#151 Le 27/09/2014, à 14:22
- Compte supprimé
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Suite à cette faille dans bash, je me pose des questions ici : user nobody actif dans gdomap et dnsmasq … (car si la faille a déjà été exploitée tout est à revoir sur les systèmes concernés)
Dernière modification par Compte supprimé (Le 27/09/2014, à 14:23)
#152 Le 27/09/2014, à 14:31
- abelthorne
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
On parle des risques au niveau serveur, mais que ce passe t'il pour les clients sous linux?, il y a aussi un risque?
On parle de risques au niveau serveur simplement parce qu'il y a des risques à partir du moment où on peut se connecter à ta machine à distance, principalement si elle fait tourner un serveur web (Apache, Nginx...). Si ta machine n'est pas accessible depuis l'extérieur de ton réseau local, tu ne crains rien.
Dernière modification par abelthorne (Le 27/09/2014, à 14:32)
Hors ligne
#153 Le 27/09/2014, à 15:03
- Le Goss
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Euh... j'ai eu l'info de cette mise à jour à l'instant en venant sur le forum pour une recherche.
Tu sais, le genre de truc hyper-flippant, en rouge et en gras qui te dit "tu vas mouriiiiiiiiiiiiiiiiiiir!!!"... gaffe à la tachycardie
Sans cette visite, je serais passé complètement à côté.
Est-ce normal de n'avoir rien reçu par mail par exemple?
Dernière modification par Le Goss (Le 27/09/2014, à 15:04)
Si je pose une question sur le forum, ce n'est pas par paresse ou pour faire faire "mes devoirs"; c'est par ignorance: j'ai 52 berges. Et, par principe, je préfère être traité d'ignare que de fainéant.
Samsung i7-3630QM CPU @ 2.40GHz × 8 - 64 bits - RAM 7,7 Gio - DD 976 Go - Bodhi 6.0.0 Ubuntu 20.04
Allergique au wysiwyg; traitement à vie: Lilypond - LaTeX - markdown
Hors ligne
#154 Le 27/09/2014, à 15:13
- CM63
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Bonjour,
Il n'y a jamais eu de mail de la part de Canonical aux utilisateurs de Ubuntu, car à aucun moment nous nous sommes déclarés utilisateurs de Ubuntu auprès de Canonical. C'est pas comme M$
Par contre j'ai demandé à ce qu'ils modifient le message, là quand tu débarques tu crois que la vulnérabilité a été découverte aujourd'hui, alors qu'elle a été decouverte (ou en tout cas annoncée ici) le 25 septembre.
Bonne journée.
Dernière modification par CM63 (Le 27/09/2014, à 15:16)
Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!
Hors ligne
#155 Le 27/09/2014, à 15:13
- jplemoine
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Si tout le monde utilisait des versions supportées et mettaient à jour leurs machines (physiques et virtuelles), il n'y aurait rien à faire de plus.
Comme on sait que ce n'est pas le cas, il faut faire des actions de prévention.
Il est normal que tu n'aies pas reçu de "mail" puisque le principe est que l'utilisateur ailles chercher l'information et non que l'on lui pourrisse sa boîte aux lettres.
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#156 Le 27/09/2014, à 15:21
- Gaara
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Le mieux est de configurer une mise à jour automatique, comme ça plus de soucis. J'ai été prévenu le jour même, grâce à la notification.
Kubuntu 18.04 x64
Un terminal tactile Raspberry Pi et Odroid
<code>zenity --question --title "Alert" --text "Microsoft Windows has been found! Would you like to remove it?"</code>
Hors ligne
#157 Le 27/09/2014, à 15:33
- Compte supprimé
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
CasoarRotatif a écrit :Hey, j'ai lu quelques articles sur ce bug, et j'ai vu dans celui de ZNet que cette faille était exploitable depuis 20 ans ? C'était vraiment si dur que ça à découvrir ou tout le monde s'en foutait ?
Dans un système d'exploitation il y a des millions de lignes de code et si tout le monde pense qu'un autre va lire le code, au final personne ne le fait. Pas facile de tout vérifier.
Il n'existe aucun système sans faille.
Bah c'est quand même un des paquets les plus utilisés on dirait, et puis c'est pas comme si ça prenait qu'une seule petite ligne de code pour l'exploiter En vingt ans ? Tant qu'on m'a pas mieux expliqué comment ça a été possible de passer à côté, ça me paraît énorme
#158 Le 27/09/2014, à 16:01
- jackos
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
jackos a écrit :On parle des risques au niveau serveur, mais que ce passe t'il pour les clients sous linux?, il y a aussi un risque?
On parle de risques au niveau serveur simplement parce qu'il y a des risques à partir du moment où on peut se connecter à ta machine à distance, principalement si elle fait tourner un serveur web (Apache, Nginx...). Si ta machine n'est pas accessible depuis l'extérieur de ton réseau local, tu ne crains rien.
ok, je me posais la question si en surfait avec la version de bash compromise, cela avait des incidences (comme avec flash,java...)
yann_001 a écrit :CasoarRotatif a écrit :Hey, j'ai lu quelques articles sur ce bug, et j'ai vu dans celui de ZNet que cette faille était exploitable depuis 20 ans ? C'était vraiment si dur que ça à découvrir ou tout le monde s'en foutait ?
Dans un système d'exploitation il y a des millions de lignes de code et si tout le monde pense qu'un autre va lire le code, au final personne ne le fait. Pas facile de tout vérifier.
Il n'existe aucun système sans faille.Bah c'est quand même un des paquets les plus utilisés on dirait, et puis c'est pas comme si ça prenait qu'une seule petite ligne de code pour l'exploiter En vingt ans ? Tant qu'on m'a pas mieux expliqué comment ça a été possible de passer à côté, ça me paraît énorme
c'est vrai que 20 ans et le la façon dont cette faille peut être exploités, ca fait forcément poser des questions (c'est pas pour troller, juste comprendre)
Hors ligne
#159 Le 27/09/2014, à 16:12
- maxire
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Sources de Bash environ 1400 éléments pour une taille de 30 MO, vous comprendrez que ce n'est pas si simple à contrôler, de plus ce contrôle repose, je crois, largement sur des bénévoles.
Dîtes-vous bien que cette faille est sans doute restée inconnue également des personnes malintentionnées.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#160 Le 27/09/2014, à 16:19
- StanislasZr
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Bonjour,
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
me retourne seulement le contenu du echo (this is a test) mais pas d'erreur! Je dois m'inquiéter? (14.04 LTS)
Hors ligne
#161 Le 27/09/2014, à 16:22
- Kieran
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Bonjour,
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
me retourne seulement le contenu du echo (this is a test) mais pas d'erreur! Je dois m'inquiéter? (14.04 LTS)
pareil comme je l'ai écrit précédemment et j'ai fait les mises à jours, graphiquement ET en ligne de commande.
Hors ligne
#162 Le 27/09/2014, à 16:48
- bruno
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
e dois m'inquiéter? (14.04 LTS)
NON.
C'est le comportement normal avec la dernière mise à jour.
#163 Le 27/09/2014, à 17:01
- Kieran
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
StanislasZr a écrit :e dois m'inquiéter? (14.04 LTS)
NON.
C'est le comportement normal avec la dernière mise à jour.
Ca ne correspond pas tout à fait au premier message de ce topic cependant. Ce qui sans doute nous a amené à nous poser la question .
Hors ligne
#164 Le 27/09/2014, à 19:21
- Compte supprimé
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Sources de Bash environ 1400 éléments pour une taille de 30 MO, vous comprendrez que ce n'est pas si simple à contrôler, de plus ce contrôle repose, je crois, largement sur des bénévoles.
Dîtes-vous bien que cette faille est sans doute restée inconnue également des personnes malintentionnées.
Sauf que là on n'est pas obligé de lire le code, suffit de tester une commande avec un truc bizarre dedans qui est pas sensé être exécuté et paf, il est exécuté et on a découvert le dernier bug dla morkitu qui va tuer des bébés lamentins et rendre vulnérables la moitié des machines du monde ; moi ça me donne pas confiance du tout qu'un truc pareil soit passé inaperçu pendant tout ce temps.
Surtout que je viens de lire ça :
http://arstechnica.com/security/2014/09 … ck-a-mole/
#165 Le 27/09/2014, à 19:48
- yann_001
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Sauf que là on n'est pas obligé de lire le code, suffit de tester une commande avec un truc bizarre dedans qui est pas sensé être exécuté et paf, il est exécuté et on a découvert le dernier bug
Il n'y a aucune commande universelle qui permette de découvrir toutes les failles possibles.
Avec la méthode que tu décris, il faudrait tester des milliers de commande sur un programme pour voir si il y a une faille.
Et encore il ne serait même pas certain que le programme ne contienne pas de faille parce que des fois ça ne fonctionne pas sur tous les systèmes.
Hors ligne
#166 Le 27/09/2014, à 19:57
- Compte supprimé
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Parfois, le programme n'existe pas sur papier ni dans l'esprit d'une personne, il est codé à la volé, puis passé dans le débogueur et repasse plusieurs fois par le débogueur mais reste non maîtrisé, c'est de la bidouille qui compte sur le système des mises à jour.
-édité-
Vite, vite, toujours plus vite. S'il y a un problème, on patchera de toute façon.
Dernière modification par Compte supprimé (Le 28/09/2014, à 12:36)
#167 Le 27/09/2014, à 20:04
- jplemoine
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
des SSII militaires françaises
C'est quoi pour toi, une "SSII militaires françaises" ?
J'ai en tête une "SSII" civile qui travaille entre autres pour les militaires et je peux te certifier que ça ne se passe pas comme ça...
Je ne crois pas que les militaires aient leur propre SSII.
Dernière modification par jplemoine (Le 27/09/2014, à 20:07)
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#168 Le 27/09/2014, à 20:18
- Compte supprimé
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
-édité-
Sur ce, bonne nuit, je vais me coucher … fatigué de ma journée
Dernière modification par Compte supprimé (Le 28/09/2014, à 12:35)
#169 Le 27/09/2014, à 20:23
- jplemoine
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
C'est bien ce je pensais : ce sont des sociétés civiles qui ont certains clients miltaires.
Pour la part, j'ai travaillé pour le concurrent (sigle de 4 lettres) et vu les tests effectués sur nos programmes et les délais, il valait mieux que la première fois soit la bonne....
Je pense que tes cas sont des exceptions.
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#170 Le 27/09/2014, à 20:27
- PPdM
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Un deuxième copain déporté de Bordeaux vers Marseilles en semaine de travail, m'a raconté en revanche un test de missile avec plein de capteurs qui a coûté très cher, car windows a lancé la défragmentation pendant le test et l'ordinateur n'arrivait plus à enregistrer correctement les capteurs embarqués …
Sur ce, bonne nuit, je vais me coucher … fatigué de ma journée
Ça pue le fake !!!
Personne ne programme une defrag automatique, et même cela serait les cas cela ne ce fait que quand l'ordinateur est au repos, et je doute que ces programme hyper pointus tournent sur un merde comme windows ou alors ce sont de vrais malades.
Dernière modification par PPdM (Le 28/09/2014, à 17:30)
La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera
Hors ligne
#171 Le 27/09/2014, à 20:30
- Compte supprimé
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
PPdM, je demanderai à un troisième copain de confirmer ce que le deuxième copain m'a raconté en 2005, je m'en souviens très bien.
Merci,
bonne nuit.
Dernière modification par Compte supprimé (Le 28/09/2014, à 14:13)
#172 Le 27/09/2014, à 22:12
- CM63
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Pour empêcher l'indexation de cette page du forum par les moteurs de recherche (c'est toute la page ou juste le post?), eh ben j'en apprends une là
Je vais mettre noindex dans ma signature, comme ça, ça empêchera l'indexation de toutes les discussions où j'interviendrai.
Dernière modification par CM63 (Le 27/09/2014, à 22:18)
Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!
Hors ligne
#173 Le 27/09/2014, à 22:34
- tooguy66
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
En ce moment je me pose pas mal de questions....Une faille de 20 ans quand même!!! J'ai installé des ubuntus chez certaines personnes, en leur affirmant que le système n'était pas conçu de la même manière est qu'il était plus sécurisé que windows. J'suis un peu furax sur cette affaire!! Et encore, j'suis un particulier et non pas une entreprise; j'espère qu'on aura pas d'autres surprises
Dualboot Windows seven & ubuntu 14.04 64bit
gigabyte M720-US3 athlon II x4 620 6gb ram GeForce 520 1gio
Hors ligne
#174 Le 27/09/2014, à 22:48
- jplemoine
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
le système n'était pas conçu de la même manière est qu'il était plus sécurisé que windows.
Je pense malgré tout que ça reste vrai...
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#175 Le 27/09/2014, à 23:04
- CM63
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Je comprends qu'on outrepasse les droits d’exécution en définissant un script à la volée dans une variable environnement. Comme ce script n'est pas sur un fichier mais défini à la volée, je n'ai pas besoin de faire chmod +x . Mais en revanche je ne comprends pas comment on peut outre-passer la nécessité de taper le mot de passe root
Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!
Hors ligne