InfoMars.fr

Mettez vos Linux a jour !!!

https://www.google.f...f&q=faille bash

Mettez vos Linux a jour !!!

 

https://www.google.f...f&q=faille bash

En effet, c'est grave ! Merci pour le signal !

Le CERT américain a publié un bulletin d’alerte avec le plus haut niveau de gravité (10 sur leur échelle) soit au même niveau que Heartbleed.

Les distributions basées sur Debian (y compris Ubuntu) disposent déjà d'un "patch" pour la faille Shell Shock de Bourne Again Shell. Encore faut-il que les usagers l'appliquent.

Ici pour une Ubuntu 12.04.

La réponse sur l’usage de cette faille n’aura pas mis longtemps à surgir. Un chercheur en sécurité du nom de Yinette a posté sur Twitter un message indiquant avoir trouvé un premier exploit s’appuyant sur Shell Shock. Le CERT Australien a également annoncé sur son site avoir eu des rapports montrant que la vulnérabilité était déjà exploitée.

Une faille importante affecte l'interpréteur bash de GNU/Linux et Mac OS X (Le Monde Informatique .. 25 septembre 2014)

@+

Mon Mint est concerné, mais pas de mise à jour disponible à cette heure, j'espère que ce ne sera pas long à arriver dans les dépôts.

Sinon, je pense qu'il y a pas mal de désinformaion dans cette histoire,

car des Linux gratuits seraient déjà patchés alors que Mac OS ne l'est pas, lui qui est si cher. Impossible !

Mon Mint est concerné, mais pas de mise à jour disponible à cette heure, j'espère que ce ne sera pas long à arriver dans les dépôts.

 

Sinon, je pense qu'il y a pas mal de désinformaion dans cette histoire,

 

 

car des Linux gratuits seraient déjà patchés alors que Mac OS ne l'est pas, lui qui est si cher. Impossible !

http://www.nextinpac...-rapidement.htm

"les problèmes étaient si sérieux qu’on se demande comment la mise à jour à jour a pu passer le contrôle qualité de Cupertino."

Y'en a t'il encore???

"mais les appareils devenaient incapables de capter les réseaux cellulaires."

C'est pas un peu le but, par définition, d'un téléphone portable???

Faut arrêter avec cette marque...

..

Tiens ! Ça revient !

Auraient-ils raté leur coup chez Ubuntu ?

Les ratées viennent en fait du premier correctif, insuffisant.

DSA-3035-1 bash -- Mise à jour de sécurité (Debian .. 25 septembre 2014)

@+

En tout cas à présent, ils sont bournés !

Jason????  

..

Faille du Bash : les NAS ne sont pas épargnés (Sébastien Gavois .. Next INpact .. 29 septembre 2014)
 

Si de nombreuses machines sous Linux, OS X et Unix sont concernés, les NAS ne sont évidemment pas épargnés. Synology et QNAP ont déjà commencé à communiquer sur le sujet et des correctifs arrivent.

Shellshock: Better 'bash' patches now available (Steven J. Vaughan-Nichols .. ZDNet .. 27 septembre 2014)

Les correctifs sont disponibles. Il est temps pour vous de les appliquer si les mises à jour n'ont pas été faites automatiquement par vos distributions.

Faites le test depuis le shell ''bash'' ..

env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"

.. et suivez les indications fournies.

Ici dans une Robolinux 7.5.6

@+

La semaine dernière, une faille concernant l’interpréteur en ligne de commande Bash surnommée ShellShock a été dévoilée et pourrait avoir de lourdes conséquences. Les experts en sécurité des Laboratoires Antivirus Bitdefender vous expliquent tout ce que vous devez savoir sur cette faille et que faire si vous êtes impacté(e).

Quel est le degré de gravité de ShellShock ?

En principe, tout système qui utilise Bash est vulnérable notamment les serveurs Web sous Linux (ce qui inclut le contenu Web hébergé sur ces serveurs), les appareils sous Linux, Mac OS, les routeurs et objets connectés, voire les appareils sous Windows sur lesquels Bash aurait été installé.

« La faille dans Bash, exploitée correctement, permet d’accéder à des informations confidentielles, de les modifier, voire de rendre inopérant le service, » détaille Bogdan Botezatu, analyste des e-menaces chez Bitdefender.

…Mais cela n’égale pas Heartbleed

Aussi affolante qu’elle puisse paraître, la faille ShellShock est à relativiser, selon Bogdan Botezatu.

