Ubuntu-fr

ljere

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

en effet ce sont mes réglages j'en ai fais un article ici si ça vous intéresse
http://ljeremie.legtux.org/index.php?po … es-curieux

---

ancien PC Toshiba satellite_c670d-11 / Linux Mint 21 Vanessa
Nouveau PC ASUS TUF GAMING A17 GPU RTX 4070 CPU AMD Ryzen 9 7940HS w/ Radeon 780M Graphics / Linux Mint 21.2 Victoria / Kernel: 6.4.8-1-liquorix / Desktop: Cinnamon

jplemoine

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Je garde le lien dans un coin...

---

Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

voxpopuli

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pour la faille de l'user agent j'ai une idée, on peut utiliser le langage Haka pour vérifier les user agent des servers et supprimer tout se qui est suspect voir faire un peu comme dans php, analyser une variable dans un switch et conserver la valeur du switch plus tôt que la valeur de la variable. Ce serait un moyen efficace de supprimer toute attaque possible via l'user agent.

---

« Si la destinée ne nous aide pas, nous l'aiderons nous même à se réaliser !  »
$Wold.Action.Boot();

Compte anonymisé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Si les connexions SSH sont désactivé, ça doit être bon, nan ?

Oui si le service est complétement désactivé et le seul moyen c'est de le désinstaller.
Sinon lors de l'attaque le hack démarrera le service.

Ben mon routeur bloque toutes les connexions SSH. Ça doit limiter l'attaque non ?

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

La faille se situe dans Bash, pas dans OpenSSH

Oui et elle permet d'avoir les droits admin sans demande de mdp.

Si un mdp blindé permettait de combler ce serait pas une faille.
Enfin tu crois ce que tu veux.

déjà il faut que ssh soit activé, ensuite si ssh est bien sécurisé root ne peut pas se loguer directement,

Comme une des failles permet d’accéder aux droits admin sans mdp, facile après de modifier ce que l'on veut.

de plus il y a la box à passer perso je rajoute une redirection de port donc une attaque sur le port 22 ne servira à rien,
pour finir pour exploiter cette faille il faut au minimum te loguer sur mon compte,

Oui dans le cas d'une utilisation sur une version desktop l'exploitation d'une des failles est vraiment très limitée.

bon courage avec fail2ban tu n'as que 3 essais puis ban d'un an.

J'utilise aussi fail2ban, mais 3 essais par ip ça donne pas mal de chance.

Ben mon routeur bloque toutes les connexions SSH. Ça doit limiter l'attaque non ?

Oui ça limite beaucoup.

ssdg

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Un attaquant avec la faille prendra le contrôle du compte admin.

J'aimerai bien qu'on m'explique comment. (parce que j'ai beau chercher, je ne trouve pas)

J'ajoute que plus je lis d'informations sur cette faille, plus je me dis qu'elle ne permet de faire executer du code arbitraire qu'à l'utilisateur qui lance apache (dans notre cas, www-data). Ce dernier n'a pas des masses de droits sur un ordinateur normal (si un gugus s'est amusé à changer la conf par défaut d'apache ou à l'installer depuis le site d'apache à se prendre pour un admin du tonnerre sans le faire tourner avec un utilisateur spécifique mais avec root)

A partir de là, sans une AUTRE faille ce n'est pas forcément plus impactant qu'une faile dans wordpress si on expose qu'apache.

Dernière modification par ssdg (Le 07/10/2014, à 20:56)

---

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Lorsque tu te connectes à internet tu reçois des informations, et dans les informations il peut y avoir un ligne de code qui exploite une faille.
Je ne sais pas si j'ai bien expliqué donc je vais essayer de faire plus clair.

Exemple, tu reçois des données et dans ses données il y a une ligne qui demande à un service de démarrer et si il y a une faille de faire un truc que seul l'admin devrait pouvoir faire.

Dernière modification par yann_001 (Le 07/10/2014, à 20:54)

ssdg

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Yann_001 > Ok, mais tu peux vérifier que si cette ligne contient une commande que seul l'admin peut lancer, il se fera recaller joyeusement ainsi:

ssdg@PenguintopIII:~$ sudo -u www-data bash
www-data@PenguintopIII:~$ head /dev/sda1 
head: impossible d'ouvrir «/dev/sda1» en lecture: Permission non accordée

si je la lance avec root:

ssdg@PenguintopIII:~$ sudo bash
root@PenguintopIII:~# head /dev/sda1
ST  9:+T9:+T
[...]

