Faille de sécurité dans bash (mis à jour 12/10/2014)

Kieran · Le 08/10/2014, à 17:21

Script effectué, je ne suis plus vulbérable.

yann@yann-desktop:~$ curl https://shellshocker.net/shellshock_test.sh | bash
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  2533  100  2533    0     0   4496      0 --:--:-- --:--:-- --:--:--  4499
CVE-2014-6271 (original shellshock): not vulnerable
CVE-2014-6277 (segfault): not vulnerable
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable
yann@yann-desktop:~$

J'espère que l'update officielle d'Ubuntu, lorsqu'elle viendra, ne cassera pas tout.

abelthorne · Le 08/10/2014, à 19:03

À partir du moment où on fait confiance au site shellshocker.net sur le suivi des failles, je pense qu'on peut lui faire confiance pour les scripts. Mais dans l'absolu, oui, il vaut mieux éviter d'exécuter n'importe quel script récupéré sur le net. Si vous n'avez pas confiance, ça vaut autant pour celui qui répare que pour celui qui teste les vulnérabilités.

Ciryon : quand tu auras une màj depuis les dépôts, elle remplacera juste le nouvel exécutable de bash généré par le script par celui du paquet, il n'y aura pas de problème particulier à ce niveau.

yann_001 · Le 08/10/2014, à 19:08

abelthorne a écrit :

Mais dans l'absolu, oui, il vaut mieux éviter d'exécuter n'importe quel script récupéré sur le net. .

Bingo. Le script actuel ne risque rien mais tu as raison.
Chose que j'ai déjà précisé.

Kieran · Le 08/10/2014, à 19:21

abelthorne a écrit :

À partir du moment où on fait confiance au site shellshocker.net sur le suivi des failles, je pense qu'on peut lui faire confiance pour les scripts. Mais dans l'absolu, oui, il vaut mieux éviter d'exécuter n'importe quel script récupéré sur le net. Si vous n'avez pas confiance, ça vaut autant pour celui qui répare que pour celui qui teste les vulnérabilités.
Ciryon : quand tu auras une màj depuis les dépôts, elle remplacera juste le nouvel exécutable de bash généré par le script par celui du paquet, il n'y aura pas de problème particulier à ce niveau.

sinon dans le cas contraire, il m'a conseillé de faire un "make clean" avant d'installer le nouveau package.

yann_001 · Le 08/10/2014, à 20:11

Ciryon a écrit :

[e]
sinon dans le cas contraire, il m'a conseillé de faire un "make clean" avant d'installer le nouveau package.

Bah voyons ...

Kieran · Le 08/10/2014, à 20:13

yann_001 a écrit :

Ciryon a écrit :
[e]
sinon dans le cas contraire, il m'a conseillé de faire un "make clean" avant d'installer le nouveau package.
Bah voyons ...

Ca pose problème ?

yann_001 · Le 08/10/2014, à 20:31

Bonsoir
Un make veut dire qu'on excétute un code et c'est pas bon si on connait pas la source

Dernière modification par yann_001 (Le 08/10/2014, à 20:35)

Kieran · Le 08/10/2014, à 20:36

Oui mais "make clean" nettoie ce code non ? Tu veux dire que c'est une commande pour effacer le précédent script et enlever toute preuve de son action ?

PPdM · Le 08/10/2014, à 20:36

Ciryon a écrit :

yann_001 a écrit :
Ciryon a écrit :
[e]
sinon dans le cas contraire, il m'a conseillé de faire un "make clean" avant d'installer le nouveau package.
Bah voyons ...
Ca pose problème ?

Tu devrais lire les docs, contrairement a d'autres, tout est renseigné dans Linux, avant d’exécuter une commande, venue d'un site quelconque regarde ce que ça signifie, sorti des forums comme celui-ci, et encore l'erreur est humaine, ne fais jamais confiance, si tu ne comprends pas ou si ton référent t'es inconnu.
En gros, sorti de
Debian
Redheat
Ubuntu
Fedora
Centos
Mint
Mageia
et autres distros ayant pignon sur rue, les autres sources sont douteuses !

Dernière modification par PPdM (Le 08/10/2014, à 20:46)

yann_001 · Le 08/10/2014, à 20:41

PPdM a écrit :

Ciryon a écrit :
yann_001 a écrit :
Bah voyons ...
Ca pose problème ?
Tu devrais lire les docs, contrairement a d'autre, tout est renseigner dans Linux, avant d'excuter une commande, venu d'un site quelconque regarde ce que ça signifie, sorti des forums comme celui-ci, et encore l'erreur est humaine, ne fais jamais confiance, si tu ne comprends pas ou si ton référent t'es inconnu.
En gros, sorti de
Debian
Redheat
Ubuntu
Fedora
Centos
Mint
Mageia
et autres distros ayant pignon sur rue, les sources sont douteuses !

Tu parles à qui pépé ?

ljere · Le 08/10/2014, à 20:42

en fait c'est plutôt que Make recompile juste les fichiers qui ont été modifié et utilise les .o qui sont déjà fait.
alors que Make clean efface les .o et recompile tout, donc c'est beaucoup plus long.
Mais dans tout les cas on doit être certain de la source.

PPdM · Le 08/10/2014, à 20:44

@Yann, je complète ta réponse !

PS et j'ai édité pour corriger les oublis

Dernière modification par PPdM (Le 08/10/2014, à 20:47)

nesthib · Le 09/10/2014, à 07:52

Merci d'éviter les kilomètres de HS et de se restreindre à ce qui est strictement pertinent pour l'objet de la discussion. J'ai supprimé les messages inutiles.

CM63 · Le 09/10/2014, à 09:00

nesthib a écrit :

Merci d'éviter les kilomètres de HS et de se restreindre à ce qui est strictement pertinent pour l'objet de la discussion. J'ai supprimé les messages inutiles.

Ah bon? Tu es qui toi? Tu es modérateur? L'inconvénient de ce forum c'est qu'on ne voit pas qui est modérateur. Ca devrait apparaître dans la signature ou a coté de l'avatar, vous êtes bien le seul forum que je connaisse à marcher comme cela , mais peut-être que FluxBB ne le permet pas.

david96 · Le 09/10/2014, à 09:27

nesthib a écrit :

J'ai supprimé les messages inutiles.

Que tu as jugé inutile. Attention avec ce genre de procédé violent et despotique.

moko138 · Le 09/10/2014, à 09:43

Hé ! Ho !
Ça ne me fait pas plaisir quand j'ai un message modéré, mais

sur un forum, on accepte les règles.

(En plus, pour un admin, ça ne doit pas être la tâche la plus agréable, modérer.)

CM63 · Le 09/10/2014, à 09:51

Ça n'apparaît même pas dans le profil. Ah si, mais c'est pas évident : les membres ordinaires ont comme champ Titre "Membre" alors que les modérateurs ont autre chose, Nesthib, par exemple , a comme Titre le texte à l'envers qui apparaît aussi dans sa signature. Mais l'information "Modérateur" n’apparaît nulle part.

Dernière modification par CM63 (Le 09/10/2014, à 10:01)

Kieran · Le 09/10/2014, à 10:09

david96 a écrit :

nesthib a écrit :
J'ai supprimé les messages inutiles.
Que tu as jugé inutile. Attention avec ce genre de procédé violent et despotique.

je fais juste un post HS pour dire juste cela et c'est pas pour défendre Nesthib que je ne connais pas personnellement mais parce que j'ai été dans une autre vie un modérateur: un forum internet n'est pas une démocratie, il y des règles de fonctionnement, et les modérateurs sont là pour que ces règles soies respéctées, et ça passe aussi pas l'édition/suppression de sujets. Voila, je ne ferais plus d'autres HS sur ce thread.

david96 · Le 09/10/2014, à 11:20

J'ai été moi même admin et modérateur ; je respecte le travaille des modérateurs et admins, mais j'ai toujours estimé que supprimer des messages sans aucune autre forme de procès, c'était ultra violent à tous les niveaux. Fin du HS for me aussi.

Dernière modification par david96 (Le 09/10/2014, à 11:21)

Pator75 · Le 09/10/2014, à 12:45

"parce que j'ai été dans une autre vie un modérateur: un forum internet n'est pas une démocratie, il y des règles de fonctionnement, et les modérateurs sont là pour que ces règles soies respéctées"

C'est un aveu, ou un lapsus calami.

Les seuls forums à tolérer sont les forums non modérés, ou faiblement modérés, les autres il faut les bannir sans pitié et ils périront.

Qui fixe la norme? un administrateur ou modérateur sur un machin sur internet? et puis quoi encore! la norme est fondée sur l'usage, l'observation, pas sur les pulsions de quelques petits dictateurs en gestation qui pullulent sur la toile.

Dernière modification par Pator75 (Le 09/10/2014, à 12:53)

ljere · Le 09/10/2014, à 13:29

Je t'en prie pator75, tu peux nous bannir, ça ne nous dérange pas du tout.
Merci de revenir à la discussion initial sinon.

Pator75 · Le 09/10/2014, à 13:32

Pour Michel,

Salut,

Tu as fait du droit? les règles d'un forum ce sont de simples mesures d'ordre intérieur, ça n'a pas force de loi, c'est contestable et en cas de sanction on peut faire appel, comme pour tout (principe général du droit si je me rappelle bien).

C'est comme "la direction n'est pas responsable en cas..." dans certains magasins, bla bla bla! le juge apprécie au cas par cas.

Pour l'instant internet est quasi un espace de non droit mais ça pourrait changer, le mieux avec un forum trop hard est de se casser ailleurs, sauf si on a de l'argent à perdre pour rappeler les libertés individuelles, et la procédure très stricte en matière de sanction...

ps: "Merci de revenir à la discussion initial sinon."

Marrant comme certains se sentent visés, même pas la forme.

Dernière modification par Pator75 (Le 09/10/2014, à 13:39)

Shanx · Le 09/10/2014, à 14:25

Modération : merci de revenir au sujet du fil et de cesser le HS. Si jamais certains ont des contestations ou des remarques concernant la modération, nous vous invitons à en faire part par mail à l’adresse ubuntu_moderateurs-fr@listes.ubuntu-fr.org, comme c’est indiqué dans la charte que vous avez acceptée en vous inscrivant.
Et pour ceux qui pourraient se poser la question, oui, je suis modérateur.

CM63 · Le 09/10/2014, à 14:50

Shanx a écrit :

Et pour ceux qui pourraient se poser la question, oui, je suis modérateur.

Ben ce serait bien que ça se voit.

yann_001 · Le 09/10/2014, à 15:08

Bonjour.

Il y a une mise à jour de Bash disponible dans les dépôts. La 4.2-2ubuntu2.6 sur Precise (Ubuntu 12.04)

bash (4.2-2ubuntu2.6) precise-security; urgency=medium
* SECURITY UPDATE: incorrect function definition parsing with
here-document delimited by end-of-file
- debian/patches/CVE-2014-6277.diff: properly handle closing delimiter
in bash/copy_cmd.c, bash/make_cmd.c.
- CVE-2014-6277
* SECURITY UPDATE: incorrect function definition parsing via nested
command substitutions
- debian/patches/CVE-2014-6278.diff: properly handle certain parsing
attempts in bash/builtins/evalstring.c, bash/parse.y, bash/shell.h.
- CVE-2014-6278
* Updated patches with official upstream versions:
- debian/patches/CVE-2014-6271.diff
- debian/patches/CVE-2014-7169.diff
- debian/patches/variables-affix.diff
- debian/patches/CVE-2014-718x.diff

Dernière modification par yann_001 (Le 09/10/2014, à 15:09)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#376 Le 08/10/2014, à 17:21

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#377 Le 08/10/2014, à 19:03

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#378 Le 08/10/2014, à 19:08

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#379 Le 08/10/2014, à 19:21

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#380 Le 08/10/2014, à 20:11

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#381 Le 08/10/2014, à 20:13

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#382 Le 08/10/2014, à 20:31

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#383 Le 08/10/2014, à 20:36

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#384 Le 08/10/2014, à 20:36

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#385 Le 08/10/2014, à 20:41

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#386 Le 08/10/2014, à 20:42

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#387 Le 08/10/2014, à 20:44

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#388 Le 09/10/2014, à 07:52

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#389 Le 09/10/2014, à 09:00

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#390 Le 09/10/2014, à 09:27

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#391 Le 09/10/2014, à 09:43

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#392 Le 09/10/2014, à 09:51

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#393 Le 09/10/2014, à 10:09

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#394 Le 09/10/2014, à 11:20

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#395 Le 09/10/2014, à 12:45

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#396 Le 09/10/2014, à 13:29

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#397 Le 09/10/2014, à 13:32

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#398 Le 09/10/2014, à 14:25

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#399 Le 09/10/2014, à 14:50

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

#400 Le 09/10/2014, à 15:08

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pied de page des forums