Faille de sécurité dans bash (mis à jour 12/10/2014)

Compte supprimé · Le 27/09/2014, à 15:22

Suite à cette faille dans bash, je me pose des questions ici : user nobody actif dans gdomap et dnsmasq … (car si la faille a déjà été exploitée tout est à revoir sur les systèmes concernés)

Dernière modification par Compte supprimé (Le 27/09/2014, à 15:23)

abelthorne · Le 27/09/2014, à 15:31

jackos a écrit :

On parle des risques au niveau serveur, mais que ce passe t'il pour les clients sous linux?, il y a aussi un risque?

On parle de risques au niveau serveur simplement parce qu'il y a des risques à partir du moment où on peut se connecter à ta machine à distance, principalement si elle fait tourner un serveur web (Apache, Nginx...). Si ta machine n'est pas accessible depuis l'extérieur de ton réseau local, tu ne crains rien.

Dernière modification par abelthorne (Le 27/09/2014, à 15:32)

Le Goss · Le 27/09/2014, à 16:03

Euh... j'ai eu l'info de cette mise à jour à l'instant en venant sur le forum pour une recherche.
Tu sais, le genre de truc hyper-flippant, en rouge et en gras qui te dit "tu vas mouriiiiiiiiiiiiiiiiiiir!!!"... gaffe à la tachycardie
Sans cette visite, je serais passé complètement à côté.
Est-ce normal de n'avoir rien reçu par mail par exemple?

Dernière modification par Le Goss (Le 27/09/2014, à 16:04)

CM63 · Le 27/09/2014, à 16:13

Bonjour,

Il n'y a jamais eu de mail de la part de Canonical aux utilisateurs de Ubuntu, car à aucun moment nous nous sommes déclarés utilisateurs de Ubuntu auprès de Canonical. C'est pas comme M$

Par contre j'ai demandé à ce qu'ils modifient le message, là quand tu débarques tu crois que la vulnérabilité a été découverte aujourd'hui, alors qu'elle a été decouverte (ou en tout cas annoncée ici) le 25 septembre.

Bonne journée.

Dernière modification par CM63 (Le 27/09/2014, à 16:16)

jplemoine · Le 27/09/2014, à 16:13

Si tout le monde utilisait des versions supportées et mettaient à jour leurs machines (physiques et virtuelles), il n'y aurait rien à faire de plus.
Comme on sait que ce n'est pas le cas, il faut faire des actions de prévention.
Il est normal que tu n'aies pas reçu de "mail" puisque le principe est que l'utilisateur ailles chercher l'information et non que l'on lui pourrisse sa boîte aux lettres.

Gaara · Le 27/09/2014, à 16:21

Le mieux est de configurer une mise à jour automatique, comme ça plus de soucis. J'ai été prévenu le jour même, grâce à la notification.

Compte supprimé · Le 27/09/2014, à 16:33

yann_001 a écrit :

CasoarRotatif a écrit :
Hey, j'ai lu quelques articles sur ce bug, et j'ai vu dans celui de ZNet que cette faille était exploitable depuis 20 ans ? C'était vraiment si dur que ça à découvrir ou tout le monde s'en foutait ?
Dans un système d'exploitation il y a des millions de lignes de code et si tout le monde pense qu'un autre va lire le code, au final personne ne le fait. Pas facile de tout vérifier.
Il n'existe aucun système sans faille.

Bah c'est quand même un des paquets les plus utilisés on dirait, et puis c'est pas comme si ça prenait qu'une seule petite ligne de code pour l'exploiter En vingt ans ? Tant qu'on m'a pas mieux expliqué comment ça a été possible de passer à côté, ça me paraît énorme

jackos · Le 27/09/2014, à 17:01

abelthorne a écrit :

jackos a écrit :
On parle des risques au niveau serveur, mais que ce passe t'il pour les clients sous linux?, il y a aussi un risque?
On parle de risques au niveau serveur simplement parce qu'il y a des risques à partir du moment où on peut se connecter à ta machine à distance, principalement si elle fait tourner un serveur web (Apache, Nginx...). Si ta machine n'est pas accessible depuis l'extérieur de ton réseau local, tu ne crains rien.

ok, je me posais la question si en surfait avec la version de bash compromise, cela avait des incidences (comme avec flash,java...)

