Faille de sécurité dans bash (mis à jour 12/10/2014)

nesthib · Le 25/09/2014, à 09:52

*** mise à jour 12/10/2014 *** la version de bash après correction de la faille doit être 4.2-2ubuntu2.6 ou 4.3-7ubuntu1.5 (le dernier numéro doit être 5 ou 6).
*** mise à jour 28/09/2014 *** la version de bash après correction de la faille doit être 4.2-2ubuntu2.5 ou 4.3-7ubuntu1.4 (le dernier numéro doit être 4 ou 5).
*** mise à jour 26/09/2014 *** la version de bash après correction de la faille doit être 4.2-2ubuntu2.3 ou 4.3-7ubuntu1.3 (le dernier numéro doit être 3).

Une faille de sécurité dans bash a été divulguée le 24 septembre 2014. Celle ci permet l'exécution de code arbitraire via l'environnement.
Cette faille est très sérieuse et permet des attaques via le réseau ainsi que des élévations de privilège en local.

Pour savoir si votre machine est affectée, lancez la commande :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Une machine vulnérable retournera :

vulnerable
this is a test

Une machine non affectée retournera :

this is a test

Une machine partiellement à jour retournera :

bash: avertissement : x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test

Un correctif de sécurité a été déployé, il suffit de mettre à jour votre système :

sudo apt-get update ; sudo apt-get upgrade

Il est conseillé de mettre à jour tout le système (commande ci-dessus), mais si pour une raison précise vous ne désirez mettre à jour que bash :

sudo apt-get update ; sudo apt-get upgrade bash

Attention, les seules versions supportées par les mises à jour de sécurité sont les suivantes :

10.04 LTS (Lucid Lynx) serveur uniquement
12.04 LTS (Precise Pangolin)
14.04 LTS (Trusty Tahr)
14.10 (Utopic Unicorn)

Pour les autres versions, il est fortement conseillé de mettre à jour vers une version LTS.

Cette faille n'a pas d'effet directement. Pour être exploitée elle doit être par exemple couplé à un service réseau qui utilise bash (ex. serveur web + lCGI, ssh, …) ou un exécutable local avec le bit(suid).

Détails techniques.
Pour ceux qui veulent en savoir plus, cette faille consiste en l'exploitation d'un problème du parseur de bash. Lors de la définition d'une variable il est possible d'utiliser un petit hack pour passer la définition d'une fonction shell :

VAR='() { echo plop; }' bash -c 'VAR'

Aucun code ne devrait être exécuté directement. Seules les variables et fonctions sont exportées.

Les versions de bash affectées exécutent tout code à la suite de la définition d'une fonction :

VAR='() { echo plop; }; code_malicieux' bash -c 'echo on lance un sous-shell'

Dans les versions vulnérables, le code malicieux est interprété lorsque le shell définit les variables d'environnement. Dans les version corrigées, le parseur n'interprète pas le code_malicieux.

Pour tester de façon rudimentaire si votre machine a été compromise : suivre les instructions de ce message (attention de bien lire, voir des lignes apparaître ne signifie pas que la machine est compromise, inversement une absence de retour ne signifie pas que la machine ne l'est pas). Ceci est inutile si vous n'utilisez pas ssh ou que vous n'avez pas de serveur web.

Dernière modification par nesthib (Le 12/10/2014, à 17:53)

side · Le 25/09/2014, à 10:05

!

Compte supprimé · Le 25/09/2014, à 10:08

Fait! Par ailleurs, des mises à jours de ca-certificates ont été réalisées avec la mise à jour de bash sur ma Debian Wheezy.
Merci.

CM63 · Le 25/09/2014, à 10:08

Bonjour,

Je suppose que tu veux dire "infectée" et non pas "affectée"?
Autre question: si on est en 13.x il n'y a pas moyen d'appliquer un patch? Merci pour ta réponse.

J'ai tapé les commandes :

sudo apt-get update ; sudo apt-get upgrade

Et la commande env etc... m'affiche toujours "vulnerable"

Dernière modification par CM63 (Le 25/09/2014, à 10:14)

pingouinux · Le 25/09/2014, à 10:11

Bonjour nesthib,

Merci pour l'information. Pourrais-tu expliquer ce que fait la commande de test ?

Une autre discussion sur ce sujet a été lancée un peu plus tôt : Linux / Unix : une très grave faille affecte le shell Bash

nesthib · Le 25/09/2014, à 10:14

@CM63 : Non, il ne s'agit pas d'un virus, mais d'une vulnérabilité. Les versions 13.04 et 13.10 ne sont plus maintenues, il faut passer à la 14.04 TLS.

@pingouinux : je vais apporter des détails dans le premier message.

side · Le 25/09/2014, à 10:20

su www-data

echo $SHELL

/bin/bash

!!!!

