Ubuntu-fr

jplemoine

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

J'aurais tendance à dire qu'il faut voir avec ton hébergeur.

---

Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

En fait je viens de trouver les logs des accès web, j'ai recherché le caractère } , je ne l'ai pas trouvé dans les logs récents. Je pense que je n'ai pas eu d'attaques.

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

WhiteKomokuTen

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Hi

Toutes les failles ne semblent pas corrigés

Si je tape en console  :

 curl https://shellshocker.net/shellshock_test.sh | bash

J'ai un retour d'une vulnérabilité !

https://shellshocker.net/

---

http://www.tvlibertes.com/ - http://www.agenceinfolibre.fr/
http://www.dailymotion.com/SACR_videos - http://gar-reseau.info

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour.

@WhiteKomokuTen
Idem pour la faille CVE-2014-6277

lann

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Toutes les failles ne semblent pas corrigés

Oui j'ai essayé et je suis apparemment encore vulnérable à cette faille : https://web.nvd.nist.gov/view/vuln/deta … -2014-6277

---

https://numeriquement.fr/

abelthorne

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Je suis encore vulnérable à une faille qu'ils appellent "segfault" :

CVE-2014-6271 (original shellshock): not vulnerable
bash : ligne 16 :  4669 Erreur de segmentation  (core dumped) bash -c "f() { x() { _;}; x() { _;} <<a; }" 2> /dev/null
CVE-2014-6277 (segfault): VULNERABLE
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable

Je ne comprends pas bien son principe : apparemment, elle provoque un plantage (segfault) du bash quand elle est exécutée. C'est exploitable, ça ?

EDIT : d'autant que si j'entre la commande qu'ils donnent plus bas dans la page, tout ce que j'ai c'est une invite supplémentaire et pas "vulnerable" qui s'affiche. C'est assez curieux, ça. Il doit y avoir une faute de frappe dans la commande, je vois que les guillemets ne sont pas refermés (d'où l'invite supplémentaire).

Dernière modification par abelthorne (Le 04/10/2014, à 09:57)

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

À vérifier si les "Erreurs de segmentation" chez abelthorne ne peuvent-elles pas entraîner des fuites mémoires dans certains programmes, donc plus de mémoire disponible dans le système, plantage, perte de données ?

Il faut bien paramétrer /etc/security/limits.conf et au passage limiter le nombre de processus pour résister au Fork Bomb qui pourrait être exploité ces temps-ci si on peut passer des commandes à bash par les variables … cas actuel de la faille corrigée …

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Hi

Toutes les failles ne semblent pas corrigés

Si je tape en console  :

 curl https://shellshocker.net/shellshock_test.sh | bash

J'ai un retour d'une vulnérabilité !

https://shellshocker.net/

Pareil, je ne suis pas en serveur mais ça m'inquiète tout de même

yann@yann-desktop:~$ curl https://shellshocker.net/shellshock_test.sh | bash
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  2533  100  2533    0     0   4643      0 --:--:-- --:--:-- --:--:--  4639
CVE-2014-6271 (original shellshock): not vulnerable
bash : ligne 16 : 10930 Erreur de segmentation  (core dumped) bash -c "f() { x() { _;}; x() { _;} <<a; }" 2> /dev/null
CVE-2014-6277 (segfault): VULNERABLE
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable
yann@yann-desktop:~$ 

lann

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Avec la version bash 4.3.029-1 sur mon portable en Archlinux, je ne suis pas vulnérable à la faille CVE-2014-6277

---

https://numeriquement.fr/

Compte anonymisé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pangolin Precise 12.04 : vulnérable à CVE-2014-6277 avec bash version 4.2-2ubuntu2.5.

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

J'ai ouvert un ticket sur Launchpad qui m'a renvoyé sur Github, voir post suivant.

