Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#76 Le 26/09/2014, à 09:54

PPdM

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

nesthib a écrit :

@PPdM : j'allais t'envoyer un mail, j'ai édité ton message. L'option « -y » ne laisse pas de chance à l'utilisateur de valider la mise à jour ou de l'annuler s'il se rend compte qu'il ne veut pas l'effectuer. Par exemple si la mise à jour force la prise en compte d'autres paquets que l'on voudrait garder en l'état.

Exact mais comme en général seul les gens très expérimentés lisent tout ce qui est écrit et
que depuis des année que je l'utilise plusieurs fois par jours sur des tas de PCs sans jamais aucun soucis,
cite moi le cas d'une personne qui sélectionne ses mises a jours, celles qui le font ne sont pas celles qui appellent a l'aide, car celles là savent ce qu'elles font et peuvent choisir, pour les mises a jour courantes, cette commande est absolument sans danger, sinon je ne la donnerai pas ou alors j'en veux bien la démonstration.
Par contre, quand il y a un souci je ne la donne pas et je demande le retour pour contrôler ce qui va être mis a jour ou je donne «-s» pour vérification.


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#77 Le 26/09/2014, à 10:21

nestapuccino

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour,

Pour ceux qui cherchent comme moi à mettre à jour seulement le paquet concerné par la faille et non pas faire une mise à jour globale et brutale de tout le système par la commande "apt-get upgrade", il faut mettre à jour le paquet "bash" de cette façon :

- env x='() { :;}; echo vulnerable' bash -c "echo this is a test" (tester la commande de vulnérabilité)
- sudo apt-cache policy bash (voir la version actuelle du paquet bash)
- sudo apt-get update
- sudo apt-get install bash -V (mettre à jour le paquet bash)
- env x='() { :;}; echo vulnerable' bash -c "echo this is a test" (tester à nouveau la commande de vulnérabilité)

Dernière modification par nestapuccino (Le 26/09/2014, à 10:22)

Hors ligne

#78 Le 26/09/2014, à 10:24

PPdM

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Et les autres correctifs de sécurité tu t'en fout ? yikes

Pourtant ce jours-ci il y en a un paquets de distribués, si j'en crois les listes.

edit modo : inutile de citer l'intégralité des messages précédents.

Dernière modification par nesthib (Le 26/09/2014, à 10:35)


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#79 Le 26/09/2014, à 10:33

nestapuccino

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

J'ai expliqué mon problème un peu plus haut. J'administre le serveur de production de ma boîte et j'ai du compiler et installer manuellement certains programmes pour des besoins précis, notamment bind9, apache, et php.
Je ne peux pas mettre à jour certains paquets mais je voudrais malgré tout mettre à jour mon système et le rendre plus sécurisé, evidemment.
Pourrais-tu me dire si je prends un risque de mettre à jour les paquets installés manuellement par un "apt-get upgrade" ?

Merci par avance

edit modo : inutile de citer l'intégralité des messages précédents.

Dernière modification par nesthib (Le 26/09/2014, à 10:35)

Hors ligne

#80 Le 26/09/2014, à 10:34

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

On ne va pas avoir ce débat plus longtemps.
Il est conseillé de mettre à jour tous les paquets. Cependant, pour ceux ne désirant mettre à jour que bash pour le moment :

sudo apt-get update ; sudo apt-get upgrade --only-upgrade bash

Merci de ne plus faire de HS à ce sujet désormais.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#81 Le 26/09/2014, à 10:39

jplemoine

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ne pas confondre mise à jour et mise à niveau.....
Il faut absolument faire les mises à jours (correction de la version en cours)
la mise à niveau (changement de version) peut ne pas être faite si l'on tourne sur une version supportée.
Donc, la solution de ne mettre à jour que bash n'est pas une solution viable dans le temps.
(on peut ne faire que cette maj en cas de doute... quoique...)


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#82 Le 26/09/2014, à 10:46

nestapuccino

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Si je comprends bien, je ne prends donc pas de risque à effectuer le "apt-get upgrade" de manière générale sur mon serveur de prod? Désolé, j'essaie de bien comprendre, étant novice.

edit modo : inutile de citer l'intégralité des messages précédents.

Dernière modification par nesthib (Le 26/09/2014, à 11:14)

Hors ligne

#83 Le 26/09/2014, à 10:47

PPdM

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pas a ma connaissance


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#84 Le 26/09/2014, à 10:48

bruno

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

PPdM a écrit :

…/… cette commande est absolument sans danger, sinon je ne la donnerai pas ou alors j'en veux bien la démonstration.