Dernière modification par side (Le 25/09/2014, à 10:21)

CM63 · Le 25/09/2014, à 10:30

Bonjour,

@Nesthib: quand tu dis "Pour être exploitée elle doit être par exemple couplé à un service réseau", est-ce cela veut dire qu'elle peut s'attaquer à un process de synchronisation de Cloud comme Hubic chez OVH par exemple? Merci pour ta réponse.

Dernière modification par CM63 (Le 25/09/2014, à 10:31)

bruno · Le 25/09/2014, à 10:37

Bon, inutile de s'alarmer outre mesure… Je rappelle que par défaut les shells non interactifs utilisent dash qui n'est pas impacté par cette faille.
Mais il faut quand même suivre cela avec attention pour ceux qui administrent des serveurs.
Le risque principal concerne les serveur web utilisant CGI (Apache+PHP+mod_cgi par exemple, à priori Apache+PHP+mod_php n'est pas concerné).

Des explications détaillées (en anglais) : http://lcamtuf.blogspot.fr/2014/09/quic … mpact.html

D'autre part les mises à jour proposée par Debian/Ubuntu ne corrigent pas complètement la faille et une autre alerte de sécurité à déjà été lancée : https://cve.mitre.org/cgi-bin/cvename.c … -2014-7169

EDIT :
Autre chose amusante : http://blog.erratasec.com/2014/09/bash- … ernet.html

et la discussion sur linuxfr.org

Dernière modification par bruno (Le 25/09/2014, à 21:39)

jplemoine · Le 25/09/2014, à 10:39

CM63 a écrit :

J'ai tapé les commandes :
sudo apt-get update ; sudo apt-get upgrade

Pour la 14.04, le fait de mettre à jour avec

sudo apt-get update
sudo apt-get dist-upgrade

permet de passer de "vulnérable" à "erreur" (donc non vulnérable)

- Essaies donc avec dist-upgrade au lieu de update tout court.
- s'il y a des erreurs, la mise à jour ne fonctionne pas...

CM63 · Le 25/09/2014, à 10:43

Oui, j'ai compris, il faut que j'upgrade de version

nesthib · Le 25/09/2014, à 10:44

La faille touche tout système qui utilise bash, génère des sous-shell (cela arrive tout le temps, quand on fait « echo "Bonjour, il est $(date +'%H:%M')." », un sous-shell est lancé) et fait confiance aux variables d'environnement envoyées par l'utilisateur. Je ne saurais pas répondre dans ton cas, mais en théorie la faille touche de très nombreux services réseaux ou locaux. Le plus simple est de ne pas se poser trop de questions et de mettre à jour son système

cristobal78 · Le 25/09/2014, à 11:02

Bjr

j'ai suivi la recommandation de nesthib.

La cde donnée me retourne "vulnérable" sur mon PC en 12.04lts et idem sur le PC en 14.04lts.
J'ai donc lancé la mise à jour (via l'interface graphique, icône dans la barre de lanceur) et une minute plus tard mes 2 pc répondent : "..erreur...this is a test".

Merci nesthib

nesthib · Le 25/09/2014, à 11:22

Il semble que mettre à jour ne soit pas suffisant sur toutes les plateformes : https://access.redhat.com/articles/1200223
Des vulnérabilités ont également été identifiées dans d'autres shells, il faut donc éventuellement s'attendre à de nouvelles mises à jour.

Un suivi pour Ubuntu est disponible à cette adresse : http://people.canonical.com/~ubuntu-sec … /bash.html

alca94 · Le 25/09/2014, à 11:39

@ nesthib
merci pour le suivi et la re-direction

Konohamaru · Le 25/09/2014, à 11:54

Merci pour l'info. Je viens de mettre à jour ma machine

F50 · Le 25/09/2014, à 13:03

Les màj devraient être le premier réflexe peu après le démarrage d'une machine, non ?

Commit Log for Thu Sep 25 07:11:20 2014


Les paquets suivants ont été mis à jour :
bash (4.3-7ubuntu1) to 4.3-7ubuntu1.1
libnss3 (2:3.17-0ubuntu0.14.04.1) to 2:3.17.1-0ubuntu0.14.04.1
libnss3-1d (2:3.17-0ubuntu0.14.04.1) to 2:3.17.1-0ubuntu0.14.04.1
libnss3-nssdb (2:3.17-0ubuntu0.14.04.1) to 2:3.17.1-0ubuntu0.14.04.1

side · Le 25/09/2014, à 13:09

fcn50 a écrit :

Les màj devraient être le premier réflexe peu après le démarrage d'une machine, non ?

Bah quand le dernier démarrage remonte à plus de trois ans ...

michel_04 · Le 25/09/2014, à 13:10

Bonjour,

fcn50 a écrit :

Les màj devraient être le premier réflexe peu après le démarrage d'une machine, non ?