Dernière modification par Kieran (Le 05/10/2014, à 23:12)

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

https://github.com/wreiske/shellshocker/issues/40

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Apport me signale un plantage bash -c f()\ … ce matin comme sur la capture d'écran :

Alors que j'ai dû faire le test de vulnérabilité samedi matin justement. Et hier, aucun rapport de plantage.

Dernière modification par Compte supprimé (Le 06/10/2014, à 06:41)

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Tout ça c'est bien gentil, mais ça mérite quand même réflexion, chez Linux « le code est ouvert, donc chacun peut combler… pas comme Windows qui cache les failles… d'où une plus grande sécurité ».

22 ans la faille… est ce qu'il aurait mieux fallu la cacher ? C'eut été préférable, car elle semble très grave et à rebondissements.

C'est comme MAC, pas de virus ce truc il y a quelques années , donc les gens font n'importe quoi par excès de confiance et hop !  IWorm 17 000 machines infectées.

Bref mon PC Linux je l'ai mis en Windows 8, pas très confidentiel c'est vrai, mais un PC W8 bien protégé ça résiste très bien, peut être même que du côté serveur ça doit être pareil.

Je garde quelques DVD, dont Kali, au cas où, en attendant mieux.

ssdg

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pator75 > 3 vulnérabilités en 22 ans ... C'est clair que chez windows c'est mieux... Les chiffres sont plus proches du 22 en 3 ans, mais c'est mieux

---

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@L_d_v_c@

Le plantage vient peut-être du fait que tu as installé SELinux.

voxpopuli

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Tout ça c'est bien gentil, mais ça mérite quand même réflexion, chez Linux « le code est ouvert, donc chacun peut combler… pas comme Windows qui cache les failles… d'où une plus grande sécurité ».

22 ans la faille… est ce qu'il aurait mieux fallu la cacher ? C'eut été préférable, car elle semble très grave et à rebondissements.

C'est comme MAC, pas de virus ce truc il y a quelques années , donc les gens font n'importe quoi par excès de confiance et hop !  IWorm 17 000 machines infectées.

Reproche aux sociétés qui bossent dans la recherche de faille de préférer vendre le fruit de le recherche aux gouvernements plus tôt que de combler les trous

Les logiciels libre étant OpenSource et apprendre la programmation étant, actuellement, possible même pour un singe vivant dans la forêt amazonienne tant qu'il dispose d'internet: ne pas rechercher a améliorer les logiciels n'est que de la faute des utilisateurs.
Pour l'anecdote: La règle du 1% https://fr.wikipedia.org/wiki/R%C3%A8gle_du_1_%25

Bref mon PC Linux je l'ai mis en Windows 8, pas très confidentiel c'est vrai, mais un PC W8 bien protégé ça résiste très bien, peut être même que du côté serveur ça doit être pareil.

Avec des logiciels d'automatisation d'attaque Windows a quand même souvent plus de chance de tomber qu'un pc mal configuré sous linux (genre kali).

Je garde quelques DVD, dont Kali, au cas où, en attendant mieux.

Très certainement le linux le moins sécurisé (il est censé tourner en live)

PS: actuellement le monde linux est face a une petite révolution, Edouard Snowden nous a montré, preuve a l'appui, que la NSA exploite tout un paquet de faille découverte au prix d'énormément de moyens. Beaucoup de pirates et de hackers ont compris que c'est plus facile de trouver les failles exploitées par la NSA (en cherchant dans les papier de snowden) que de découvrir des nouvelles. Ces conséquences sont mauvaises pour la sécurité à cours thermes mais a moyen thermes par contre c'est tout bénéfice (la NSA a 30 ans d'avance d'après les estimations et la communauté linux rattrape ce retard a chaque faille publiée et corrigée).

---

« Si la destinée ne nous aide pas, nous l'aiderons nous même à se réaliser !  »
$Wold.Action.Boot();

abelthorne

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Tout ça c'est bien gentil, mais ça mérite quand même réflexion, chez Linux « le code est ouvert, donc chacun peut combler… pas comme Windows qui cache les failles… d'où une plus grande sécurité ».
22 ans la faille… est ce qu'il aurait mieux fallu la cacher ? C'eut été préférable, car elle semble très grave et à rebondissements.
C'est comme MAC, pas de virus ce truc il y a quelques années , donc les gens font n'importe quoi par excès de confiance et hop !  IWorm 17 000 machines infectées.

Bref mon PC Linux je l'ai mis en Windows 8, pas très confidentiel c'est vrai, mais un PC W8 bien protégé ça résiste très bien, peut être même que du côté serveur ça doit être pareil.
Je garde quelques DVD, dont Kali, au cas où, en attendant mieux.

Ah, les trolls arrivent.

Les gens utilisent des Windows troués pendant des années en trouvant ça normal, ils passent à Linux parce qu'il est moins soumis à ce genre de problème et le jour où quelqu'un exploite une fonctionnalité comme une faille de sécurité alors que personne n'y avait pensé en 22 ans, c'est la panique, Linux devient apparemment du jour au lendemain une catastrophe en matière de sécurité.

"Le code est ouvert d'où une plus grande sécurité" : oui. La faille en question a été découverte il y a une semaine et il y a déjà eu quatre ou cinq rustines pour la colmater (et il y en aura certainement d'autres). Sur la plupart des distributions, les mises à jour arrivent au bout de quelques heures. Si elles ne le sont pas, tu peux récupérer les sources de bash les plus récentes et les compiler toi-même. Avec ton Windows super sécurisé, pose-toi la question de savoir combien il y a de failles exploitées mais non connues parce que le code est fermé. Regarde un peu la durée entre la découverte d'une faille et la sortie d'un correctif par Microsoft (généralement, ça se compte en mois). Pose-toi un peu la question de savoir si les correctifs sortis par Microsoft sont vraiment efficaces et couvrent tous les cas de figure d'attaque potentielle : personne ne peut le vérifier puisque le code est fermé, justement. Tu préfères faire confiance à une multinationale qui te dit "oh, rassurez-vous, votre sécurité est notre priorité" ou à des gens qui peuvent juger sur pièces ?

Oui, quand le code source d'un logiciel est connu de tous, c'est plus facile de l'exploiter à de mauvaises fins. Et c'est aussi plus facile de le savoir, de réagir et de le corriger. Personne n'a jamais dit que les logiciels libres étaient exempts de faille de sécurité.

Et avant de repasser à Windows (enfin, vous faites ce que vous voulez, mais c'est idiot de le faire pour cette raison précise), rappelons que si votre machine n'est pas utilisée comme un serveur (web et peut-être d'autres types mais ça reste à prouver), vous ne risquez rien : il faut un point d'entrée avec un logiciel qui interagit avec bash pour l'exploiter.

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Et qui interagit en étant sous root.

A ce propos j'ai une question : comment font ces scripts (tels que les scripts CGI) pour interagir sous root sans contraire le mot de passe root?

Merci pour ta réponse.

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

abelthorne

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bash n'est pas exploité en root, il est exploité en tant que l'utilisateur qui fait tourner le service concerné. Si c'est à Apache qu'on balance des entêtes HTTP bidouillées, c'est Apache qui balances les commandes à bash. Si Apache et/ou son moteur CGI est lancé en root, bash fonctionne en root mais je ne crois pas que ce soit le cas (à priori, c'est en tant qu'utilisateur "www-data" avec des droits restreints qu'il est lancé).

Mais de toute façon, ça n'a pas d'importance : qu'il soit lancé en root ou en utilisateur standard, il a de toute façon les droits nécessaires pour faire ce dont il a besoin. Qui n'est pas s'attaquer à votre système mais bidouiller votre serveur web pour le transformer en botnet. D'où le fait que ce soit une faille sérieuse pour les serveurs et pas pour les PC lambda qui ne sont pas utilisés en tant que serveurs.