Je ne nie pas que cette faille peut être une tête de pont pour exploiter une autre faille (genre du noyau ou X sur un vieux serveur installé par un admin windows) ou qu'elle te permette de commencer un botnet ( en installant des fichiers dans /var/log par exemple) ou héberger du contenu douteux (genre pédophile, mafieux, ...)  mais tu restera dans les limites de ce que peux faire www-data si c'est la seule faille que tu utilise. (note: j'ai cru voire une faille dans phpmyadmin récément, bah tu était juste autant exposé)

---

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Déjà d'une la faille a été corrigée et de deux c'est pas de cette manière qu'on exploite une faille.

(note: j'ai cru voire une faille dans phpmyadmin récément, bah tu était juste autant exposé)

Je n'utilise pas phpmyadmin qui est connu pour ses failles.

Dernière modification par yann_001 (Le 07/10/2014, à 21:28)

ljere

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

en réalité la seul faille qu'il reste c'est bien celle là? CVE-2014-6277 (segfault): VULNERABLE

---

ancien PC Toshiba satellite_c670d-11 / Linux Mint 21 Vanessa
Nouveau PC ASUS TUF GAMING A17 GPU RTX 4070 CPU AMD Ryzen 9 7940HS w/ Radeon 780M Graphics / Linux Mint 21.2 Victoria / Kernel: 6.4.8-1-liquorix / Desktop: Cinnamon

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Oui c'est bien celle-là et la porté pour les utilisateurs de version desktop est quasi inexistante.
À moins d'aller sur un site douteux et de filer son mdp et d'accepter d'installer un code, aucun risque.

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Oui c'est bien celle-là et la porté pour les utilisateurs de version desktop est quasi inexistante.
À moins d'aller sur un site douteux et de filer son mdp et d'accepter d'installer un code, aucun risque.

Bon!... j'ai remis Debian sur un PC sous Windows 7, apparemment je ne suis pas vulnérable, mais j'attends la suite.

Dernière modification par Pator75 (Le 08/10/2014, à 08:16)

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour.

Bon!... j'ai remis Debian sur un PC sous Windows 7, apparemment je ne suis pas vulnérable, mais j'attends la suite.

La dernière est aussi comblée sur la dernière Debian ?

 curl https://shellshocker.net/shellshock_test.sh | bash

david96

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Yo,

Sur mon serveur (Debian whezzy) ça donne ça :

CVE-2014-6271 (original shellshock): not vulnerable
shellshock_test.sh : ligne 16 :  3437 Erreur de segmentation  bash -c "f() { x() { _;}; x() { _;} <<a; }" 2> /dev/null
CVE-2014-6277 (segfault): VULNERABLE
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable

avec zsh :

CVE-2014-6271 (original shellshock): not vulnerable
CVE-2014-6277 (segfault): VULNERABLE
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable

Édite : le paquet qui a été mis à jour est rsyslog

Dernière modification par david96 (Le 08/10/2014, à 16:23)

---

Matthieu Côte « Qu'est ce qu'ils sont cons »

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Sur Github, ça n'avance pas des masses.

abelthorne

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Sur Github, ça n'avance pas des masses.

J'ai juste lu ton message rapidement mais je crois que tu te plantes dans ce qu'on te demande de faire : sur shellshocker.net, il y a deux commandes :
- la première pour tester les vulnérabilités : curl https://shellshocker.net/shellshock_test.sh | bash
- la seconde (indiquée en haut de la page) pour les corriger : curl https://shellshocker.net/fixbash | sh

Apparemment, tu lances à chaque fois la commande pour tester les vulnérabilités mais je n'ai pas l'impression que tu aies lancé celle pour corriger bash (le script récupère les sources, les compile et installe la nouvelle version). Du moins avec les bons paquets installés. Dans le doute, relance la commande pour les corriger puis refais le test.

(Note : une fois la dernière version de bash installée, tu peux virer le dossier bash-shellshocker qui a été créé dans ton dossier perso.)