« Bien que l’impact puisse être important, la faille ressemble plus à un « mini-Heartbleed » puisque l’exploitation se fait dans des scénarios bien précis. Les pirates ne peuvent cibler que les serveurs qui exécutent des scripts CGI et des variables d’environnement, tandis que dans le cas de Heartbleed, ils pouvaient plus facilement interagir avec le serveur. »

Plus d'infos : http://www.bitdefend...ernet-1501.html

Aussi affolante qu’elle puisse paraître, la faille ShellShock est à relativiser, selon Bogdan Botezatu.

« Bien que l’impact puisse être important, la faille ressemble plus à un « mini-Heartbleed » puisque l’exploitation se fait dans des scénarios bien précis. Les pirates ne peuvent cibler que les serveurs qui exécutent des scripts CGI et des variables d’environnement, tandis que dans le cas de Heartbleed, ils pouvaient plus facilement interagir avec le serveur. »

Ce n'est pas l'avis de tout le monde ..

Faille Shellshock dans Bash : pourquoi la tempête est loin d’être terminée (Reynald Fléchaux .. Silicon .. 03 octobre 2014)

La faille Shellshock, liée à Bash, outil présent dans de multiples OS dont Linux, était déjà sévère. Mais ce sont en fait six failles différentes de l’interpréteur de commandes qu’il faut combler. D’où une certaine confusion dans la riposte qui s’organise.

Sans oublier quelques mauvaises surprises, comme la vulnérabilité d’OpenVPN, package logiciel Open Source permettant de créer des réseaux privés virtuels… lui-même embarqué dans nombre d’autres systèmes.

@+

..

Ici, une copie d'écran du test présenté -> ICI <- après les correctifs successifs d'Ubuntu.

Pour ce qui est des NAS, les correctifs se mettent en place progressivement ..

.. QTS 4.1.1 de QNAP : un patch pour corriger les nouvelles failles du Bash (Sébastien Gavois .. Next INpact .. 02.10.2014)

.. DSM 4.3 et 5.x : Synology corrige la faille Shellshock, mais de manière partielle (Sébastien Gavois .. Next INpact .. 02.10.2014)

@+

Même résultat sur Debian 7.6 depuis les mises à jour.

Est-ce pour autant que nous sommes à l’abri? Je n'ai plus l'article, mais je pense qu'ils ont continué à découvrir d'autres failles après celle-là.

Ceci-dit, il semble que derrière ça réagi assez vite, et c'est tant mieux.

Est-ce pour autant que nous sommes à l’abri? Je n'ai plus l'article, mais je pense qu'ils ont continué à découvrir d'autres failles après celle-là.

Ceci-dit, il semble que derrière ça réagi assez vite, et c'est tant mieux.

Pour ce qui est d'autres failles, il y avait un article intéressant ..

Faille Shellshock dans Bash : pourquoi la tempête est loin d’être terminée (Reynald Fléchaux .. Silicon .. 03 octobre 2014)

D'autre part, la réactivité de la communauté Linux se confirme. En une dizaine de jours les distributions les plus en vue ont apporté les premiers correctifs alors même que cette zone du système n'était plus étudiée depuis longtemps. En pareil cas, il aurait sansdoute fallu des mois à Microsoft pour "patcher" ses Windows.

Cette faille a déjà profité à des hackers ..

Bash / Shellshock : des serveurs de Yahoo piratés (Guillaume Champeau .. Numerama .. 06 cctobre 2014)

Un ancien hacker "black hat", aujourd'hui repenti, a découvert que des hackers roumains avaient accédé à des serveurs de Yahoo en exploitant les failles "shellshock" découvertes dans le shell Bash.

@+

..

Avec Ubuntu, nous en sommes à la quatrième tentative de combler la faille ..

Avec Debian - RoboLinux, la taille du correctif est supérieure.

Résultat pour Debian - Robolinux 7.5.6 ..

Tout va bien ..

If the command returns errors about a function definition attempt, then the system is not vulnerable to the exploit.
$ env ‘x=() { :;}; echo vulnerable’ ‘BASH_FUNC_x()=() { :;}; echo vulnerable’ bash -c “echo test”
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for ‘x’
bash: error importing function definition for ‘BASH_FUNC_x()’
test

Où est l'erreur chez Ubuntu  ?

@+

..

Dans la copie d'écran concernant Debian - Robolinux (ci-dessus), il y a eu une petite erreur. La taille du correctif de "bash" n'était que de 1,21 Mo au moment de son l'application, la même taille que pour celui de Arch - Manjaro (ci-dessous).

Pour la Manjaro, tout va bien !

Quelqu'un a-t-il appliqué ce genre de mise à jour sur une Ubuntu ou dérivée (Mint etc.) ?

@+