en moins de 24h !

D'autre part sur Debian/Ubuntu les scripts shell lancés par un utilisateur système sont exécutés par Dash (sauf erreur de ma part) et non par Bash

Ça dépend du shebang. Si le shebang demande Bash, c'est Bash qui sera utilisé...

bruno · Le 26/09/2014, à 09:34

tiramiseb a écrit :

Ça dépend du shebang. Si le shebang demande Bash, c'est Bash qui sera utilisé...

Toutafé, mais je parlais des tentatives d'exploit qui utilisent l'injection de code dans les en-têtes http par exemple.

Et je confirme que le nouveau patch corrigeant sans doute complètement la faille a été publié. et que les mises à jour de bash sont disponibles chez Debian et Ubuntu. Voilà, comme tu le dis cela montre bien la force du libre : communication ouverte, nombreuses personnes pouvant examiner et analyser le code ⇒ correctif disponible très rapidement.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 25/09/2014, à 19:53

Faille de sécurité sur bash

#2 Le 25/09/2014, à 20:27

Re : Faille de sécurité sur bash

#3 Le 25/09/2014, à 20:48

Re : Faille de sécurité sur bash

#4 Le 25/09/2014, à 21:44

Re : Faille de sécurité sur bash

#5 Le 25/09/2014, à 21:58

Re : Faille de sécurité sur bash

#6 Le 25/09/2014, à 22:10

Re : Faille de sécurité sur bash

#7 Le 25/09/2014, à 22:14

Re : Faille de sécurité sur bash

#8 Le 25/09/2014, à 22:25

Re : Faille de sécurité sur bash

#9 Le 25/09/2014, à 22:34

Re : Faille de sécurité sur bash

#10 Le 25/09/2014, à 23:35

Re : Faille de sécurité sur bash

#11 Le 26/09/2014, à 09:25

Re : Faille de sécurité sur bash

#12 Le 26/09/2014, à 09:34

Re : Faille de sécurité sur bash

Pied de page des forums