#76 Le 26/09/2014, à 09:54
- PPdM
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
@PPdM : j'allais t'envoyer un mail, j'ai édité ton message. L'option « -y » ne laisse pas de chance à l'utilisateur de valider la mise à jour ou de l'annuler s'il se rend compte qu'il ne veut pas l'effectuer. Par exemple si la mise à jour force la prise en compte d'autres paquets que l'on voudrait garder en l'état.
Exact mais comme en général seul les gens très expérimentés lisent tout ce qui est écrit et
que depuis des année que je l'utilise plusieurs fois par jours sur des tas de PCs sans jamais aucun soucis,
cite moi le cas d'une personne qui sélectionne ses mises a jours, celles qui le font ne sont pas celles qui appellent a l'aide, car celles là savent ce qu'elles font et peuvent choisir, pour les mises a jour courantes, cette commande est absolument sans danger, sinon je ne la donnerai pas ou alors j'en veux bien la démonstration.
Par contre, quand il y a un souci je ne la donne pas et je demande le retour pour contrôler ce qui va être mis a jour ou je donne «-s» pour vérification.
La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera
Hors ligne
#77 Le 26/09/2014, à 10:21
- nestapuccino
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Bonjour,
Pour ceux qui cherchent comme moi à mettre à jour seulement le paquet concerné par la faille et non pas faire une mise à jour globale et brutale de tout le système par la commande "apt-get upgrade", il faut mettre à jour le paquet "bash" de cette façon :
- env x='() { :;}; echo vulnerable' bash -c "echo this is a test" (tester la commande de vulnérabilité)
- sudo apt-cache policy bash (voir la version actuelle du paquet bash)
- sudo apt-get update
- sudo apt-get install bash -V (mettre à jour le paquet bash)
- env x='() { :;}; echo vulnerable' bash -c "echo this is a test" (tester à nouveau la commande de vulnérabilité)
Dernière modification par nestapuccino (Le 26/09/2014, à 10:22)
Hors ligne
#78 Le 26/09/2014, à 10:24
- PPdM
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Et les autres correctifs de sécurité tu t'en fout ?
Pourtant ce jours-ci il y en a un paquets de distribués, si j'en crois les listes.
edit modo : inutile de citer l'intégralité des messages précédents.
Dernière modification par nesthib (Le 26/09/2014, à 10:35)
La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera
Hors ligne
#79 Le 26/09/2014, à 10:33
- nestapuccino
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
J'ai expliqué mon problème un peu plus haut. J'administre le serveur de production de ma boîte et j'ai du compiler et installer manuellement certains programmes pour des besoins précis, notamment bind9, apache, et php.
Je ne peux pas mettre à jour certains paquets mais je voudrais malgré tout mettre à jour mon système et le rendre plus sécurisé, evidemment.
Pourrais-tu me dire si je prends un risque de mettre à jour les paquets installés manuellement par un "apt-get upgrade" ?
Merci par avance
edit modo : inutile de citer l'intégralité des messages précédents.
Dernière modification par nesthib (Le 26/09/2014, à 10:35)
Hors ligne
#80 Le 26/09/2014, à 10:34
- nesthib
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
On ne va pas avoir ce débat plus longtemps.
Il est conseillé de mettre à jour tous les paquets. Cependant, pour ceux ne désirant mettre à jour que bash pour le moment :
sudo apt-get update ; sudo apt-get upgrade --only-upgrade bash
Merci de ne plus faire de HS à ce sujet désormais.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#81 Le 26/09/2014, à 10:39
- jplemoine
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Ne pas confondre mise à jour et mise à niveau.....
Il faut absolument faire les mises à jours (correction de la version en cours)
la mise à niveau (changement de version) peut ne pas être faite si l'on tourne sur une version supportée.
Donc, la solution de ne mettre à jour que bash n'est pas une solution viable dans le temps.
(on peut ne faire que cette maj en cas de doute... quoique...)
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#82 Le 26/09/2014, à 10:46
- nestapuccino
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Si je comprends bien, je ne prends donc pas de risque à effectuer le "apt-get upgrade" de manière générale sur mon serveur de prod? Désolé, j'essaie de bien comprendre, étant novice.
edit modo : inutile de citer l'intégralité des messages précédents.