Dernière modification par abelthorne (Le 08/10/2014, à 17:32)

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonsoir.
Sur les systèmes BSD il y a une modif utilisée depuis des années qui fait que les dernières failles ne peuvent erre exploitées.

Par contre sur les systèmes GNU/Linux par défaut ça pose problème.
Enfin avec la dernière encore exploitable sur les versions serveur et sur les versions desktop où est installé Openssh version serveur et Postfix avec accès public.

La modif du code fait que postfix merde un peu dans certains cas. Comme je n'utilise pas OpenSSH et que Postfix est limité à une utilisation local je n'ai pas cherché plus que ça.

lann

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Apparemment, tu lances à chaque fois la commande pour tester les vulnérabilités mais je n'ai pas l'impression que tu aies lancé celle pour corriger bash (le script récupère les sources, les compile et installe la nouvelle version). Du moins avec les bons paquets installés. Dans le doute, relance la commande pour les corriger puis refais le test.

Mol je préfère attendre la mise à jour de bash dans la distribution

---

https://numeriquement.fr/

david96

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Sur Github, ça n'avance pas des masses.

J'ai juste lu ton message rapidement mais je crois que tu te plantes dans ce qu'on te demande de faire : sur shellshocker.net, il y a deux commandes :
- la première pour tester les vulnérabilités : curl https://shellshocker.net/shellshock_test.sh | bash
- la seconde (indiquée en haut de la page) pour les corriger : curl https://shellshocker.net/fixbash | sh

Apparemment, tu lances à chaque fois la commande pour tester les vulnérabilités mais je n'ai pas l'impression que tu aies lancé celle pour corriger bash (le script récupère les sources, les compile et installe la nouvelle version). Du moins avec les bons paquets installés. Dans le doute, relance la commande pour les corriger puis refais le test.

(Note : une fois la dernière version de bash installée, tu peux virer le dossier bash-shellshocker qui a été créé dans ton dossier perso.)

Merci, je n'avais pas compris non plus

---

Matthieu Côte « Qu'est ce qu'ils sont cons »

david96

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Mol je préfère attendre la mise à jour de bash dans la distribution

T'as pas tort, je viens de tester en local, et la procédure demande beaucoup de ressource et c'est plutôt très lourd.

J'ai interrompu de force la procédure.

Dernière modification par david96 (Le 08/10/2014, à 17:52)

---

Matthieu Côte « Qu'est ce qu'ils sont cons »

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

 curl https://shellshocker.net/shellshock_test.sh | bash

Il est bien de préciser qu'il n'est pas du tout recommandé de lancer ce genre de commandes.
Cette commande télécharge un script sur un serveur distant et l'exécute immédiatement et aveuglément…
Rien ne garantit que le script sur shellshock.net ne soit pas dangereux. Il vaut toujours mieux télécharger le script, le vérifier, puis le lancer manuellement.
Il serait très facile de camoufler un script frauduleux qui fasse des choses non souhaitées sur une machine sans que cela soit détecté (par exemple, en n'envoyant un mauvais script que sur certaines requêtes).

---

GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

david96

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Rien ne garantit que le script sur shellshock.net ne soit pas dangereux. Il vaut toujours mieux télécharger le script, le vérifier, puis le lancer manuellement.

Tu as raison de le préciser, c'est ce que j'ai fait (mode parano oblige). D'ailleurs je n'ai pas installé curl sur mon serveur de production.

Dernière modification par david96 (Le 08/10/2014, à 17:56)

---

Matthieu Côte « Qu'est ce qu'ils sont cons »

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Perso je conseille à toutes personnes n'ayant pas de connaissance en informatique d'attendre la mise à jour proposée par les dépôts, et de ne pas utiliser les scripts proposés sur le net.

Ces derniers peuvent sembler combler la faille mais peuvent contenir un code malicieux qui exploitera la faille.

Dernière modification par yann_001 (Le 08/10/2014, à 17:58)

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Rien ne garantit que le script sur shellshock.net ne soit pas dangereux. Il vaut toujours mieux télécharger le script, le vérifier, puis le lancer manuellement.

plus 1000

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

trop tard, je l'ai exécuté, mais en même temps, je ne suis pas sur un serveur donc j'espère que les conséquences ne seront pas trop graves.