Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#376 Le 08/10/2014, à 17:21

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Script effectué, je ne suis plus vulbérable.

yann@yann-desktop:~$ curl https://shellshocker.net/shellshock_test.sh | bash
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  2533  100  2533    0     0   4496      0 --:--:-- --:--:-- --:--:--  4499
CVE-2014-6271 (original shellshock): not vulnerable
CVE-2014-6277 (segfault): not vulnerable
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable
yann@yann-desktop:~$ 

J'espère que l'update officielle d'Ubuntu, lorsqu'elle viendra, ne cassera pas tout.

Hors ligne

#377 Le 08/10/2014, à 19:03

abelthorne

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

À partir du moment où on fait confiance au site shellshocker.net sur le suivi des failles, je pense qu'on peut lui faire confiance pour les scripts. Mais dans l'absolu, oui, il vaut mieux éviter d'exécuter n'importe quel script récupéré sur le net. Si vous n'avez pas confiance, ça vaut autant pour celui qui répare que pour celui qui teste les vulnérabilités.

Ciryon : quand tu auras une màj depuis les dépôts, elle remplacera juste le nouvel exécutable de bash généré par le script par celui du paquet, il n'y aura pas de problème particulier à ce niveau.

Hors ligne

#378 Le 08/10/2014, à 19:08

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

abelthorne a écrit :

Mais dans l'absolu, oui, il vaut mieux éviter d'exécuter n'importe quel script récupéré sur le net. .

Bingo. Le script actuel ne risque rien mais tu as raison.
Chose que j'ai déjà précisé.

Hors ligne

#379 Le 08/10/2014, à 19:21

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

abelthorne a écrit :

À partir du moment où on fait confiance au site shellshocker.net sur le suivi des failles, je pense qu'on peut lui faire confiance pour les scripts. Mais dans l'absolu, oui, il vaut mieux éviter d'exécuter n'importe quel script récupéré sur le net. Si vous n'avez pas confiance, ça vaut autant pour celui qui répare que pour celui qui teste les vulnérabilités.

Ciryon : quand tu auras une màj depuis les dépôts, elle remplacera juste le nouvel exécutable de bash généré par le script par celui du paquet, il n'y aura pas de problème particulier à ce niveau.

sinon dans le cas contraire, il m'a conseillé de faire un "make clean" avant d'installer le nouveau package.

Hors ligne

#380 Le 08/10/2014, à 20:11

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ciryon a écrit :

[e]
sinon dans le cas contraire, il m'a conseillé de faire un "make clean" avant d'installer le nouveau package.

Bah voyons ...

Hors ligne

#381 Le 08/10/2014, à 20:13

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

yann_001 a écrit :
Ciryon a écrit :

[e]
sinon dans le cas contraire, il m'a conseillé de faire un "make clean" avant d'installer le nouveau package.

Bah voyons ...

Ca pose problème ?

Hors ligne

#382 Le 08/10/2014, à 20:31

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonsoir
Un make veut dire qu'on excétute un code et c'est pas bon si on connait pas la source

Dernière modification par yann_001 (Le 08/10/2014, à 20:35)

Hors ligne

#383 Le 08/10/2014, à 20:36

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Oui mais "make clean" nettoie ce code non ? Tu veux dire que c'est une commande pour effacer le précédent script et enlever toute preuve de son action ?

Hors ligne

#384 Le 08/10/2014, à 20:36

PPdM

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ciryon a écrit :
yann_001 a écrit :
Ciryon a écrit :

[e]
sinon dans le cas contraire, il m'a conseillé de faire un "make clean" avant d'installer le nouveau package.

Bah voyons ...

Ca pose problème ?

Tu devrais lire les docs, contrairement a d'autres, tout est renseigné dans Linux, avant d’exécuter une commande, venue d'un site quelconque regarde ce que ça signifie, sorti des forums comme celui-ci, et encore l'erreur est humaine, ne fais jamais confiance, si tu ne comprends pas ou si ton référent t'es inconnu.
En gros, sorti  de
Debian
Redheat
Ubuntu
Fedora
Centos
Mint
Mageia
et autres distros ayant pignon sur rue, les autres sources sont douteuses !

Dernière modification par PPdM (Le 08/10/2014, à 20:46)


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#385 Le 08/10/2014, à 20:41

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

PPdM a écrit :
Ciryon a écrit :
yann_001 a écrit :

Bah voyons ...

Ca pose problème ?

Tu devrais lire les docs, contrairement a d'autre, tout est renseigner dans Linux, avant d'excuter une commande, venu d'un site quelconque regarde ce que ça signifie, sorti des forums comme celui-ci, et encore l'erreur est humaine, ne fais jamais confiance, si tu ne comprends pas ou si ton référent t'es inconnu.
En gros, sorti  de
Debian
Redheat
Ubuntu
Fedora
Centos
Mint
Mageia
et autres distros ayant pignon sur rue, les sources sont douteuses !

Tu parles à  qui pépé ?

Hors ligne

#386 Le 08/10/2014, à 20:42

ljere

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

en fait c'est plutôt que Make recompile juste les fichiers qui ont été modifié et utilise les .o qui sont déjà fait.
alors que Make clean efface les .o et recompile tout, donc c'est beaucoup plus long.
Mais dans tout les cas on doit être certain de la source.


ancien PC Toshiba satellite_c670d-11 / Linux Mint 21 Vanessa
Nouveau PC ASUS TUF GAMING A17 GPU RTX 4070 CPU AMD Ryzen 9 7940HS w/ Radeon 780M Graphics / Linux Mint 21.2 Victoria / Kernel: 6.4.8-1-liquorix / Desktop: Cinnamon

Hors ligne

#387 Le 08/10/2014, à 20:44

PPdM

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@Yann, je complète ta réponse ! wink

PS et j'ai édité pour corriger les oublis

Dernière modification par PPdM (Le 08/10/2014, à 20:47)


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#388 Le 09/10/2014, à 07:52

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Merci d'éviter les kilomètres de HS et de se restreindre à ce qui est strictement pertinent pour l'objet de la discussion. J'ai supprimé les messages inutiles.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#389 Le 09/10/2014, à 09:00

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

nesthib a écrit :

Merci d'éviter les kilomètres de HS et de se restreindre à ce qui est strictement pertinent pour l'objet de la discussion. J'ai supprimé les messages inutiles.

Ah bon? Tu es qui toi? Tu es modérateur? L'inconvénient de ce forum c'est qu'on ne voit pas qui est modérateur. Ca devrait apparaître dans la signature ou a coté de l'avatar, vous êtes bien le seul forum que je connaisse à marcher comme cela , mais peut-être que FluxBB ne le permet pas.


Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Hors ligne

#390 Le 09/10/2014, à 09:27

david96

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

nesthib a écrit :

J'ai supprimé les messages inutiles.

Que tu as jugé inutile. Attention avec ce genre de procédé violent et despotique.

Hors ligne

#391 Le 09/10/2014, à 09:43

moko138

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Hé ! Ho !
Ça ne me fait pas plaisir quand j'ai un message modéré, mais

sur un forum, on accepte les règles.

(En plus, pour un admin, ça ne doit pas être la tâche la plus agréable, modérer.)


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#392 Le 09/10/2014, à 09:51

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ça n'apparaît même pas dans le profil. Ah si, mais c'est pas évident : les membres ordinaires ont comme champ Titre "Membre" alors que les modérateurs ont autre chose, Nesthib, par exemple , a comme Titre le texte à l'envers qui apparaît aussi dans sa signature. Mais l'information "Modérateur" n’apparaît nulle part.

Dernière modification par CM63 (Le 09/10/2014, à 10:01)


Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Hors ligne

#393 Le 09/10/2014, à 10:09

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

david96 a écrit :
nesthib a écrit :

J'ai supprimé les messages inutiles.

Que tu as jugé inutile. Attention avec ce genre de procédé violent et despotique.

je fais juste un post HS pour dire juste cela et c'est pas pour défendre Nesthib que je ne connais pas personnellement mais parce que j'ai été dans une autre vie un modérateur: un forum internet n'est pas une démocratie, il y des règles de fonctionnement, et les modérateurs sont là pour que ces règles soies respéctées, et ça passe aussi pas l'édition/suppression de sujets. Voila, je ne ferais plus d'autres HS sur ce thread.

Hors ligne

#394 Le 09/10/2014, à 11:20

david96

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

J'ai été moi même admin et modérateur ; je respecte le travaille des modérateurs et admins, mais j'ai toujours estimé que supprimer des messages sans aucune autre forme de procès, c'était ultra violent à tous les niveaux. Fin du HS for me aussi.

Dernière modification par david96 (Le 09/10/2014, à 11:21)

Hors ligne

#395 Le 09/10/2014, à 12:45

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

"parce que j'ai été dans une autre vie un modérateur: un forum internet n'est pas une démocratie, il y des règles de fonctionnement, et les modérateurs sont là pour que ces règles soies respéctées"


C'est un aveu, ou un lapsus calami.

Les seuls forums à tolérer sont les forums non modérés, ou faiblement modérés, les autres il faut les bannir sans pitié et ils périront.

Qui fixe la norme? un administrateur ou modérateur sur un machin sur internet? et puis quoi encore! la norme est fondée sur l'usage, l'observation, pas sur les pulsions de quelques petits dictateurs en gestation qui pullulent sur la toile.

Dernière modification par Pator75 (Le 09/10/2014, à 12:53)

Hors ligne

#396 Le 09/10/2014, à 13:29

ljere

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Je t'en prie pator75, tu peux nous bannir, ça ne nous dérange pas du tout.
Merci de revenir à la discussion initial sinon.


ancien PC Toshiba satellite_c670d-11 / Linux Mint 21 Vanessa
Nouveau PC ASUS TUF GAMING A17 GPU RTX 4070 CPU AMD Ryzen 9 7940HS w/ Radeon 780M Graphics / Linux Mint 21.2 Victoria / Kernel: 6.4.8-1-liquorix / Desktop: Cinnamon

Hors ligne

#397 Le 09/10/2014, à 13:32

Pator75

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pour Michel,

Salut,

Tu as fait du droit? les règles d'un forum ce sont de simples mesures d'ordre intérieur, ça n'a pas force de loi, c'est contestable et en cas de sanction on peut faire appel, comme pour tout (principe général du droit si je me rappelle bien).

C'est comme "la direction n'est pas responsable en cas..." dans certains magasins, bla bla bla! le juge apprécie au cas par cas.

Pour l'instant internet est quasi un espace de non droit mais ça pourrait changer, le mieux avec un forum trop hard est de se casser ailleurs, sauf si on a de l'argent à perdre pour rappeler les libertés individuelles, et la procédure très stricte en matière de sanction...


ps: "Merci de revenir à la discussion initial sinon."

Marrant comme certains se sentent visés, même pas la forme.

Dernière modification par Pator75 (Le 09/10/2014, à 13:39)

Hors ligne

#398 Le 09/10/2014, à 14:25

Shanx

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Modération : merci de revenir au sujet du fil et de cesser le HS. Si jamais certains ont des contestations ou des remarques concernant la modération, nous vous invitons à en faire part par mail à l’adresse ubuntu_moderateurs-fr@listes.ubuntu-fr.org, comme c’est indiqué dans la charte que vous avez acceptée en vous inscrivant.
Et pour ceux qui pourraient se poser la question, oui, je suis modérateur.


Mes randos : grande traversées des Alpes, de l'Islande, de la Corse, du Japon (en vélo), etc.
Traversée des États-Unis à pied

Hors ligne

#399 Le 09/10/2014, à 14:50

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Shanx a écrit :

Et pour ceux qui pourraient se poser la question, oui, je suis modérateur.

Ben ce serait bien que ça se voit.


Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Hors ligne

#400 Le 09/10/2014, à 15:08

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour.

Il y a une mise à jour de Bash disponible dans les dépôts. La 4.2-2ubuntu2.6 sur Precise (Ubuntu 12.04)

bash (4.2-2ubuntu2.6) precise-security; urgency=medium

  * SECURITY UPDATE: incorrect function definition parsing with
    here-document delimited by end-of-file
    - debian/patches/CVE-2014-6277.diff: properly handle closing delimiter
      in bash/copy_cmd.c, bash/make_cmd.c.
    - CVE-2014-6277
  * SECURITY UPDATE: incorrect function definition parsing via nested
    command substitutions
    - debian/patches/CVE-2014-6278.diff: properly handle certain parsing
      attempts in bash/builtins/evalstring.c, bash/parse.y, bash/shell.h.
    - CVE-2014-6278
  * Updated patches with official upstream versions:
    - debian/patches/CVE-2014-6271.diff
    - debian/patches/CVE-2014-7169.diff
    - debian/patches/variables-affix.diff
    - debian/patches/CVE-2014-718x.diff

Dernière modification par yann_001 (Le 09/10/2014, à 15:09)

Hors ligne