Dernière modification par nesthib (Le 26/09/2014, à 11:14)
Hors ligne
#83 Le 26/09/2014, à 10:47
- PPdM
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Pas a ma connaissance
La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera
Hors ligne
#84 Le 26/09/2014, à 10:48
- bruno
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
…/… cette commande est absolument sans danger, sinon je ne la donnerai pas ou alors j'en veux bien la démonstration.
Tu n'a pas lu ou compris mon précédent message. Regarde ceci par exemple et imagine ce qui serait arrivé à cette personne si elle avait utiliser le -y
L'exemple que je donne est sur une mise à niveau Debian mais cela peut parfaitement arriver sur une mise à jour courante Ubuntu. Tu ne sais pas ce que les gens ont installé sur leur machine ; dépôts exotiques, paquets fait maison, blocage d'une version d'un paquet, etc., et les conflits que cela peut engendrer lors d'une mise à jour complète.
#85 Le 26/09/2014, à 10:55
- jplemoine
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Si je comprends bien, je ne prends donc pas de risque à effectuer le "apt-get upgrade" de manière générale sur mon serveur de prod?
J'aurais tendance à dire que c'est l'inverse : "Tu prends de gros risque à ne pas les faire"..
Pour tes programmes compilés par tes soins : j'aurais tendance à dire (mais à faire confirmer ou infirmer par d'autres 'sachant") qu'il faut les mettre dans arborescence /opt
--> le système ne les touchera pas.
Toutefois s'il n'ont pas été installé via un paquet, il ne seront pas touché mais pourrait être écrasé par une installation d'un paquet qui aurait une dépendance.
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#86 Le 26/09/2014, à 11:11
- bruno
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Pour tes programmes compilés par tes soins : j'aurais tendance à dire (mais à faire confirmer ou infirmer par d'autres 'sachant") qu'il faut les mettre dans arborescence /opt
--> le système ne les touchera pas.
C'est une solution, d'autres préféreront les mettre dans /usr/local (qui est déjà dans le PATH).
#87 Le 26/09/2014, à 11:16
- nesthib
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
La discussion sur la mise à niveau, mise à jour et la personnalisation des version est HS, vous pouvez la continuer dans un nouveau fil.
NB. inutile de citer l'intégralité des messages précédents quand vous y répondez.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#88 Le 26/09/2014, à 11:22
- maxire
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
@nestacappucino, tu poses une question à laquelle tu es le seul à pouvoir répondre.
C'est toi ou quelqu'un de ton entreprise qui a personnalisé votre serveur, le mieux en cas de doute est de créer un serveur de test disons de type préproduction configuré à l'identique du serveur de production et de regarder ce qui se passe en cas de mise à jour de Ubuntu.
Logiquement les programmes locaux devraient être en /usr/local ou en /opt, idéalement si tu as totalement reconstruit par exemple Apache, tu pourrais supprimer le paquet d'installation de Apache ce qui résoudrait le problème.
Opérations à bien évidemment tester sur une machine de préproduction.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#89 Le 26/09/2014, à 11:27
- ar barzh paour
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
alors bon ou pas ? j'ai relancé ce midi 26-09-2014
sudo apt-get update ; sudo apt-get upgrade
la mise à jour se lance correctement
mais
bash --version
GNU bash, version 4.3.11(1)-release (i686-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
Licence GPLv3+ : GNU GPL version 3 ou ultérieure <http://gnu.org/licenses/gpl.html>
This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
version 4.3.11(1)
PC : B760M DS3H DDR4, 12th Gen Intel(R) Core(TM) i3-12100, RAM DDR4 8GiB -2400 Ubuntu 20.04, 22.04, 24.04 (en test )
Portable1 : ThinkPad P50 I7-6820HQ, 16G0 Ram Ubuntu 22.04 Ubuntu 24.04 , W10-PRO( en voyage )
Portable2 : T5750 @ 2.00GHz RAM 1GiB DDR2 667 Mhz Ubuntu 20.04 ( batterie HS )
stourm a ran war bep tachenn (Angela Duval) ( Je combats sur tous les fronts )
Hors ligne
#90 Le 26/09/2014, à 11:41
- nesthib
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Que donne le retour de :
apt-cache policy bash
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#91 Le 26/09/2014, à 13:19
- Applejuice
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Moi, j'ai trouvé le correctif via le "Gestionnaire de Mises à Jour" et j'ai fait le test: tout va bien.