Tu as raison, ce devrait être un réflexe.
Tous les jours, lorsque je démarre mon portable, je lance les mises à jour de mes PC et des PC/Serveurs distants.

A+

moko138 · Le 25/09/2014, à 13:15

Xubuntu 12.04.5 mis à jour : merci Nesthib !

nesthib a écrit :

Il semble que mettre à jour ne soit pas suffisant sur toutes les plateformes 

LMDE mis à jour... en vain :

:~$ uname -a
Linux 5050 3.11-2-amd64 #1 SMP Debian 3.11.8-1 (2013-11-13) x86_64 GNU/Linux
:~$

~$ sudo apt-get dist-upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
:~$

:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
:~$

david96 · Le 25/09/2014, à 13:37

Tu as fait aussi

sudo apt-get update && sudo apt-get upgrade

?

Et pendant qu'on y est retourne nous ton sources.list

cat /etc/apt/sources.list

Sinon pour ma part je suis sous l’interpréteur de commande zsh, mais n'ayant pas désinstallé bash, ça a été mis à jour quand même.

Dernière modification par david96 (Le 25/09/2014, à 13:38)

nestapuccino · Le 25/09/2014, à 13:58

Bonjour,

J'administre des serveurs de développement et de production dans mon entreprise.
Puis-je taper la commande "apt-get upgrade" sans risque ? sachant que j'ai des versions de php, apache, bind9 et autres programmes compilés et installés manuellement par besoin, que je ne souhaite pas upgrader.
L'upgrade va t-elle mettre à jour uniquement les paquets installés automatiquement via le gestionnaire de paquet ou également les programmes compilés manuellement ?

Merci par avance

nestapuccino · Le 25/09/2014, à 13:59

D'autres parts, est-il possible de savoir quels paquets exactement sont à mettre à jour ?

david96 · Le 25/09/2014, à 14:09

Il est important d'upgrader les mises à jour de sécurité, voilà mon sources.list de mon serveur dédié (sous debian [wheezy] :
cat /etc/apt/sources.list

# deb http://ftp2.fr.debian.org/debian wheezy main

deb http://ftp2.fr.debian.org/debian wheezy main non-free contrib
deb-src http://ftp2.fr.debian.org/debian wheezy main non-free contrib

deb http://security.debian.org/ wheezy/updates main contrib non-free
deb-src http://security.debian.org/ wheezy/updates main contrib non-free

# wheezy-updates, previously known as 'volatile'
deb http://ftp2.fr.debian.org/debian wheezy-updates main contrib non-free
deb-src http://ftp2.fr.debian.org/debian wheezy-updates main contrib non-free

nestapuccino a écrit :

D'autres parts, est-il possible de savoir quels paquets exactement sont à mettre à jour ?

Pour savoir quels paquets vont être upgradés, c'est l'option « -s » je crois (en fait ça simule l'installation des paquets, sans rien changer au système)
L'option « -u » : Afficher les paquets mis à niveau ; affiche une liste de tous les paquets à mettre à niveau.

Pour en savoir plus :

man apt-get

Dernière modification par david96 (Le 25/09/2014, à 14:16)

Arnold59 · Le 25/09/2014, à 14:30

Bonjour à tous,

Merci nesthib pour ta réactivité et le post pour les linuxiens et plus précisement les Ubuntutiens ;-)

J'ai testé la commande :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Cela a donné :

vulnerable
this is a test

Ta source vient de journal du Net : http://www.journaldunet.com/solutions/s … 0914.shtml

Ubuntu a mis à disposition un patch : http://www.ubuntu.com/usn/usn-2362-1

Pour Linux Ubuntu 14.04 : https://launchpad.net/ubuntu/+source/ba … 7ubuntu1.1

bash_4.3.orig.tar.gz 	
bash_4.3-7ubuntu1.1.debian.tar.gz 	
bash_4.3-7ubuntu1.1.dsc

Malheureusement il n'y a pas de paquet .deb car je ne peux pas compiler ?