Dernière modification par abelthorne (Le 06/10/2014, à 12:38)

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Attention lâcher de barbus!...

Moi j'ai une conception utilitaire d'un OS, je m'en sers c'est tout, côté sécurité entre nous je n'ai jamais suivi Linux, pas à l'épreuve des faits mais ça vient... seul le côté confidentiel de certaines distributions bien équipées m'intéressait, mais là y a un méga faux pas, une faute grossière, et elle a été dévoilée par des gens aveuglés par leurs dogmes et idéologies, pathétique.

Donc Linux se soigne et je m'en sers encore, dans le cas contraire ce sera très peu.

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

A ce propos j'ai une question : comment font ces scripts (tels que les scripts CGI) pour interagir sous root sans contraire le mot de passe root?

Justement une des failles maintenant corrigées, permettait d'interagir comme un admin sans avoir à taper de MDP.

voxpopuli

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Attention lâcher de barbus!...

Moi j'ai une conception utilitaire d'un OS, je m'en sers c'est tout, côté sécurité entre nous je n'ai jamais suivi Linux, pas à l'épreuve des faits mais ça vient... seul le côté confidentiel de certaines distributions bien équipées m'intéressait, mais là y a un méga faux pas, une faute grossière, et elle a été dévoilée par des gens aveuglés par leurs dogmes et idéologies, pathétique.

Donc Linux se soigne et je m'en sers encore, dans le cas contraire ce sera très peu.

Pourquoi les pro Windows se jettent toujours a la moindre faille découverte dans linux pour insulter les libristes? Quel intérêt? (ptete nous pousser a utiliser windows mais aucun risque, nous on a choisi un paradigme, le libre, pour notre OS et n'avons pas vraiment envie de le changer sous des prétextes franchement FUD)

Une faute grossière c'est IPV4, ça c'est une faute complètement stupide et aberrante. Pour Bash là on parle d'une erreur de programmation... (pour rappel plus il y a de lignes de code plus il y a un risque d'erreur de programmation)

PS: la majorité des attaques sont faite par des gens qui ne sont pas des pro de la sécurité, vu la vitesse des patch pour l'histoire batch, les pirates n'auront pas vraiment le temps d'exploiter cette faille.

Dernière modification par voxpopuli (Le 06/10/2014, à 13:10)

---

« Si la destinée ne nous aide pas, nous l'aiderons nous même à se réaliser !  »
$Wold.Action.Boot();

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pourquoi les pro Windows se jettent toujours a la moindre faille découverte dans linux pour insulter les libristes?

Des utilisateurs de systèmes GNU/Linux font la même chose en débarquant sur des forums Windows pour chier dessus.
Y'a pas si longtemps un membre de ce forum a été sur un forum Windows et sur les demandes d'aide il venait parler de Xubuntu.
C'est tout aussi gonflant.

Pator75 a le droit de vouloir utiliser Windows parce qu'il se méfie de cette faille et qu'il préfère utiliser un système qu'il connait parce que ça le rassure.

On est pas là pour faire un Linux vs Windows mais pour parler de la faille.
Si une personne fraichement débarquée sur Linux, lit 5 pages de versus ça va pas l'aider à comprendre le problème et elle risque de faire machine arrière.

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Il y a quand même quelque chose de cassé, moi aussi j'ai accepté le discours « si Linux n'a pas d'antivirus, son code est surveillé étroitement et rapidement colmaté en cas de problème », on voit le résultat, 22 ans, toute personne qui s'intéresse au piratage sait que la compétition entre les découvreurs de failles et leurs colmateurs est l'axe déterminant, et un pirate formé sur le tas est meilleur à ce jeu qu'un lauréat de grande école, donc tout ça est de très mauvaise augure.

ps:
Merci Yann 001, je ne suis pas franchement rassuré chez Windows, mais je suis en terrain défriché, et avec des outils de sécurité aiguisés.

Dernière modification par Pator75 (Le 06/10/2014, à 14:03)