#276 Le 01/10/2014, à 09:31
- jplemoine
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
J'aurais tendance à dire qu'il faut voir avec ton hébergeur.
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#277 Le 01/10/2014, à 09:48
- CM63
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
En fait je viens de trouver les logs des accès web, j'ai recherché le caractère } , je ne l'ai pas trouvé dans les logs récents. Je pense que je n'ai pas eu d'attaques.
Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!
Hors ligne
#278 Le 04/10/2014, à 06:06
- WhiteKomokuTen
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Hi
Toutes les failles ne semblent pas corrigés
Si je tape en console :
curl https://shellshocker.net/shellshock_test.sh | bash
J'ai un retour d'une vulnérabilité !
Hors ligne
#279 Le 04/10/2014, à 07:44
- yann_001
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Bonjour.
@WhiteKomokuTen
Idem pour la faille CVE-2014-6277
Hors ligne
#280 Le 04/10/2014, à 07:47
- lann
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Toutes les failles ne semblent pas corrigés
Oui j'ai essayé et je suis apparemment encore vulnérable à cette faille : https://web.nvd.nist.gov/view/vuln/deta … -2014-6277
<Modéré>
Hors ligne
#281 Le 04/10/2014, à 08:51
- abelthorne
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Je suis encore vulnérable à une faille qu'ils appellent "segfault" :
CVE-2014-6271 (original shellshock): not vulnerable
bash : ligne 16 : 4669 Erreur de segmentation (core dumped) bash -c "f() { x() { _;}; x() { _;} <<a; }" 2> /dev/null
CVE-2014-6277 (segfault): VULNERABLE
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable
Je ne comprends pas bien son principe : apparemment, elle provoque un plantage (segfault) du bash quand elle est exécutée. C'est exploitable, ça ?
EDIT : d'autant que si j'entre la commande qu'ils donnent plus bas dans la page, tout ce que j'ai c'est une invite supplémentaire et pas "vulnerable" qui s'affiche. C'est assez curieux, ça. Il doit y avoir une faute de frappe dans la commande, je vois que les guillemets ne sont pas refermés (d'où l'invite supplémentaire).
Dernière modification par abelthorne (Le 04/10/2014, à 08:57)
Hors ligne
#282 Le 04/10/2014, à 09:13
- Compte supprimé
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
À vérifier si les "Erreurs de segmentation" chez abelthorne ne peuvent-elles pas entraîner des fuites mémoires dans certains programmes, donc plus de mémoire disponible dans le système, plantage, perte de données ?
Il faut bien paramétrer /etc/security/limits.conf et au passage limiter le nombre de processus pour résister au Fork Bomb qui pourrait être exploité ces temps-ci si on peut passer des commandes à bash par les variables … cas actuel de la faille corrigée …
#283 Le 04/10/2014, à 16:48
- Kieran
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Hi
Toutes les failles ne semblent pas corrigés
Si je tape en console :
curl https://shellshocker.net/shellshock_test.sh | bash
J'ai un retour d'une vulnérabilité !
Pareil, je ne suis pas en serveur mais ça m'inquiète tout de même
yann@yann-desktop:~$ curl https://shellshocker.net/shellshock_test.sh | bash
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 2533 100 2533 0 0 4643 0 --:--:-- --:--:-- --:--:-- 4639
CVE-2014-6271 (original shellshock): not vulnerable
bash : ligne 16 : 10930 Erreur de segmentation (core dumped) bash -c "f() { x() { _;}; x() { _;} <<a; }" 2> /dev/null
CVE-2014-6277 (segfault): VULNERABLE
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable
yann@yann-desktop:~$
Hors ligne
#284 Le 04/10/2014, à 20:36
- lann
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Avec la version bash 4.3.029-1 sur mon portable en Archlinux, je ne suis pas vulnérable à la faille CVE-2014-6277
<Modéré>
Hors ligne
#285 Le 05/10/2014, à 18:45
- Compte anonymisé
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Pangolin Precise 12.04 : vulnérable à CVE-2014-6277 avec bash version 4.2-2ubuntu2.5.
#286 Le 05/10/2014, à 19:35
- Kieran
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
J'ai ouvert un ticket sur Launchpad qui m'a renvoyé sur Github, voir post suivant.
Dernière modification par Kieran (Le 05/10/2014, à 22:12)
Hors ligne
#287 Le 05/10/2014, à 22:12
- Kieran
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Hors ligne
#288 Le 06/10/2014, à 05:40
- Compte supprimé
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
#289 Le 06/10/2014, à 06:18
- Pator75
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Tout ça c'est bien gentil, mais ça mérite quand même réflexion, chez Linux « le code est ouvert, donc chacun peut combler… pas comme Windows qui cache les failles… d'où une plus grande sécurité ».
22 ans la faille… est ce qu'il aurait mieux fallu la cacher ? C'eut été préférable, car elle semble très grave et à rebondissements.
C'est comme MAC, pas de virus ce truc il y a quelques années , donc les gens font n'importe quoi par excès de confiance et hop ! IWorm 17 000 machines infectées.
Bref mon PC Linux je l'ai mis en Windows 8, pas très confidentiel c'est vrai, mais un PC W8 bien protégé ça résiste très bien, peut être même que du côté serveur ça doit être pareil.
Je garde quelques DVD, dont Kali, au cas où, en attendant mieux.
Hors ligne
#290 Le 06/10/2014, à 07:19
- ssdg
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Pator75 > 3 vulnérabilités en 22 ans ... C'est clair que chez windows c'est mieux... Les chiffres sont plus proches du 22 en 3 ans, mais c'est mieux
s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.
Hors ligne
#291 Le 06/10/2014, à 08:00
- yann_001
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
@L_d_v_c@
Le plantage vient peut-être du fait que tu as installé SELinux.
Hors ligne
#292 Le 06/10/2014, à 10:31
- voxpopuli
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Tout ça c'est bien gentil, mais ça mérite quand même réflexion, chez Linux « le code est ouvert, donc chacun peut combler… pas comme Windows qui cache les failles… d'où une plus grande sécurité ».
22 ans la faille… est ce qu'il aurait mieux fallu la cacher ? C'eut été préférable, car elle semble très grave et à rebondissements.
C'est comme MAC, pas de virus ce truc il y a quelques années , donc les gens font n'importe quoi par excès de confiance et hop ! IWorm 17 000 machines infectées.
Reproche aux sociétés qui bossent dans la recherche de faille de préférer vendre le fruit de le recherche aux gouvernements plus tôt que de combler les trous
Les logiciels libre étant OpenSource et apprendre la programmation étant, actuellement, possible même pour un singe vivant dans la forêt amazonienne tant qu'il dispose d'internet: ne pas rechercher a améliorer les logiciels n'est que de la faute des utilisateurs.
Pour l'anecdote: La règle du 1% https://fr.wikipedia.org/wiki/R%C3%A8gle_du_1_%25
Bref mon PC Linux je l'ai mis en Windows 8, pas très confidentiel c'est vrai, mais un PC W8 bien protégé ça résiste très bien, peut être même que du côté serveur ça doit être pareil.
Avec des logiciels d'automatisation d'attaque Windows a quand même souvent plus de chance de tomber qu'un pc mal configuré sous linux (genre kali).
Je garde quelques DVD, dont Kali, au cas où, en attendant mieux.
Très certainement le linux le moins sécurisé (il est censé tourner en live)
PS: actuellement le monde linux est face a une petite révolution, Edouard Snowden nous a montré, preuve a l'appui, que la NSA exploite tout un paquet de faille découverte au prix d'énormément de moyens. Beaucoup de pirates et de hackers ont compris que c'est plus facile de trouver les failles exploitées par la NSA (en cherchant dans les papier de snowden) que de découvrir des nouvelles. Ces conséquences sont mauvaises pour la sécurité à cours thermes mais a moyen thermes par contre c'est tout bénéfice (la NSA a 30 ans d'avance d'après les estimations et la communauté linux rattrape ce retard a chaque faille publiée et corrigée).
« Si la destinée ne nous aide pas, nous l'aiderons nous même à se réaliser ! »
$Wold.Action.Boot();
Hors ligne
#293 Le 06/10/2014, à 10:40
- abelthorne
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Tout ça c'est bien gentil, mais ça mérite quand même réflexion, chez Linux « le code est ouvert, donc chacun peut combler… pas comme Windows qui cache les failles… d'où une plus grande sécurité ».
22 ans la faille… est ce qu'il aurait mieux fallu la cacher ? C'eut été préférable, car elle semble très grave et à rebondissements.
C'est comme MAC, pas de virus ce truc il y a quelques années , donc les gens font n'importe quoi par excès de confiance et hop ! IWorm 17 000 machines infectées.Bref mon PC Linux je l'ai mis en Windows 8, pas très confidentiel c'est vrai, mais un PC W8 bien protégé ça résiste très bien, peut être même que du côté serveur ça doit être pareil.
Je garde quelques DVD, dont Kali, au cas où, en attendant mieux.
Ah, les trolls arrivent.
Les gens utilisent des Windows troués pendant des années en trouvant ça normal, ils passent à Linux parce qu'il est moins soumis à ce genre de problème et le jour où quelqu'un exploite une fonctionnalité comme une faille de sécurité alors que personne n'y avait pensé en 22 ans, c'est la panique, Linux devient apparemment du jour au lendemain une catastrophe en matière de sécurité.
"Le code est ouvert d'où une plus grande sécurité" : oui. La faille en question a été découverte il y a une semaine et il y a déjà eu quatre ou cinq rustines pour la colmater (et il y en aura certainement d'autres). Sur la plupart des distributions, les mises à jour arrivent au bout de quelques heures. Si elles ne le sont pas, tu peux récupérer les sources de bash les plus récentes et les compiler toi-même. Avec ton Windows super sécurisé, pose-toi la question de savoir combien il y a de failles exploitées mais non connues parce que le code est fermé. Regarde un peu la durée entre la découverte d'une faille et la sortie d'un correctif par Microsoft (généralement, ça se compte en mois). Pose-toi un peu la question de savoir si les correctifs sortis par Microsoft sont vraiment efficaces et couvrent tous les cas de figure d'attaque potentielle : personne ne peut le vérifier puisque le code est fermé, justement. Tu préfères faire confiance à une multinationale qui te dit "oh, rassurez-vous, votre sécurité est notre priorité" ou à des gens qui peuvent juger sur pièces ?
Oui, quand le code source d'un logiciel est connu de tous, c'est plus facile de l'exploiter à de mauvaises fins. Et c'est aussi plus facile de le savoir, de réagir et de le corriger. Personne n'a jamais dit que les logiciels libres étaient exempts de faille de sécurité.
Et avant de repasser à Windows (enfin, vous faites ce que vous voulez, mais c'est idiot de le faire pour cette raison précise), rappelons que si votre machine n'est pas utilisée comme un serveur (web et peut-être d'autres types mais ça reste à prouver), vous ne risquez rien : il faut un point d'entrée avec un logiciel qui interagit avec bash pour l'exploiter.
Hors ligne
#294 Le 06/10/2014, à 11:30
- CM63
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Et qui interagit en étant sous root.
A ce propos j'ai une question : comment font ces scripts (tels que les scripts CGI) pour interagir sous root sans contraire le mot de passe root?
Merci pour ta réponse.
Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!
Hors ligne
#295 Le 06/10/2014, à 11:34
- abelthorne
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Bash n'est pas exploité en root, il est exploité en tant que l'utilisateur qui fait tourner le service concerné. Si c'est à Apache qu'on balance des entêtes HTTP bidouillées, c'est Apache qui balances les commandes à bash. Si Apache et/ou son moteur CGI est lancé en root, bash fonctionne en root mais je ne crois pas que ce soit le cas (à priori, c'est en tant qu'utilisateur "www-data" avec des droits restreints qu'il est lancé).
Mais de toute façon, ça n'a pas d'importance : qu'il soit lancé en root ou en utilisateur standard, il a de toute façon les droits nécessaires pour faire ce dont il a besoin. Qui n'est pas s'attaquer à votre système mais bidouiller votre serveur web pour le transformer en botnet. D'où le fait que ce soit une faille sérieuse pour les serveurs et pas pour les PC lambda qui ne sont pas utilisés en tant que serveurs.
Dernière modification par abelthorne (Le 06/10/2014, à 11:38)
Hors ligne
#296 Le 06/10/2014, à 11:38
- Pator75
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Attention lâcher de barbus!...
Moi j'ai une conception utilitaire d'un OS, je m'en sers c'est tout, côté sécurité entre nous je n'ai jamais suivi Linux, pas à l'épreuve des faits mais ça vient... seul le côté confidentiel de certaines distributions bien équipées m'intéressait, mais là y a un méga faux pas, une faute grossière, et elle a été dévoilée par des gens aveuglés par leurs dogmes et idéologies, pathétique.
Donc Linux se soigne et je m'en sers encore, dans le cas contraire ce sera très peu.
Hors ligne
#297 Le 06/10/2014, à 11:58
- yann_001
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
A ce propos j'ai une question : comment font ces scripts (tels que les scripts CGI) pour interagir sous root sans contraire le mot de passe root?
Justement une des failles maintenant corrigées, permettait d'interagir comme un admin sans avoir à taper de MDP.
Hors ligne
#298 Le 06/10/2014, à 12:04
- voxpopuli
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Attention lâcher de barbus!...
Moi j'ai une conception utilitaire d'un OS, je m'en sers c'est tout, côté sécurité entre nous je n'ai jamais suivi Linux, pas à l'épreuve des faits mais ça vient... seul le côté confidentiel de certaines distributions bien équipées m'intéressait, mais là y a un méga faux pas, une faute grossière, et elle a été dévoilée par des gens aveuglés par leurs dogmes et idéologies, pathétique.
Donc Linux se soigne et je m'en sers encore, dans le cas contraire ce sera très peu.
Pourquoi les pro Windows se jettent toujours a la moindre faille découverte dans linux pour insulter les libristes? Quel intérêt? (ptete nous pousser a utiliser windows mais aucun risque, nous on a choisi un paradigme, le libre, pour notre OS et n'avons pas vraiment envie de le changer sous des prétextes franchement FUD)
Une faute grossière c'est IPV4, ça c'est une faute complètement stupide et aberrante. Pour Bash là on parle d'une erreur de programmation... (pour rappel plus il y a de lignes de code plus il y a un risque d'erreur de programmation)
PS: la majorité des attaques sont faite par des gens qui ne sont pas des pro de la sécurité, vu la vitesse des patch pour l'histoire batch, les pirates n'auront pas vraiment le temps d'exploiter cette faille.
Dernière modification par voxpopuli (Le 06/10/2014, à 12:10)
« Si la destinée ne nous aide pas, nous l'aiderons nous même à se réaliser ! »
$Wold.Action.Boot();
Hors ligne
#299 Le 06/10/2014, à 12:25
- yann_001
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Pourquoi les pro Windows se jettent toujours a la moindre faille découverte dans linux pour insulter les libristes?
Des utilisateurs de systèmes GNU/Linux font la même chose en débarquant sur des forums Windows pour chier dessus.
Y'a pas si longtemps un membre de ce forum a été sur un forum Windows et sur les demandes d'aide il venait parler de Xubuntu.
C'est tout aussi gonflant.
Pator75 a le droit de vouloir utiliser Windows parce qu'il se méfie de cette faille et qu'il préfère utiliser un système qu'il connait parce que ça le rassure.
On est pas là pour faire un Linux vs Windows mais pour parler de la faille.
Si une personne fraichement débarquée sur Linux, lit 5 pages de versus ça va pas l'aider à comprendre le problème et elle risque de faire machine arrière.
Hors ligne
#300 Le 06/10/2014, à 12:49
- Pator75
Re : Faille de sécurité dans bash (mis à jour 12/10/2014)
Il y a quand même quelque chose de cassé, moi aussi j'ai accepté le discours « si Linux n'a pas d'antivirus, son code est surveillé étroitement et rapidement colmaté en cas de problème », on voit le résultat, 22 ans, toute personne qui s'intéresse au piratage sait que la compétition entre les découvreurs de failles et leurs colmateurs est l'axe déterminant, et un pirate formé sur le tas est meilleur à ce jeu qu'un lauréat de grande école, donc tout ça est de très mauvaise augure.
ps:
Merci Yann 001, je ne suis pas franchement rassuré chez Windows, mais je suis en terrain défriché, et avec des outils de sécurité aiguisés.
Dernière modification par Pator75 (Le 06/10/2014, à 13:03)
Hors ligne