1) Coté configuration :
Je mets régulièrement à jour Linux Ubuntu 14.04 "trusty" mais depuis quelques temps il m'est impossible de complier :

Version de Bash installé sous Linux Ubuntu 14.04 "Trusty"
Commande : bash --version

bash --version
GNU bash, version 4.3.22(1)-release (i686-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
Licence GPLv3+ : GNU GPL version 3 ou ultérieure <http://gnu.org/licenses/gpl.html>

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Répertoire /etc/apt# ls

apt.conf.d     sources.list.d            trusted.gpg
preferences.d  sources.list.distUpgrade  trusted.gpg~
sources.list   sources.list.save         trusted.gpg.d

Contenu du fichier : sources.list

# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.

deb http://fr.archive.ubuntu.com/ubuntu/ trusty main restricted
deb http://fr.archive.ubuntu.com/ubuntu/ trusty-proposed restricted main multiverse universe

## Major bug fix updates produced after the final release of the
## distribution.
deb http://fr.archive.ubuntu.com/ubuntu/ trusty-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb http://fr.archive.ubuntu.com/ubuntu/ trusty universe
deb http://fr.archive.ubuntu.com/ubuntu/ trusty-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu 
## team, and may not be under a free licence. Please satisfy yourself as to 
## your rights to use the software. Also, please note that software in 
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://fr.archive.ubuntu.com/ubuntu/ trusty multiverse
deb http://fr.archive.ubuntu.com/ubuntu/ trusty-updates multiverse

## Uncomment the following two lines to add software from the 'backports'
## repository.
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
deb http://fr.archive.ubuntu.com/ubuntu/ trusty-backports main restricted universe multiverse

# Dépôts de sources (uniquement utiles pour télécharger les sources avec apt-get source. Dans ce cas, enlever les #)
# deb-src http://fr.archive.ubuntu.com/ubuntu/ trusty-backports main restricted universe multiverse

## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://security.ubuntu.com/ubuntu trusty-security universe
deb-src http://security.ubuntu.com/ubuntu trusty-security universe
deb http://security.ubuntu.com/ubuntu trusty-security multiverse
deb-src http://security.ubuntu.com/ubuntu trusty-security multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
deb http://archive.canonical.com/ubuntu trusty partner

#Third party developers repository
deb http://extras.ubuntu.com/ubuntu trusty main

 #Opera Browser (Final release)
deb http://deb.opera.com/opera stable non-free #Opera Browser (Final release)

#Google chrome Browser (Final release)
deb http://dl.google.com/linux/chrome/deb/ stable main

# Google earth 
deb http://dl.google.com/linux/earth/deb stable main

2) Noyau : "Kernel"

uname -a
Linux user-laptop 3.13.0-36-generic #63-Ubuntu SMP Wed Sep 3 21:30:45 UTC 2014 i686 i686 i686 GNU/Linux

2) Installation par compilation : erreur à chaque ./configure ??

./configure 
make 
make install

--> j'ai posté des messages à ce sujet mais ce n'est pas résolu ?

3) Mise à jour :
Commandes : sudo apt-get update ; sudo apt-get upgrade

sudo apt-get update 
....

sudo apt-get upgrade

Aucune mise à jour :

 sudo apt-get upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
1 partiellement installés ou enlevés.
Après cette opération, 0 o d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer ? [O/n] o
Paramétrage de dolibarr (3.6.0-3) ...
Run the dolibarr config script
Ask for web server to setup
Run the dolibarr postinst script
/var/lib/dpkg/info/dolibarr.postinst: 147: /var/lib/dpkg/info/dolibarr.postinst: Syntax error: "fi" unexpected
dpkg: error processing package dolibarr (--configure):
 le sous-processus script post-installation installé a retourné une erreur de sortie d'état 2
Des erreurs ont été rencontrées pendant l'exécution :
 dolibarr
E: Sub-process /usr/bin/dpkg returned an error code (1)

Problème avec Dolibarr ??

Comment corriger ces bugs avec bash, Dolibarr, (Configure - Make)

D'avance merci.

Dernière modification par Arnold59 (Le 25/09/2014, à 14:57)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 25/09/2014, à 09:52

Faille de sécurité dans bash (mis à jour 12/10/2014)

#2 Le 25/09/2014, à 10:05

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#3 Le 25/09/2014, à 10:08

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#4 Le 25/09/2014, à 10:08

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#5 Le 25/09/2014, à 10:11

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#6 Le 25/09/2014, à 10:14

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#7 Le 25/09/2014, à 10:20

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#8 Le 25/09/2014, à 10:30

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#9 Le 25/09/2014, à 10:37

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#10 Le 25/09/2014, à 10:39

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#11 Le 25/09/2014, à 10:43

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#12 Le 25/09/2014, à 10:44

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#13 Le 25/09/2014, à 11:02

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#14 Le 25/09/2014, à 11:22

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#15 Le 25/09/2014, à 11:39

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#16 Le 25/09/2014, à 11:54

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#17 Le 25/09/2014, à 13:03

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#18 Le 25/09/2014, à 13:09

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#19 Le 25/09/2014, à 13:10

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#20 Le 25/09/2014, à 13:15

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#21 Le 25/09/2014, à 13:37

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#22 Le 25/09/2014, à 13:58

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#23 Le 25/09/2014, à 13:59

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#24 Le 25/09/2014, à 14:09

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#25 Le 25/09/2014, à 14:30

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pied de page des forums