Faille de sécurité dans bash (mis à jour 12/10/2014)

nesthib · Le 14/10/2014, à 11:44

@CM93 : dernier avertissement, finis le HS. Surtout pour dire des bêtises… si tu as des remarques tu peux les faire par mail → moderateurs [chez] ubuntu-fr [point] org

Comme l'a rappelé ljere, ce fil a pour objectif d'informer sur la faille de bash et de permettre, à ceux qui ont des questions se rapportant à cette problématique, d'avoir des informations complémentaires. Tout ce qui n'a pas de lien direct, n'a rien à faire dans cette discussion.

Compte supprimé · Le 16/10/2014, à 01:17

Bon, toujours autour de la faille de Bash, je n'ai pas eu le temps de poster hier le soucis du Bash temporaire … devenu inutilisable le temps que tout soit réparé du coté de Bash … qui me sert de temps en temps, comme pour trier des fichiers …
Ubuntu-Studio 12.04 64 bits.

root@ludovic-G41MT-S2PT:~# for i in `ls /media/NAS212j/Disque-Christopher/*/*.txt`; do cp $i /media/NAS212j/txt/  -l -v; done
bash: /bin/ls: Liste d'arguments trop longue

je pense que bash est cassé

root@ludovic-G41MT-S2PT:/home/ludovic# for i in `ls /media/NAS212j/Disque-Christopher/*/*.txt`; do echo $i ; done
bash: /bin/ls: Liste d'arguments trop longue

Avant je pouvais …

root@ludovic-G41MT-S2PT:/home/ludovic# mv /media/NAS212j/Disque-Christopher/*/*.txt /media/NAS212j/txt/  
bash: /bin/mv: Liste d'arguments trop longue

Je dois faire trier par Bash les fichiers du disque dur Ubuntu que j'ai donné à un voisin qui l'a reformaté en W8. J'ai passé Photorec dans l'espoir de retrouver le fichier source récent de mon travail sur Arduino. Ayant merdé dans mes sauvegardes, mes formatages d'ordinateurs sans sauvegarde totale, et le dossier caché d'Arduino …

Ce n'est pas vital dans mon cas, cela ne représente qu'une centaine d'heures de programmation et de mises au points optimisées pour l'ATMega 328p. Mais si je peux retrouver les sources récentes, ce sera plus facile que de trouver un dé-compilateur (comme un désassembleur mais en langage C Arduino) puisqu'il ne me reste que mon exécutable qui fait quand même 7 à 11 kilo-octets. C'est gros à cause des librairies LCD et musicale, sinon 26 sous-routines, deux interruptions.

Dernière modification par Compte supprimé (Le 16/10/2014, à 12:07)

Compte supprimé · Le 16/10/2014, à 12:24

Suite au message précédent, je voulais donner la version de bash utilisée, alors j'ai tapé : bash -v, et je me demande si Ubuntu utilise bash ou sh ?

Le man dit :

man bash a écrit :

…
--verbose
Équivalent à -v.
…
…
…
ANOMALIES
Cet interpréteur de commandes est trop gros et trop lent.
Il y a quelques différences subtiles de comportement entre bash et les versions traditionnelles de sh, principalement à cause des spécifications POSIX.
L'utilisation des alias peut avoir des conséquences inattendues.
Les commandes internes et les fonctions de l'interpréteur ne peuvent pas être suspendues/relancées.
Les commandes composées et les suites de commandes de la forme « a ; b ; c » ne sont pas gérées élégamment lors d'une interruption de processus. En cas de suspension d'un processus, l'interpréteur exécute immédiatement la
commande suivante. Il suffit de placer cette suite de commandes entre parenthèses pour la forcer à créer un sous-interpréteur, qui, lui, pourra être suspendu en bloc.
Les variables de type tableau ne peuvent pas (encore) être exportées.
Il ne peut exister qu'un seul coprocessus actif à la fois.
…

Alors que d'autres ont une sortie de bash comme :

serge@slibovix:~$ bash --version
GNU bash, version 4.3.11(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
Licence GPLv3+ : GNU GPL version 3 ou ultérieure <http://gnu.org/licenses/gpl.html>

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

J'obtiens une curiosité :

ludovic@ludovic-G41MT-S2PT:~$ bash -v
bash -v
# System-wide .bashrc file for interactive bash(1) shells.

# To enable the settings / commands in this file for login shells as well,
# this file has to be sourced in /etc/profile.

# If not running interactively, don't do anything
[ -z "$PS1" ] && return

# check the window size after each command and, if necessary,
# update the values of LINES and COLUMNS.
shopt -s checkwinsize

# set variable identifying the chroot you work in (used in the prompt below)
if [ -z "$debian_chroot" ] && [ -r /etc/debian_chroot ]; then
    debian_chroot=$(cat /etc/debian_chroot)
fi

# set a fancy prompt (non-color, overwrite the one in /etc/profile)
PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '

# Commented out, don't overwrite xterm -T "title" -n "icontitle" by default.
# If this is an xterm set the title to user@host:dir
#case "$TERM" in
#xterm*|rxvt*)
#    PROMPT_COMMAND='echo -ne "\033]0;${USER}@${HOSTNAME}: ${PWD}\007"'
#    ;;
#*)
#    ;;
#esac

# enable bash completion in interactive shells
#if [ -f /etc/bash_completion ] && ! shopt -oq posix; then
#    . /etc/bash_completion
#fi

# sudo hint
if [ ! -e "$HOME/.sudo_as_admin_successful" ] && [ ! -e "$HOME/.hushlogin" ] ; then
    case " $(groups) " in *\ admin\ *)
    if [ -x /usr/bin/sudo ]; then
	cat <<-EOF
	To run a command as administrator (user "root"), use "sudo <command>".
	See "man sudo_root" for details.
	
	EOF
    fi
    esac
fi
groups) "
groups) 
groups

# if the command-not-found package is installed, use it
if [ -x /usr/lib/command-not-found -o -x /usr/share/command-not-found/command-not-found ]; then
	function command_not_found_handle {
	        # check because c-n-f could've been removed in the meantime
                if [ -x /usr/lib/command-not-found ]; then
		   /usr/bin/python /usr/lib/command-not-found -- "$1"
                   return $?
                elif [ -x /usr/share/command-not-found/command-not-found ]; then
		   /usr/bin/python /usr/share/command-not-found/command-not-found -- "$1"
                   return $?
		else
		   printf "%s: command not found\n" "$1" >&2
		   return 127
		fi
	}
fi
alias ls="ls --color"
export USE_CCACHE=1
#export CCACHE_DIR=</media/NAS212j/Datas/ludovic/programmation/android-sdk-linux/cache-directory>

ludovic@ludovic-G41MT-S2PT:~$

Sinon en ne mettant pas le -v, écrivant en toute lettre --verbose :

ludovic@ludovic-G41MT-S2PT:~$ bash --version
bash --version
GNU bash, version 4.2.25(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2011 Free Software Foundation, Inc.
Licence GPLv3+ : GNU GPL version 3 ou ultérieure <http://gnu.org/licenses/gpl.html>

Ceci est un logiciel libre ; vous être libre de le modifier et de le redistribuer.
Aucune garantie n'est fournie, dans la mesure de ce que la loi autorise.

4.3.11 et ma machine à jour en 4.2.25 … ???

Vos conseils s'il-vous-plaît ?
Merci,
Ludovic

édit : 4.3.11 avec (LinuxMint Qiana 64 bits) mais sur Ubuntu-studio c'est 4.2.25(1) apparemment …

Dernière modification par Compte supprimé (Le 16/10/2014, à 12:50)

pingouinux · Le 16/10/2014, à 13:14

Bonjour,

L_d_v_c@ #428 a écrit :

root@ludovic-G41MT-S2PT:~#

for i in `ls /media/NAS212j/Disque-Christopher/*/*.txt`; do cp $i /media/NAS212j/txt/  -l -v; done
bash: /bin/ls: Liste d'arguments trop longue

Essaye ceci :

while read i; do cp "$i" /media/NAS212j/txt/  -l -v; done < <(ls /media/NAS212j/Disque-Christopher/*/*.txt)

Ajouté : Ou peut-être tout simplement

for i in /media/NAS212j/Disque-Christopher/*/*.txt; do cp "$i" /media/NAS212j/txt/  -l -v; done

Dernière modification par pingouinux (Le 16/10/2014, à 15:28)

Compte supprimé · Le 16/10/2014, à 13:57

pingouinux a écrit :

Bonjour,

L_d_v_c@ #28 a écrit :

root@ludovic-G41MT-S2PT:~#

for i in `ls /media/NAS212j/Disque-Christopher/*/*.txt`; do cp $i /media/NAS212j/txt/  -l -v; done
bash: /bin/ls: Liste d'arguments trop longue

Essaye ceci :

while read i; do cp "$i" /media/NAS212j/txt/  -l -v; done < <(ls /media/NAS212j/Disque-Christopher/*/*.txt)

root@ludovic-G41MT-S2PT:/home/ludovic# while read i; do cp "$i" /media/NAS212j/txt/  -l -v; done < <(ls /media/NAS212j/Disque-Christopher/*/*.txt)
bash: /bin/ls: Liste d'arguments trop longue

Ajouté : Ou peut-être tout simplement

for i in /media/NAS212j/Disque-Christopher/*/*.txt; do cp "$i" /media/NAS212j/txt/  -l -v; done

Parfait monsieur pingouinux, problème contourné !
Merci pingouinux !

Dernière modification par Compte supprimé (Le 16/10/2014, à 14:02)

pingouinux · Le 16/10/2014, à 14:59

D'ailleurs, indépendamment du problème de la liste d'arguments trop longue, ta méthode n'aurait pas marché avec des noms de fichiers contenant des espaces.

Compte supprimé · Le 16/10/2014, à 15:21

pingouinux a écrit :

D'ailleurs, indépendamment du problème de la liste d'arguments trop longue, ta méthode n'aurait pas marché avec des noms de fichiers contenant des espaces.

Merci, c'est bon à savoir, même si je me suis toujours servi de la forme :

mv /media/NAS212j/Disque-Christopher/*/*.txt /media/NAS212j/txt/

J'avais recherché du coté de for, et find, et tar (compresser une archive uniquement des fichiers textes) uniquement à cause du refus de Bash, sinon les résultats de photorec sont de la forme suivante et sembles sans espace.

f133224024.txt  f136907440.txt  f144996200.txt  f156135568.txt  f166982352.txt  f221111552.txt  f313976384.txt  f36040264.txt   f47905040.txt  f59745280.txt  f70289056.txt  f7585376.txt   f9969256.txt
f133251248.txt  f136907488.txt  f144996456.txt  f156135576.txt  f166982392.txt  f221111584.txt  f313976392.txt  f36040272.txt   f47905064.txt  f59745288.txt  f70289064.txt  f7585392.txt   f9969992.txt
f133251712.txt  f136907520.txt  f144996464.txt  f156135584.txt  f166982432.txt  f221111616.txt  f313976400.txt  f36040280.txt   f47905080.txt  f59745480.txt  f70289296.txt  f7585472.txt   f9970264.txt
f133251720.txt  f136907544.txt  f144996472.txt  f156135632.txt  f166982440.txt  f221111648.txt  f313976408.txt  f36040304.txt   f47905120.txt  f59745496.txt  f70289432.txt  f7585568.txt   f99712656.txt
f133251728.txt  f136907648.txt  f144996648.txt  f156135640.txt  f166982448.txt  f221111680.txt  f313976416.txt  f36040312.txt   f47905128.txt  f59745520.txt  f70289568.txt  f7585816.txt   f9974528.txt
f133252064.txt  f136907672.txt  f144996656.txt  f156135656.txt  f166982464.txt  f221111720.txt  f313976424.txt  f36042016.txt   f47908168.txt  f59745528.txt  f70289872.txt  f7585832.txt   f9978464.txt

Mieux vaut utiliser ta commande non triviale for i in /media/NAS212j/Disque-Christopher/*/*.txt; do cp "$i" /media/NAS212j/txt/ -l -v; done mais qui fonctionne dans tous les cas de figures, c'est sûr

Maintenant, je sais que mon fichier a été écrasé lors de l'installation de Windows 8 puisqu'il n'y a pas de résultat à ma recherche par mot clé dans les fichiers analysés :

grep -irH 'previousMillis' .

Cette dernière partie ne concerne plus la faille Bash. Dernière chance, je lance un grep -irH 'previousMillis' . sur toutes les extensions, sans y croire.
Les sources .ino sont du texte, et doivent apparaître comme .txt dans les répertoires récupérés de photorec …

Dernière modification par Compte supprimé (Le 16/10/2014, à 15:22)

pingouinux · Le 16/10/2014, à 15:40

L_d_v_c@ #433 a écrit :

mv /media/NAS212j/Disque-Christopher/*/*.txt /media/NAS212j/txt/

Ça, c'est correct, si la liste n'est pas trop longue.

grep -irH 'previousMillis' .

C'est bien les fichiers contenant "previousMillis" que tu cherches (et pas ceux dont le nom contient "previousMillis").

Compte supprimé · Le 16/10/2014, à 16:49

pingouinux a écrit :

L_d_v_c@ #433 a écrit :
mv /media/NAS212j/Disque-Christopher/*/*.txt /media/NAS212j/txt/ 
Ça, c'est correct, si la liste n'est pas trop longue.

D'accord, juste une coïncidence (?) que ça ne fonctionne plus puisque j'ai déjà utilisé cette commande pour les images, les documents, au cas par cas en substituant l'extension sur d'autres disques. Je n'avais jamais observé cette limitation du terminal (ou bash* ?)

grep -irH 'previousMillis' .
C'est bien les fichiers contenant "previousMillis" que tu cherches (et pas ceux dont le nom contient "previousMillis").

Exactement, je scanne l'intérieur de tous les fichiers textes à la recherche d'un nom de variable (previousMillis) de mon code source Arduino, et je fais scanner à l'ordinateur les sources.ino reconnus comme .txt par photorec. Mais ce n'est plus la faille Bash … Merci pour tes renseignements pingouinux

*Je m'y perds entre dash, bash, rbash, csh, zsh, ksh93, tclsh, wish …
Bonne journée à tous !

Dernière modification par Compte supprimé (Le 16/10/2014, à 17:19)

serviteur · Le 18/10/2014, à 13:57

Salut a tous,

J'ai installé recément cubuntu 14.04 v174 (http://www.cubuntu.fr/)

j'ai lancé la commande:

serviteur@rapture-HP:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

this is a test
serviteur@rapture-HP:~$

J'aimerai savoir si c'est OK pour mon PC?

Compte supprimé · Le 18/10/2014, à 14:12

serviteur a écrit :

Salut a tous,
J'ai installé recément cubuntu 14.04 v174 (http://www.cubuntu.fr/)
j'ai lancé la commande:
serviteur@rapture-HP:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
serviteur@rapture-HP:~$
J'aimerai savoir si c'est OK pour mon PC?

Réponse → ici ←

serviteur · Le 18/10/2014, à 14:32

Merci, mon PC est non affectée !

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#426 Le 14/10/2014, à 11:44

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#427 Le 16/10/2014, à 01:17

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#428 Le 16/10/2014, à 12:24

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#429 Le 16/10/2014, à 13:14

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#430 Le 16/10/2014, à 13:57

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#431 Le 16/10/2014, à 14:59

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#432 Le 16/10/2014, à 15:21

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#433 Le 16/10/2014, à 15:40

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#434 Le 16/10/2014, à 16:49

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#435 Le 18/10/2014, à 13:57

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#436 Le 18/10/2014, à 14:12

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#437 Le 18/10/2014, à 14:32

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pied de page des forums