Dernière modification par Applejuice (Le 26/09/2014, à 13:19)
Hors ligne
#92 Le 26/09/2014, à 13:30
- andykimpe
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Bonjour,
Je suppose que tu veux dire "infectée" et non pas "affectée"?
Autre question: si on est en 13.x il n'y a pas moyen d'appliquer un patch? Merci pour ta réponse.J'ai tapé les commandes :
sudo apt-get update ; sudo apt-get upgrade
Et la commande env etc... m'affiche toujours "vulnerable"
essaie peut être ceci je te promet rien
ARCH=`dpkg --print-architecture`
wget http://fr.archive.ubuntu.com/ubuntu/pool/main/b/bash/bash_4.3-9ubuntu1_$ARCH.deb
sudo dpkg -i bash_4.3-9ubuntu1_$ARCH.deb
Hors ligne
#93 Le 26/09/2014, à 13:40
- ar barzh paour
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
@nesthib post #91
désolé pour le retour tardif
xxx@xxx-desktop:~$ apt-cache policy bash
bash:
Installé : 4.3-7ubuntu1.3
Candidat : 4.3-7ubuntu1.3
Table de version :
*** 4.3-7ubuntu1.3 0
500 http://fr.archive.ubuntu.com/ubuntu/ trusty-updates/main i386 Packages
500 http://security.ubuntu.com/ubuntu/ trusty-security/main i386 Packages
100 /var/lib/dpkg/status
4.3-6ubuntu1 0
500 http://fr.archive.ubuntu.com/ubuntu/ trusty/main i386 Packages
4.3-7ubuntu1.3
c'est bon , c'est pas la bonne commande que j'avais passée
merci
PC : B760M DS3H DDR4, 12th Gen Intel(R) Core(TM) i3-12100, RAM DDR4 8GiB -2400 Ubuntu 20.04, 22.04, 24.04 (en test )
Portable1 : ThinkPad P50 I7-6820HQ, 16G0 Ram Ubuntu 22.04 Ubuntu 24.04 , W10-PRO( en voyage )
Portable2 : T5750 @ 2.00GHz RAM 1GiB DDR2 667 Mhz Ubuntu 20.04 ( batterie HS )
stourm a ran war bep tachenn (Angela Duval) ( Je combats sur tous les fronts )
Hors ligne
#94 Le 26/09/2014, à 14:02
- nesthib
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Je confirme que tu as la version à jour.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#95 Le 26/09/2014, à 14:34
- moko138
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Tu as fait aussi
sudo apt-get update && sudo apt-get upgrade
?
Et pendant qu'on y est retourne nous ton sources.list
Ces commandes, je les ai passées séparément, et repassées à l'instant.
Oui, il y a au moins un problème avec les 3 ppa - sources.list.d.
:~$ cat /etc/apt/sources.list
deb http://packages.linuxmint.com/ debian main upstream import backport
deb http://debian.linuxmint.com/latest testing main contrib non-free
deb http://debian.linuxmint.com/latest/security testing/updates main contrib non-free
deb http://debian.linuxmint.com/latest/multimedia testing main non-free
:~$
:~$ ls -la /etc/apt/sources.list.d
total 40
drwxr-xr-x 2 root root 4096 mars 30 21:46 .
drwxr-xr-x 6 root root 4096 mars 30 21:26 ..