Tu n'a pas lu ou compris mon précédent message. Regarde ceci par exemple et imagine ce qui serait arrivé à cette personne si elle avait utiliser le -y
L'exemple que je donne est sur une mise à niveau Debian mais cela peut parfaitement arriver sur une mise à jour courante Ubuntu. Tu ne sais pas ce que les gens ont installé sur leur machine ; dépôts exotiques, paquets fait maison, blocage d'une version d'un paquet, etc., et les conflits que cela peut engendrer lors d'une mise à jour complète.

#85 Le 26/09/2014, à 10:55

jplemoine

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

nestapuccino a écrit :

Si je comprends bien, je ne prends donc pas de risque à effectuer le "apt-get upgrade" de manière générale sur mon serveur de prod?

J'aurais tendance à dire que c'est l'inverse : "Tu prends de gros risque à ne pas les faire"..
Pour tes programmes compilés par tes soins : j'aurais tendance à dire (mais à faire confirmer ou infirmer par d'autres 'sachant") qu'il faut les mettre dans arborescence /opt
--> le système ne les touchera pas.
Toutefois s'il n'ont pas été installé via un paquet, il ne seront pas touché mais pourrait être écrasé par une installation d'un paquet qui aurait une dépendance.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#86 Le 26/09/2014, à 11:11

bruno

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

jplemoine a écrit :

Pour tes programmes compilés par tes soins : j'aurais tendance à dire (mais à faire confirmer ou infirmer par d'autres 'sachant") qu'il faut les mettre dans arborescence /opt
--> le système ne les touchera pas.

C'est une solution, d'autres préféreront les mettre dans /usr/local (qui est déjà dans le PATH).

#87 Le 26/09/2014, à 11:16

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

La discussion sur la mise à niveau, mise à jour et la personnalisation des version est HS, vous pouvez la continuer dans un nouveau fil.

NB. inutile de citer l'intégralité des messages précédents quand vous y répondez.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#88 Le 26/09/2014, à 11:22

maxire

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@nestacappucino, tu poses une question à laquelle tu es le seul à pouvoir répondre.
C'est toi ou quelqu'un de ton entreprise qui a personnalisé votre serveur, le mieux en cas de doute est de créer un serveur de test disons de type préproduction configuré à l'identique du serveur de production et de regarder ce qui se passe en cas de mise à jour de Ubuntu.

Logiquement les programmes locaux devraient être en /usr/local ou en /opt, idéalement si tu as totalement reconstruit par exemple Apache, tu pourrais supprimer le paquet d'installation de Apache ce qui résoudrait le problème.

Opérations à bien évidemment tester sur une machine de préproduction.


Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

Hors ligne

#89 Le 26/09/2014, à 11:27

ar barzh paour

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

alors bon ou pas ? j'ai relancé ce midi 26-09-2014

sudo apt-get update ; sudo apt-get upgrade

la mise à jour se lance correctement
mais

bash --version
GNU bash, version 4.3.11(1)-release (i686-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
Licence GPLv3+ : GNU GPL version 3 ou ultérieure <http://gnu.org/licenses/gpl.html>

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

version 4.3.11(1)


PC          : B760M DS3H DDR4,  12th Gen Intel(R) Core(TM) i3-12100, RAM DDR4 8GiB -2400 Ubuntu 20.04, 22.04, 24.04 (en test )
Portable1 : ThinkPad P50 I7-6820HQ, 16G0 Ram W10-PRO( en voyage )
Portable2 : T5750  @ 2.00GHz RAM 1GiB DDR2 667 Mhz Ubuntu 20.04 ( batterie HS )
stourm a ran war bep tachenn (Angela Duval) ( Je combats sur tous les fronts )

Hors ligne

#90 Le 26/09/2014, à 11:41

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Que donne le retour de :

apt-cache policy bash

GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#91 Le 26/09/2014, à 13:19

Applejuice

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Moi, j'ai trouvé le correctif via le "Gestionnaire de Mises à Jour" et j'ai fait le test: tout va bien. wink

Dernière modification par Applejuice (Le 26/09/2014, à 13:19)

En ligne

#92 Le 26/09/2014, à 13:30

andykimpe

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

CM63 a écrit :

Bonjour,

Je suppose que tu veux dire "infectée" et non pas "affectée"?
Autre question: si on est en 13.x il n'y a pas moyen d'appliquer un patch? Merci pour ta réponse.

J'ai tapé les commandes :

sudo apt-get update ; sudo apt-get upgrade

Et la commande env etc... m'affiche toujours "vulnerable" roll

essaie peut être ceci je te promet rien

ARCH=`dpkg --print-architecture`

wget http://fr.archive.ubuntu.com/ubuntu/pool/main/b/bash/bash_4.3-9ubuntu1_$ARCH.deb

sudo dpkg -i bash_4.3-9ubuntu1_$ARCH.deb

Hors ligne

#93 Le 26/09/2014, à 13:40

ar barzh paour

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@nesthib post #91
désolé pour le retour tardif

xxx@xxx-desktop:~$ apt-cache policy bash
bash:
  Installé : 4.3-7ubuntu1.3
  Candidat : 4.3-7ubuntu1.3
 Table de version :
 *** 4.3-7ubuntu1.3 0
        500 http://fr.archive.ubuntu.com/ubuntu/ trusty-updates/main i386 Packages
        500 http://security.ubuntu.com/ubuntu/ trusty-security/main i386 Packages
        100 /var/lib/dpkg/status
     4.3-6ubuntu1 0
        500 http://fr.archive.ubuntu.com/ubuntu/ trusty/main i386 Packages

4.3-7ubuntu1.3
c'est bon , c'est pas la bonne commande que j'avais passée

merci


PC          : B760M DS3H DDR4,  12th Gen Intel(R) Core(TM) i3-12100, RAM DDR4 8GiB -2400 Ubuntu 20.04, 22.04, 24.04 (en test )
Portable1 : ThinkPad P50 I7-6820HQ, 16G0 Ram W10-PRO( en voyage )
Portable2 : T5750  @ 2.00GHz RAM 1GiB DDR2 667 Mhz Ubuntu 20.04 ( batterie HS )
stourm a ran war bep tachenn (Angela Duval) ( Je combats sur tous les fronts )

Hors ligne

#94 Le 26/09/2014, à 14:02

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Je confirme que tu as la version à jour.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#95 Le 26/09/2014, à 14:34

moko138

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

david96 a écrit :

Tu as fait aussi

sudo apt-get update && sudo apt-get upgrade

?
Et pendant qu'on y est retourne nous ton sources.list

Ces commandes, je les ai passées séparément, et repassées à l'instant.
Oui, il y a au moins un problème avec les 3 ppa - sources.list.d.

:~$ cat /etc/apt/sources.list
deb http://packages.linuxmint.com/ debian main upstream import backport
deb http://debian.linuxmint.com/latest testing main contrib non-free
deb http://debian.linuxmint.com/latest/security testing/updates main contrib non-free
deb http://debian.linuxmint.com/latest/multimedia testing main non-free
:~$
:~$ ls -la /etc/apt/sources.list.d
total 40
drwxr-xr-x 2 root root 4096 mars  30 21:46 .
drwxr-xr-x 6 root root 4096 mars  30 21:26 ..
-rw-r--r-- 1 root root  112 sept. 25 13:41 libdvdcss.list
-rw-r--r-- 1 root root  112 sept. 25 13:41 libdvdcss.list.save
-rw-r--r-- 1 root root   64 sept. 25 13:41 nowrep-qupzilla-debian.list
-rw-r--r-- 1 root root   64 sept. 25 13:41 nowrep-qupzilla-debian.list.save
-rw-r--r-- 1 root root   60 sept. 25 13:41 relan-exfat-debian.list
-rw-r--r-- 1 root root   60 sept. 25 13:41 relan-exfat-debian.list.save
-rw-r--r-- 1 root root   71 sept. 25 13:41 yannubuntu-boot-repair-debian.list
-rw-r--r-- 1 root root   71 sept. 25 13:41 yannubuntu-boot-repair-debian.list.save
:~$
:~$ sudo apt-get update
[sudo] password for : 
Ign http://ppa.launchpad.net debian InRelease
Ign http://download.videolan.org  InRelease                                                                                   
Ign http://ppa.launchpad.net debian InRelease                                                                                  
Atteint http://download.videolan.org  Release.gpg                                                                              
Ign http://ppa.launchpad.net debian InRelease                                                                              
Atteint http://download.videolan.org  Release                                                                              
Ign http://ppa.launchpad.net debian Release.gpg                                                                                                   
Ign http://packages.linuxmint.com debian InRelease                                                                         
Atteint http://download.videolan.org  Sources                                                            
Ign http://ppa.launchpad.net debian Release.gpg                                                          
Atteint http://debian.linuxmint.com testing InRelease                                                                                      
Atteint http://download.videolan.org  Packages                                                                                                              
Ign http://ppa.launchpad.net debian Release.gpg                                                                                            
Ign http://ppa.launchpad.net debian Release                                                                                                
Atteint http://debian.linuxmint.com testing/updates InRelease                                                                              
Ign http://ppa.launchpad.net debian Release                                                                                                                 
Ign http://ppa.launchpad.net debian Release                                                                                                                 
Atteint http://debian.linuxmint.com testing InRelease                                                                                      
Réception de : 1 http://packages.linuxmint.com debian Release.gpg [198 B]                                                                                   
Atteint http://debian.linuxmint.com testing/main amd64 Packages/DiffIndex                                                                  
Réception de : 2 http://packages.linuxmint.com debian Release [16,8 kB]                                                                    
Atteint http://debian.linuxmint.com testing/contrib amd64 Packages/DiffIndex                                                               
Atteint http://debian.linuxmint.com testing/non-free amd64 Packages/DiffIndex                                                              
Ign http://download.videolan.org  Translation-fr_FR                                                                                
Ign http://download.videolan.org  Translation-fr                                                          
Atteint http://debian.linuxmint.com testing/contrib Translation-en/DiffIndex                              
Ign http://download.videolan.org  Translation-en                                                                                            
Réception de : 3 http://packages.linuxmint.com debian/main amd64 Packages [26,1 kB]                                                         
Réception de : 4 http://packages.linuxmint.com debian/upstream amd64 Packages [18,1 kB]                                         
Atteint http://debian.linuxmint.com testing/main Translation-fr/DiffIndex                                                       
Atteint http://debian.linuxmint.com testing/main Translation-en/DiffIndex                                 
Réception de : 5 http://packages.linuxmint.com debian/import amd64 Packages [53,6 kB]
Atteint http://debian.linuxmint.com testing/non-free Translation-en/DiffIndex
Atteint http://debian.linuxmint.com testing/updates/main amd64 Packages                                 
Atteint http://debian.linuxmint.com testing/updates/contrib amd64 Packages                              
Réception de : 6 http://packages.linuxmint.com debian/backport amd64 Packages [20 B]                                                                        
Atteint http://debian.linuxmint.com testing/updates/non-free amd64 Packages                                                                                 
Atteint http://debian.linuxmint.com testing/updates/contrib Translation-en                                                                                  
Atteint http://debian.linuxmint.com testing/updates/main Translation-en                                                                                     
Atteint http://debian.linuxmint.com testing/updates/non-free Translation-en                                                                                 
Atteint http://debian.linuxmint.com testing/main amd64 Packages                                                                                             
Atteint http://debian.linuxmint.com testing/non-free amd64 Packages                                                                                         
Err http://ppa.launchpad.net debian/main amd64 Packages                                                                                                     
  404  Not Found
Ign http://ppa.launchpad.net debian/main Translation-fr_FR                                                                                                  
Ign http://ppa.launchpad.net debian/main Translation-fr                                                                                                     
Ign http://ppa.launchpad.net debian/main Translation-en                                                                                                     
Err http://ppa.launchpad.net debian/main amd64 Packages                                                                                                     
  404  Not Found
Ign http://ppa.launchpad.net debian/main Translation-fr_FR                                                                                                  
Ign http://ppa.launchpad.net debian/main Translation-fr                                                                                                     
Ign http://ppa.launchpad.net debian/main Translation-en                                                                                                     
Err http://ppa.launchpad.net debian/main amd64 Packages                                                                                                     
  404  Not Found
Ign http://ppa.launchpad.net debian/main Translation-fr_FR                                                                                                  
Ign http://ppa.launchpad.net debian/main Translation-fr                                                                                                     
Ign http://ppa.launchpad.net debian/main Translation-en                                                                                                     
Ign http://debian.linuxmint.com testing/main Translation-fr_FR                                                                                              
Ign http://debian.linuxmint.com testing/main Translation-fr                                                                                                 
Ign http://debian.linuxmint.com testing/main Translation-en                                                                                                 
Ign http://debian.linuxmint.com testing/non-free Translation-fr_FR                                                                                          
Ign http://debian.linuxmint.com testing/non-free Translation-fr                                                                                             
Ign http://debian.linuxmint.com testing/non-free Translation-en                                                                                             
Ign http://packages.linuxmint.com debian/backport Translation-fr_FR                                                                                         
Ign http://packages.linuxmint.com debian/backport Translation-fr
Ign http://packages.linuxmint.com debian/backport Translation-en
Ign http://packages.linuxmint.com debian/import Translation-fr_FR
Ign http://packages.linuxmint.com debian/import Translation-fr
Ign http://packages.linuxmint.com debian/import Translation-en
Ign http://packages.linuxmint.com debian/main Translation-fr_FR
Ign http://packages.linuxmint.com debian/main Translation-fr
Ign http://packages.linuxmint.com debian/main Translation-en
Ign http://packages.linuxmint.com debian/upstream Translation-fr_FR
Ign http://packages.linuxmint.com debian/upstream Translation-fr
Ign http://packages.linuxmint.com debian/upstream Translation-en
115 ko réceptionnés en 22s (5 119 o/s)
W: Impossible de récupérer http://ppa.launchpad.net/nowrep/qupzilla/ubuntu/dists/debian/main/binary-amd64/Packages  404  Not Found

W: Impossible de récupérer http://ppa.launchpad.net/relan/exfat/ubuntu/dists/debian/main/binary-amd64/Packages  404  Not Found

W: Impossible de récupérer http://ppa.launchpad.net/yannubuntu/boot-repair/ubuntu/dists/debian/main/binary-amd64/Packages  404  Not Found

E: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.
:~$
:~$ sudo apt-get upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
:~$
:~$ sudo apt-get dist-upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
:~$

Puis

:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
:~$ 

Dernière modification par moko138 (Le 26/09/2014, à 14:35)


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#96 Le 26/09/2014, à 14:56

ssdg

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ne serait-il pas possible que linuxmint n'ai pas encore "fait suivre" ces mises à jour? Peut être sont-ils tout simplement moins réactifs que debian et ubuntu. Avec tout les effets négatifs que celà peut avoir.

En regardant tes sorties de console, il semble que tu aie des dépots "en plus", tu devrais aller jetter un oeil dans /etc/apt/sources.list.d/ .


s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#97 Le 26/09/2014, à 15:28

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@moko138 : donne le retour de

apt-cache policy bash

Je pense aussi que les dépôts ne sont simplement pas à jour.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#98 Le 26/09/2014, à 16:03

maxire

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@moko138, ce que tu nous présentes semble être le résultat d'une tentative de mise à jour d'une LMDE (Linux Mint Debian).
Que je sache LMDE est construite à partir d'une copie des dépôts Debian, donc il est sans doute normal comme le pensent ssdg et nesthib qu'il existe un retard entre la mise à jour proposée par Debian et son intégration dans les dépôts de LMDE.

Wait and see dans ton cas.


Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

Hors ligne

#99 Le 26/09/2014, à 16:14

PPdM

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#100 Le 26/09/2014, à 16:34

moko138

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@ nesthib :

:~$ apt-cache policy bash
bash:
  Installé : 4.2+dfsg-1
  Candidat : 4.2+dfsg-1
 Table de version :
 *** 4.2+dfsg-1 0
        500 http://debian.linuxmint.com/latest/ testing/main amd64 Packages
        100 /var/lib/dpkg/status
:~$

@ maxire : oui, c'est une LMDE.

EDIT 1 :  J'extrais de https://lists.debian.org/debian-securit … 00220.html ceci :

September 24, 2014    http://www.debian.org/security/faq
(...)  Package        : bash
CVE ID         : CVE-2014-6271
(...) this vulnerability is exploitable over the network, especially if bash has been configured as the system shell.
For the stable distribution (wheezy), this problem has been fixed in version
4.2+dfsg-0.1+deb7u1
.
We recommend that you upgrade your bash packages.

EDIT 2 : dans synaptic, je lis que j'ai une version "testing" de ce paquet.
Dois-je attendre ou bien y a-t-il quelque chose à faire ?
Dois-je éviter LMDE pour l'instant et ne me servir que de ma 12.04 qui, elle, a reçu sa mise à jour  de bash ?

Dernière modification par moko138 (Le 26/09/2014, à 17:11)


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne