Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#101 Le 26/09/2014, à 17:49

maxire

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@moko138, d'après l'information que tu fournis Debian a patché la version de Bash de Wheezy et ne parle pas de testing.
J'imagine qu'il faut attendre.
En même temps ne sois pas parano, si tu n'as pas de serveur Apache, que tu n'utilises pas CGI et que tu arrêtes ton serveur ssh cela devrait aller.
En plus tu as certainement un pare-feu sur ta box, personnellement les seuls serveurs que j'ai sont en local et j'ai fermé les portes (enfin, je crois, je vais vérifier).

Dernière modification par maxire (Le 26/09/2014, à 17:50)


Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

Hors ligne

#102 Le 26/09/2014, à 18:08

Zurg

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pour ceux qui utilise Debian, il faut savoir que la version testing reçoit les paquet de la version sid (unstable) uniquement au bout d'un certain nombre de jours, voilà pourquoi les patchs de sécurité arrive bien avant sur wheezy (la stable).
La testing n'est a utiliser que si la sécurité n'est pas quelque chose d'important & urgent pour vous !
De toute façon, dans la plupart des cas il n'y a pas de question a ce poser a ce niveau : il est évident qu'il faut utiliser la stable.
Si vous voulez la dernière version de Firefox ou LibreOffice, VLC... Il y a les backports pour ça.

Dernière modification par Zurg (Le 26/09/2014, à 18:10)

Hors ligne

#103 Le 26/09/2014, à 18:35

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonsoir,
Il faudrait modifier le message du bandeau , ce n'est plus "vient d'être divulguée" mais "a été divulguée le 25 septembre", merci.
Bonne soirée.


Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Hors ligne

#104 Le 26/09/2014, à 19:05

moko138

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

mon /usr/share/.../bash/changelog.gz date de 2013...
"testing" je le lis dans synaptic pour mon paquet bash.

Je n'ai pas de parefeu sur ma box puisque je n'ai pas de box, je passe par des hotspots (sfr et free, selon ce que je capte).

Quant à apache, ssh et cgi... je n'ai rien installé mais je n'ai jamais rien compris aux paquets préinstallés. Je sais que j'ai openssl, comme presque tout le monde.
Et openssh-client et libssh2-1 (me dit synaptic).
J'ai installé depuis longtemps fail2ban, suite à une tentative d'intrusion du temps de 10.04.

dpkg --get-selections *apache*
apache2-bin					install
apache2.2-bin					install
libapache2-mod-dnssd				install
:~$ 
~$ dpkg --get-selections *cgi*
libcupscgi1:amd64				install
:~$

@zurg : Je n'ai pas installé une Debian pure et dure, c'est une Linux Mint Debian Edition,
à laquelle j'ai rajouté hier les backports dans l'espoir que le patch pour bash arriverait plus vite.

Dernière modification par moko138 (Le 26/09/2014, à 19:06)


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#105 Le 26/09/2014, à 20:02

Kieran

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

CM63 a écrit :

Bonjour,

alca94 a écrit :

ceux qui font les màj régulièrement ne seront pas au courant, mais auront un système patché malgré tout, non ?

alors pourquoi avoir créer une alerte et pas simplement envoyer des mises a jour a tout le monde

Parce que les distributions Linux "n'envoient" jamais rien (contrairement à W$) c'est à toi d'aller chercher les updates.
Moi je n'avais pas capté qu'il fallait faire régulièrement des $ apt-get update ;; apt-get upgrade , je croyais que cela se faisait tout seul. Donc pour moi l'alarme en rouge n'a pas été inutile, ou plutôt les échanges de posts qui ont suivi wink

A plus

J'ai reçu cette mise à jour ce matin via le gestionnaire de mise à jour qui s'est mis déclenché automatiquement comme d'habitude, chez moi il est paramétré pour vérifier tous les jours. Donc c'est pas toujours à l'utilisateur d'aller chercher les updates. J'ai quand même lu le message sur le forum parce que c'est en gras et en rouge donc ça semblait important, et bien que la faille était déja corrigée chez moi, j' ai quand même fait le sudo apt-get upgrade (et pourquoi pas update vu que c'est une mise à jour) parce que ça mange pas de pain smile.

bruno a écrit :

Ceux qui ont fait les mises à jour hier peuvent recommencer ce matin puisque le nouveau patch est arrivé dans les paquets bash de Debian et Ubuntu.

Changelog Ubuntu :

SECURITY UPDATE: incomplete fix for CVE-2014-6271
    - debian/patches/CVE-2014-7169.diff: fix logic in bash/parse.y.
    - CVE-2014-7169


@CM23 : il y a moyen d'automatiser les mises à jours sur une distribution GNU/Linux, ou au moins d'être notifié lorsque des mises à jour sont publiés dans les dépôts.

Pour Ubuntu : Tu peux paramétrer le gestionnaire de mise à jour pour qu'il checke tous les jours, tous les deux jours, toutes les semaines, toute les deux semaines ou jamais

Hors ligne

#106 Le 26/09/2014, à 20:24

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@moko138 : la liste des fichiers dans l'archive linux mint me montre aucun paquet récent pour bash : http://debian.linuxmint.com/latest/pool/main/b/bash/
À la limite tu peux installer le paquet ubuntu, ça ne devrait pas faire de différence : http://archive.ubuntu.com/ubuntu/pool/main/b/bash/


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#107 Le 26/09/2014, à 21:42

moko138

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@ nesthib :
De la version bash_4.2-2ubuntu2.2 à la version 4.3.9, il y a onze versions amd64.deb.
Laquelle est adaptée à mon

:~$ uname -a
Linux 3.11-2-amd64 #1 SMP Debian 3.11.8-1 (2013-11-13) x86_64 GNU/Linux
:~$

s'il te plaît ?


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#108 Le 26/09/2014, à 22:23

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonsoir moko.

Tu devrais pouvoir installer celui-ci. Si je me fie au noyau que tu as, les dépendances devraient être les mêmes et tu devrais pouvoir l'installer sans problème.
Edit orthographe.

Dernière modification par yann_001 (Le 27/09/2014, à 00:00)

Hors ligne

#109 Le 26/09/2014, à 23:51

moko138

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Ils ont des yeux et ils ne voient point !

Mais à la fin je me suis aperçu que le bandeau disait explicitement et en grosses lettres rouges :

mise à jour (4.2-2ubuntu2.3 ou 4.3-7ubuntu1.3)

  Du coup :

:~$ sudo dpkg -i bash_4.2-2ubuntu2.3_amd64.deb
dpkg : avertissement : dégradation (« downgrade ») de bash depuis 4.2+dfsg-1 vers 4.2-2ubuntu2.3
# Hein ?! "downgrade" ?
(Lecture de la base de données... 216455 fichiers et répertoires déjà installés.)
Préparation du remplacement de bash 4.2+dfsg-1 (en utilisant bash_4.2-2ubuntu2.3_amd64.deb) ...
Dépaquetage de la mise à jour de bash ...
Paramétrage de bash (4.2-2ubuntu2.3) ...
Installation de la nouvelle version du fichier de configuration /etc/skel/.bashrc ...
Installation de la nouvelle version du fichier de configuration /etc/bash.bashrc ...
update-alternatives: utilisation de « /usr/share/man/man7/bash-builtins.7.gz » pour fournir « /usr/share/man/man7/builtins.7.gz » (builtins.7.gz) en mode automatique
Traitement des actions différées (« triggers ») pour « man-db »...
Traitement des actions différées (« triggers ») pour « menu »...
:~$ 
:~$ sudo dpkg -i bash-doc_4.2-2ubuntu2.3_all.deb
dpkg : avertissement : dégradation (« downgrade ») de bash-doc depuis 4.2+dfsg-1 vers 4.2-2ubuntu2.3
(Lecture de la base de données... 216425 fichiers et répertoires déjà installés.)
Préparation du remplacement de bash-doc 4.2+dfsg-1 (en utilisant bash-doc_4.2-2ubuntu2.3_all.deb) ...
Dépaquetage de la mise à jour de bash-doc ...
Paramétrage de bash-doc (4.2-2ubuntu2.3) ...
Traitement des actions différées (« triggers ») pour « install-info »...
:~$

puis

:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
:~$ 

Quoi qu'il en soit, résultat du test OK :
Merci à tous !

Dernière modification par moko138 (Le 26/09/2014, à 23:52)


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#110 Le 27/09/2014, à 08:15

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

http://fr.falkvinge.net/2013/11/17/la-nsa-a-demande-a-linus-torvalds-dinstaller-des-portes-derobees-dans-gnulinux/ a écrit :

«La NSA a demandé à Linus Torvalds d’insérer secrètement des portes dérobées dans le système d’exploitation libre et ouvert GNU/Linux. Cela a été révélé cette semaine dans une audition sur la surveillance globale au Parlement Européen. Encore un exemple où la NSA américaine essaye de rendre les technologies de l’information moins sûres pour tout le monde.»

«La révélation de Nils Torvalds a été présentée dans une partie qui commence (à 3:06:58) par moi soulignant au représentant de Microsoft, que dans un système comme GNU/Linux, construit sur de l’open-source, vous pouvez examiner le code source pour vérifier qu’il n’y a aucune porte dérobée. Dans les systèmes Microsoft, ce n’est pas une possibilité, puisque le code source est secret.»

Et la vidéo : EP LIBE #EPinquiry 11 November 2013

#111 Le 27/09/2014, à 08:39

CM63

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Linus Torvalds c'est une chose (si j'ose dire) mais les innombrables distributeurs de Linux qui se se prétendent libres en sont une autre. Ils risquent bien, eux, de se laisser impressionner par la NSA, quand on voit que Ubuntu envoie sans vergogne des infos persos à Amazon roll


Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

Hors ligne

#112 Le 27/09/2014, à 08:41

michel_04

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour,

CM63 a écrit :

quand on voit que Ubuntu envoie sans vergogne des infos persos à Amazon roll

Il me semble que ce n'est pas tout à fait ça.

A+

Hors ligne

#113 Le 27/09/2014, à 08:42

Brunod

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

L_d_v_c@ a écrit :

Merci pour la vidéo.
Les Belges n'auront pas manqué de remarquer la grande implication de leur pays dans ces questions !
Lors de la question posée en grande solitude par la dame en rouge, vous remarquerez que le siège à sa droite du belge Louis Michel est et reste désespérément vide... Pas étonnant quand on voit notre politique informatique nationale hmm
BD


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#114 Le 27/09/2014, à 09:03

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

michel_04 a écrit :

Bonjour,

CM63 a écrit :

quand on voit que Ubuntu envoie sans vergogne des infos persos à Amazon roll

Il me semble que ce n'est pas tout à fait ça.

A+

http://www.ubuntu.com/legal/terms-and-p … acy-policy
http://www.ubuntu.com/privacy-policy/third-parties

wink

Sinon, wheezy mise à jour sans difficultés:

bash:
  Installé : 4.2+dfsg-0.1+deb7u3
  Candidat : 4.2+dfsg-0.1+deb7u3

Bonne journée.

#115 Le 27/09/2014, à 09:36

michel_04

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

ignus a écrit :
michel_04 a écrit :

Bonjour,

CM63 a écrit :

quand on voit que Ubuntu envoie sans vergogne des infos persos à Amazon roll

Il me semble que ce n'est pas tout à fait ça.

A+

http://www.ubuntu.com/legal/terms-and-p … acy-policy
http://www.ubuntu.com/privacy-policy/third-parties

Et ?
Je ne vois nulle part que Ubuntu envoie sans vergogne des infos persos à Amazon.

A+

Hors ligne

#116 Le 27/09/2014, à 09:57

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

michel_04 a écrit :

Et ?
Je ne vois nulle part que Ubuntu envoie sans vergogne des infos persos à Amazon.

A+

rms nous met en garde !

http://www.gnu.org/philosophy/ubuntu-spyware.fr.html a écrit :

Un logiciel espion dans Ubuntu ! Que faire ?

Ubuntu, distribution GNU/Linux influente et largement utilisée, a installé du code de surveillance. Lorsque l'utilisateur effectue une recherche dans ses propres fichiers en utilisant le système de recherche d'Ubuntu desktop, Ubuntu envoie cette recherche à l'un des serveurs de Canonical (Canonical étant la société qui développe Ubuntu).

Ubuntu se sert de ces informations sur leurs recherches pour afficher aux utilisateurs des publicités pour des produits vendus par Amazon. Or, Amazon commet beaucoup de méfaits ; en faisant la promotion de cette société, Canonical y contribue. Cependant, les publicités ne sont pas le cœur du problème. Le véritable problème est l'espionnage des utilisateurs. Canonical affirme qu'Amazon ne sait rien de l'origine des recherches. Toutefois, il est tout aussi déplorable de la part de Canonical de collecter vos informations personnelles que cela ne l'aurait été de la part d'Amazon. La surveillance exercée par Ubuntu n'est pas anonyme.

Pendant que vous y êtes, vous pouvez aussi leur dire qu'Ubuntu contient des programmes non libres et suggère l'installation d'autres programmes non libres (voir http://www.gnu.org/distros/common-distros.html). Cela contrecarrera l'autre forme d'influence négative qu'exerce Ubuntu dans la communauté du logiciel libre : la légitimation des logiciels non libres.

En mars 2014, j'ai entendu parler d'un projet de modification d'Ubuntu consistant à supprimer cette antifonctionnalité de surveillance. J'espère que cette modification interviendra effectivement, et vite, car cela va entacher la réputation du logiciel libre. Cependant, il apparaît qu'en Avril 2014, Ubuntu 14.O4 a toujours ce problème.

La présence de logiciel non libre dans Ubuntu pose un problème d'éthique différent. Pour qu'Ubuntu devienne éthique, il faut que cela aussi soit corrigé.

Peut-être ça ?

http://www.ubuntu.com/legal/terms-and-policies/privacy-policy  a écrit :

Searching in the dash

When you enter a search term into the dash Ubuntu will search your Ubuntu computer and will record the search terms locally. Unless you have opted out (see the “Online Search” section below), we will also send your keystrokes as a search term to productsearch.ubuntu.com and selected third parties so that we may complement your search results with online search results from such third parties including: Facebook, Twitter, BBC and Amazon. Canonical and these selected third parties will collect your search terms and use them to provide you with search results while using Ubuntu.

Dernière modification par Compte supprimé (Le 27/09/2014, à 10:04)

#117 Le 27/09/2014, à 10:35

durard

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour !

J'ai 2 ordis sur Ubuntu 14.04 après les mises a jour update et upgrade
l'un me donne mis a jour hier
--------------------------
bash: avertissement : x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test
-------------------------------

et l'autre  mis a jour aujourd’hui

moi@moi-desktop:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
moi@moi-desktop:~$

-------

pourquoi cette différence

apparemment pas de réponse  sur le second

D'avance Merci

Dernière modification par durard (Le 27/09/2014, à 10:41)

#118 Le 27/09/2014, à 10:40

michel_04

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Re,

J'ai lu, comme beaucoup, toute la "littérature" sur le sujet depuis l'apparition de la lens-shopping incriminée.

Sympa RMS, mais il a souvent dans son discours des termes un peu trop "agressifs", amha.
Perso, je n'utilise pas Ubuntu, mais je l'installe et je fais quelques modifications (vie privée, suggestions d'achat, etc...)

A+

Dernière modification par michel_04 (Le 27/09/2014, à 10:41)

Hors ligne

#119 Le 27/09/2014, à 11:02

Floyd Pepper

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Salut
un de mes systèmes est encore sous ubuntu 10.04 (pas version serveur),(je sais, c'est pas bien).
hier il était vulnérable, suite à la maj ce matin, il ne l'est plus.
Il semblerait donc, qu'un correctif soit quand même appliqué à une version "obsolète".


... J'aurais tendance à ne pas utiliser de smilleys.
Le plus tu t'fais chier, le plus t'es emmerdé.

Hors ligne

#120 Le 27/09/2014, à 11:10

jplemoine

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Floyd Pepper a écrit :

Il semblerait donc, qu'un correctif soit quand même appliqué à une version "obsolète".

Ce n'est pas tout à fait ça : c'est la version server qui est mise à jour mais le module (bash) est commun : la version desktop a donc été (au moins en partie) mise à jour sur ce coup-là. Il reste toutefois important d'utiliser une version supportée :
- 10.04 server
- 12.04
- 14.04


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#121 Le 27/09/2014, à 11:16

Floyd Pepper

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

jplemoine a écrit :
Floyd Pepper a écrit :

Il semblerait donc, qu'un correctif soit quand même appliqué à une version "obsolète".

Ce n'est pas tout à fait ça : c'est la version server qui est mise à jour mais le module (bash) est commun : la version desktop a donc été (au moins en partie) mise à jour sur ce coup-là. Il reste toutefois important d'utiliser une version supportée :
- 10.04 server
- 12.04
- 14.04

Floyd Pepper a écrit :

(je sais, c'est pas bien).
.

...


... J'aurais tendance à ne pas utiliser de smilleys.
Le plus tu t'fais chier, le plus t'es emmerdé.

Hors ligne

#122 Le 27/09/2014, à 11:47

nesthib

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

@L_d_v_c@/CM63/michel_04/Brunod/ignus : pas de HS merci, (surtout pour ressortir de vieilles discussions maintes fois débattues) wink


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#123 Le 27/09/2014, à 11:55

Compte supprimé

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Pardon au forum, j'aurais dû répondre à michel_04 en privé, je croyais que la faille bash -c était résolue par mise à jour, histoire ancienne la faille de sécurité bash ?

Dernière modification par Compte supprimé (Le 27/09/2014, à 11:59)

#124 Le 27/09/2014, à 12:06

michel_04

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Re,

L_d_v_c@ a écrit :

Pardon au forum

Pareil. Mes excuses.

A+

Dernière modification par michel_04 (Le 27/09/2014, à 12:06)

Hors ligne

#125 Le 27/09/2014, à 12:22

yann_001

Re : Faille de sécurité dans bash (mis à jour 12/10/2014)

Bonjour.

L_d_v_c@ a écrit :

je croyais que la faille bash -c était résolue par mise à jour, histoire ancienne la faille de sécurité bash ?

Non pas vraiment il y a une nouvelle mise à jour de bash aujourd'hui.
C'est la troisième de la semaine.

bash (4.2-2ubuntu2.5) precise-security; urgency=medium

  * SECURITY UPDATE: out-of-bounds memory access
    - debian/patches/CVE-2014-718x.diff: guard against overflow and fix
      off-by-one in bash/parse.y.
    - CVE-2014-7186
    - CVE-2014-7187
  * SECURITY IMPROVEMENT: use prefixes and suffixes for function exports
    - debian/patches/variables-affix.diff: add prefixes and suffixes in
      bash/variables.c.

Dernière modification par yann_001 (Le 27/09/2014, à 12:24)

Hors ligne