-rw-r--r-- 1 root root 112 sept. 25 13:41 libdvdcss.list
-rw-r--r-- 1 root root 112 sept. 25 13:41 libdvdcss.list.save
-rw-r--r-- 1 root root 64 sept. 25 13:41 nowrep-qupzilla-debian.list
-rw-r--r-- 1 root root 64 sept. 25 13:41 nowrep-qupzilla-debian.list.save
-rw-r--r-- 1 root root 60 sept. 25 13:41 relan-exfat-debian.list
-rw-r--r-- 1 root root 60 sept. 25 13:41 relan-exfat-debian.list.save
-rw-r--r-- 1 root root 71 sept. 25 13:41 yannubuntu-boot-repair-debian.list
-rw-r--r-- 1 root root 71 sept. 25 13:41 yannubuntu-boot-repair-debian.list.save
:~$
:~$ sudo apt-get update
[sudo] password for :
Ign http://ppa.launchpad.net debian InRelease
Ign http://download.videolan.org InRelease
Ign http://ppa.launchpad.net debian InRelease
Atteint http://download.videolan.org Release.gpg
Ign http://ppa.launchpad.net debian InRelease
Atteint http://download.videolan.org Release
Ign http://ppa.launchpad.net debian Release.gpg
Ign http://packages.linuxmint.com debian InRelease
Atteint http://download.videolan.org Sources
Ign http://ppa.launchpad.net debian Release.gpg
Atteint http://debian.linuxmint.com testing InRelease
Atteint http://download.videolan.org Packages
Ign http://ppa.launchpad.net debian Release.gpg
Ign http://ppa.launchpad.net debian Release
Atteint http://debian.linuxmint.com testing/updates InRelease
Ign http://ppa.launchpad.net debian Release
Ign http://ppa.launchpad.net debian Release
Atteint http://debian.linuxmint.com testing InRelease
Réception de : 1 http://packages.linuxmint.com debian Release.gpg [198 B]
Atteint http://debian.linuxmint.com testing/main amd64 Packages/DiffIndex
Réception de : 2 http://packages.linuxmint.com debian Release [16,8 kB]
Atteint http://debian.linuxmint.com testing/contrib amd64 Packages/DiffIndex
Atteint http://debian.linuxmint.com testing/non-free amd64 Packages/DiffIndex
Ign http://download.videolan.org Translation-fr_FR
Ign http://download.videolan.org Translation-fr
Atteint http://debian.linuxmint.com testing/contrib Translation-en/DiffIndex
Ign http://download.videolan.org Translation-en
Réception de : 3 http://packages.linuxmint.com debian/main amd64 Packages [26,1 kB]
Réception de : 4 http://packages.linuxmint.com debian/upstream amd64 Packages [18,1 kB]
Atteint http://debian.linuxmint.com testing/main Translation-fr/DiffIndex
Atteint http://debian.linuxmint.com testing/main Translation-en/DiffIndex
Réception de : 5 http://packages.linuxmint.com debian/import amd64 Packages [53,6 kB]
Atteint http://debian.linuxmint.com testing/non-free Translation-en/DiffIndex
Atteint http://debian.linuxmint.com testing/updates/main amd64 Packages
Atteint http://debian.linuxmint.com testing/updates/contrib amd64 Packages
Réception de : 6 http://packages.linuxmint.com debian/backport amd64 Packages [20 B]
Atteint http://debian.linuxmint.com testing/updates/non-free amd64 Packages
Atteint http://debian.linuxmint.com testing/updates/contrib Translation-en
Atteint http://debian.linuxmint.com testing/updates/main Translation-en
Atteint http://debian.linuxmint.com testing/updates/non-free Translation-en
Atteint http://debian.linuxmint.com testing/main amd64 Packages
Atteint http://debian.linuxmint.com testing/non-free amd64 Packages
Err http://ppa.launchpad.net debian/main amd64 Packages
404 Not Found
Ign http://ppa.launchpad.net debian/main Translation-fr_FR
Ign http://ppa.launchpad.net debian/main Translation-fr
Ign http://ppa.launchpad.net debian/main Translation-en
Err http://ppa.launchpad.net debian/main amd64 Packages
404 Not Found
Ign http://ppa.launchpad.net debian/main Translation-fr_FR
Ign http://ppa.launchpad.net debian/main Translation-fr
Ign http://ppa.launchpad.net debian/main Translation-en
Err http://ppa.launchpad.net debian/main amd64 Packages
404 Not Found
Ign http://ppa.launchpad.net debian/main Translation-fr_FR
Ign http://ppa.launchpad.net debian/main Translation-fr
Ign http://ppa.launchpad.net debian/main Translation-en
Ign http://debian.linuxmint.com testing/main Translation-fr_FR
Ign http://debian.linuxmint.com testing/main Translation-fr
Ign http://debian.linuxmint.com testing/main Translation-en
Ign http://debian.linuxmint.com testing/non-free Translation-fr_FR
Ign http://debian.linuxmint.com testing/non-free Translation-fr