CasoarRotatif a écrit :

yann_001 a écrit :
CasoarRotatif a écrit :
Hey, j'ai lu quelques articles sur ce bug, et j'ai vu dans celui de ZNet que cette faille était exploitable depuis 20 ans ? C'était vraiment si dur que ça à découvrir ou tout le monde s'en foutait ?
Dans un système d'exploitation il y a des millions de lignes de code et si tout le monde pense qu'un autre va lire le code, au final personne ne le fait. Pas facile de tout vérifier.
Il n'existe aucun système sans faille.
Bah c'est quand même un des paquets les plus utilisés on dirait, et puis c'est pas comme si ça prenait qu'une seule petite ligne de code pour l'exploiter En vingt ans ? Tant qu'on m'a pas mieux expliqué comment ça a été possible de passer à côté, ça me paraît énorme

c'est vrai que 20 ans et le la façon dont cette faille peut être exploités, ca fait forcément poser des questions (c'est pas pour troller, juste comprendre)

maxire · Le 27/09/2014, à 17:12

Sources de Bash environ 1400 éléments pour une taille de 30 MO, vous comprendrez que ce n'est pas si simple à contrôler, de plus ce contrôle repose, je crois, largement sur des bénévoles.
Dîtes-vous bien que cette faille est sans doute restée inconnue également des personnes malintentionnées.

StanislasZr · Le 27/09/2014, à 17:19

Bonjour,

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

me retourne seulement le contenu du echo (this is a test) mais pas d'erreur! Je dois m'inquiéter? (14.04 LTS)

Kieran · Le 27/09/2014, à 17:22

StanislasZr a écrit :

Bonjour,
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
me retourne seulement le contenu du echo (this is a test) mais pas d'erreur! Je dois m'inquiéter? (14.04 LTS)

pareil comme je l'ai écrit précédemment et j'ai fait les mises à jours, graphiquement ET en ligne de commande.

bruno · Le 27/09/2014, à 17:48

StanislasZr a écrit :

e dois m'inquiéter? (14.04 LTS)

NON.
C'est le comportement normal avec la dernière mise à jour.

Kieran · Le 27/09/2014, à 18:01

bruno a écrit :

StanislasZr a écrit :
e dois m'inquiéter? (14.04 LTS)
NON.
C'est le comportement normal avec la dernière mise à jour.

Ca ne correspond pas tout à fait au premier message de ce topic cependant. Ce qui sans doute nous a amené à nous poser la question .

Compte supprimé · Le 27/09/2014, à 20:21

maxire a écrit :

Sources de Bash environ 1400 éléments pour une taille de 30 MO, vous comprendrez que ce n'est pas si simple à contrôler, de plus ce contrôle repose, je crois, largement sur des bénévoles.
Dîtes-vous bien que cette faille est sans doute restée inconnue également des personnes malintentionnées.

Sauf que là on n'est pas obligé de lire le code, suffit de tester une commande avec un truc bizarre dedans qui est pas sensé être exécuté et paf, il est exécuté et on a découvert le dernier bug dla morkitu qui va tuer des bébés lamentins et rendre vulnérables la moitié des machines du monde ; moi ça me donne pas confiance du tout qu'un truc pareil soit passé inaperçu pendant tout ce temps.

Surtout que je viens de lire ça :
http://arstechnica.com/security/2014/09 … ck-a-mole/

yann_001 · Le 27/09/2014, à 20:48

CasoarRotatif a écrit :

Sauf que là on n'est pas obligé de lire le code, suffit de tester une commande avec un truc bizarre dedans qui est pas sensé être exécuté et paf, il est exécuté et on a découvert le dernier bug

Il n'y a aucune commande universelle qui permette de découvrir toutes les failles possibles.
Avec la méthode que tu décris, il faudrait tester des milliers de commande sur un programme pour voir si il y a une faille.
Et encore il ne serait même pas certain que le programme ne contienne pas de faille parce que des fois ça ne fonctionne pas sur tous les systèmes.

Compte supprimé · Le 27/09/2014, à 20:57

Parfois, le programme n'existe pas sur papier ni dans l'esprit d'une personne, il est codé à la volé, puis passé dans le débogueur et repasse plusieurs fois par le débogueur mais reste non maîtrisé, c'est de la bidouille qui compte sur le système des mises à jour.
-édité-
Vite, vite, toujours plus vite. S'il y a un problème, on patchera de toute façon.

Dernière modification par Compte supprimé (Le 28/09/2014, à 13:36)

jplemoine · Le 27/09/2014, à 21:04

L_d_v_c@ a écrit :

des SSII militaires françaises

C'est quoi pour toi, une "SSII militaires françaises" ?
J'ai en tête une "SSII" civile qui travaille entre autres pour les militaires et je peux te certifier que ça ne se passe pas comme ça...
Je ne crois pas que les militaires aient leur propre SSII.

Dernière modification par jplemoine (Le 27/09/2014, à 21:07)

Compte supprimé · Le 27/09/2014, à 21:18

-édité-

Sur ce, bonne nuit, je vais me coucher … fatigué de ma journée

Dernière modification par Compte supprimé (Le 28/09/2014, à 13:35)

jplemoine · Le 27/09/2014, à 21:23

C'est bien ce je pensais : ce sont des sociétés civiles qui ont certains clients miltaires.
Pour la part, j'ai travaillé pour le concurrent (sigle de 4 lettres) et vu les tests effectués sur nos programmes et les délais, il valait mieux que la première fois soit la bonne....
Je pense que tes cas sont des exceptions.

PPdM · Le 27/09/2014, à 21:27

L_d_v_c@ a écrit :

Un deuxième copain déporté de Bordeaux vers Marseilles en semaine de travail, m'a raconté en revanche un test de missile avec plein de capteurs qui a coûté très cher, car windows a lancé la défragmentation pendant le test et l'ordinateur n'arrivait plus à enregistrer correctement les capteurs embarqués …
Sur ce, bonne nuit, je vais me coucher … fatigué de ma journée

Ça pue le fake !!!
Personne ne programme une defrag automatique, et même cela serait les cas cela ne ce fait que quand l'ordinateur est au repos, et je doute que ces programme hyper pointus tournent sur un merde comme windows ou alors ce sont de vrais malades.

Dernière modification par PPdM (Le 28/09/2014, à 18:30)

Compte supprimé · Le 27/09/2014, à 21:30

PPdM, je demanderai à un troisième copain de confirmer ce que le deuxième copain m'a raconté en 2005, je m'en souviens très bien.

Merci,
bonne nuit.

Dernière modification par Compte supprimé (Le 28/09/2014, à 15:13)

CM63 · Le 27/09/2014, à 23:12

Pour empêcher l'indexation de cette page du forum par les moteurs de recherche (c'est toute la page ou juste le post?), eh ben j'en apprends une là
Je vais mettre noindex dans ma signature, comme ça, ça empêchera l'indexation de toutes les discussions où j'interviendrai.
rire

Dernière modification par CM63 (Le 27/09/2014, à 23:18)

tooguy66 · Le 27/09/2014, à 23:34

En ce moment je me pose pas mal de questions....Une faille de 20 ans quand même!!! J'ai installé des ubuntus chez certaines personnes, en leur affirmant que le système n'était pas conçu de la même manière est qu'il était plus sécurisé que windows. J'suis un peu furax sur cette affaire!! Et encore, j'suis un particulier et non pas une entreprise; j'espère qu'on aura pas d'autres surprises

jplemoine · Le 27/09/2014, à 23:48

tooguy66 a écrit :

le système n'était pas conçu de la même manière est qu'il était plus sécurisé que windows.

Je pense malgré tout que ça reste vrai...

CM63 · Le 28/09/2014, à 00:04

Je comprends qu'on outrepasse les droits d’exécution en définissant un script à la volée dans une variable environnement. Comme ce script n'est pas sur un fichier mais défini à la volée, je n'ai pas besoin de faire chmod +x . Mais en revanche je ne comprends pas comment on peut outre-passer la nécessité de taper le mot de passe root

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#151 Le 27/09/2014, à 15:22

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#152 Le 27/09/2014, à 15:31

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#153 Le 27/09/2014, à 16:03

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#154 Le 27/09/2014, à 16:13

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#155 Le 27/09/2014, à 16:13

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#156 Le 27/09/2014, à 16:21

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#157 Le 27/09/2014, à 16:33

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#158 Le 27/09/2014, à 17:01

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#159 Le 27/09/2014, à 17:12

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#160 Le 27/09/2014, à 17:19

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#161 Le 27/09/2014, à 17:22

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#162 Le 27/09/2014, à 17:48

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#163 Le 27/09/2014, à 18:01

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#164 Le 27/09/2014, à 20:21

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#165 Le 27/09/2014, à 20:48

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#166 Le 27/09/2014, à 20:57

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#167 Le 27/09/2014, à 21:04

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#168 Le 27/09/2014, à 21:18

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#169 Le 27/09/2014, à 21:23

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#170 Le 27/09/2014, à 21:27

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#171 Le 27/09/2014, à 21:30

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#172 Le 27/09/2014, à 23:12

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#173 Le 27/09/2014, à 23:34

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#174 Le 27/09/2014, à 23:48

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#175 Le 28/09/2014, à 00:04

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pied de page des forums