Ign http://debian.linuxmint.com testing/non-free Translation-en
Ign http://packages.linuxmint.com debian/backport Translation-fr_FR
Ign http://packages.linuxmint.com debian/backport Translation-fr
Ign http://packages.linuxmint.com debian/backport Translation-en
Ign http://packages.linuxmint.com debian/import Translation-fr_FR
Ign http://packages.linuxmint.com debian/import Translation-fr
Ign http://packages.linuxmint.com debian/import Translation-en
Ign http://packages.linuxmint.com debian/main Translation-fr_FR
Ign http://packages.linuxmint.com debian/main Translation-fr
Ign http://packages.linuxmint.com debian/main Translation-en
Ign http://packages.linuxmint.com debian/upstream Translation-fr_FR
Ign http://packages.linuxmint.com debian/upstream Translation-fr
Ign http://packages.linuxmint.com debian/upstream Translation-en
115 ko réceptionnés en 22s (5 119 o/s)
W: Impossible de récupérer http://ppa.launchpad.net/nowrep/qupzilla/ubuntu/dists/debian/main/binary-amd64/Packages 404 Not Found
W: Impossible de récupérer http://ppa.launchpad.net/relan/exfat/ubuntu/dists/debian/main/binary-amd64/Packages 404 Not Found
W: Impossible de récupérer http://ppa.launchpad.net/yannubuntu/boot-repair/ubuntu/dists/debian/main/binary-amd64/Packages 404 Not Found
E: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.
:~$
:~$ sudo apt-get upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
:~$
:~$ sudo apt-get dist-upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
:~$
Puis
:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
:~$
Dernière modification par moko138 (Le 26/09/2014, à 14:35)
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#96 Le 26/09/2014, à 14:56
- ssdg
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Ne serait-il pas possible que linuxmint n'ai pas encore "fait suivre" ces mises à jour? Peut être sont-ils tout simplement moins réactifs que debian et ubuntu. Avec tout les effets négatifs que celà peut avoir.
En regardant tes sorties de console, il semble que tu aie des dépots "en plus", tu devrais aller jetter un oeil dans /etc/apt/sources.list.d/ .
s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.
Hors ligne
#97 Le 26/09/2014, à 15:28
- nesthib
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
@moko138 : donne le retour de
apt-cache policy bash
Je pense aussi que les dépôts ne sont simplement pas à jour.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#98 Le 26/09/2014, à 16:03
- maxire
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
@moko138, ce que tu nous présentes semble être le résultat d'une tentative de mise à jour d'une LMDE (Linux Mint Debian).
Que je sache LMDE est construite à partir d'une copie des dépôts Debian, donc il est sans doute normal comme le pensent ssdg et nesthib qu'il existe un retard entre la mise à jour proposée par Debian et son intégration dans les dépôts de LMDE.
Wait and see dans ton cas.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#99 Le 26/09/2014, à 16:14
- PPdM
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera
Hors ligne
#100 Le 26/09/2014, à 16:34
- moko138
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
@ nesthib :
:~$ apt-cache policy bash
bash:
Installé : 4.2+dfsg-1
Candidat : 4.2+dfsg-1
Table de version :
*** 4.2+dfsg-1 0
500 http://debian.linuxmint.com/latest/ testing/main amd64 Packages
100 /var/lib/dpkg/status
:~$
@ maxire : oui, c'est une LMDE.
EDIT 1 : J'extrais de https://lists.debian.org/debian-securit … 00220.html ceci :
September 24, 2014 http://www.debian.org/security/faq
(...) Package : bash
CVE ID : CVE-2014-6271
(...) this vulnerability is exploitable over the network, especially if bash has been configured as the system shell.
For the stable distribution (wheezy), this problem has been fixed in version
4.2+dfsg-0.1+deb7u1.
We recommend that you upgrade your bash packages.
EDIT 2 : dans synaptic, je lis que j'ai une version "testing" de ce paquet.
Dois-je attendre ou bien y a-t-il quelque chose à faire ?
Dois-je éviter LMDE pour l'instant et ne me servir que de ma 12.04 qui, elle, a reçu sa mise à jour de bash ?
Dernière modification par moko138 (Le 26/09/2014, à 17:11)
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne