Mettez vos Linux a jour !!!
https://www.google.f...f&q=faille bash
Posté 25 septembre 2014 - 15:15
En effet, c'est grave ! Merci pour le signal !
Le CERT américain a publié un bulletin d’alerte avec le plus haut niveau de gravité (10 sur leur échelle) soit au même niveau que Heartbleed.
Les distributions basées sur Debian (y compris Ubuntu) disposent déjà d'un "patch" pour la faille Shell Shock de Bourne Again Shell. Encore faut-il que les usagers l'appliquent.
Ici pour une Ubuntu 12.04.
La réponse sur l’usage de cette faille n’aura pas mis longtemps à surgir. Un chercheur en sécurité du nom de Yinette a posté sur Twitter un message indiquant avoir trouvé un premier exploit s’appuyant sur Shell Shock. Le CERT Australien a également annoncé sur son site avoir eu des rapports montrant que la vulnérabilité était déjà exploitée.
Une faille importante affecte l'interpréteur bash de GNU/Linux et Mac OS X (Le Monde Informatique .. 25 septembre 2014)
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 26 septembre 2014 - 06:36
Mon Mint est concerné, mais pas de mise à jour disponible à cette heure, j'espère que ce ne sera pas long à arriver dans les dépôts.
Sinon, je pense qu'il y a pas mal de désinformaion dans cette histoire,
car des Linux gratuits seraient déjà patchés alors que Mac OS ne l'est pas, lui qui est si cher. Impossible !
Posté 26 septembre 2014 - 16:26
Mon Mint est concerné, mais pas de mise à jour disponible à cette heure, j'espère que ce ne sera pas long à arriver dans les dépôts.
Sinon, je pense qu'il y a pas mal de désinformaion dans cette histoire,
car des Linux gratuits seraient déjà patchés alors que Mac OS ne l'est pas, lui qui est si cher. Impossible !
http://www.nextinpac...-rapidement.htm
"les problèmes étaient si sérieux qu’on se demande comment la mise à jour à jour a pu passer le contrôle qualité de Cupertino."
Y'en a t'il encore???
"mais les appareils devenaient incapables de capter les réseaux cellulaires."
C'est pas un peu le but, par définition, d'un téléphone portable???
Faut arrêter avec cette marque...
Posté 28 septembre 2014 - 01:04
..
Tiens ! Ça revient !
Auraient-ils raté leur coup chez Ubuntu ?
Les ratées viennent en fait du premier correctif, insuffisant.
DSA-3035-1 bash -- Mise à jour de sécurité (Debian .. 25 septembre 2014)
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 28 septembre 2014 - 07:26
Posté 28 septembre 2014 - 10:02
En tout cas à présent, ils sont bournés !
Jason????
Posté 29 septembre 2014 - 08:40
..
Faille du Bash : les NAS ne sont pas épargnés (Sébastien Gavois .. Next INpact .. 29 septembre 2014)
Si de nombreuses machines sous Linux, OS X et Unix sont concernés, les NAS ne sont évidemment pas épargnés. Synology et QNAP ont déjà commencé à communiquer sur le sujet et des correctifs arrivent.
Shellshock: Better 'bash' patches now available (Steven J. Vaughan-Nichols .. ZDNet .. 27 septembre 2014)
Les correctifs sont disponibles. Il est temps pour vous de les appliquer si les mises à jour n'ont pas été faites automatiquement par vos distributions.
Faites le test depuis le shell ''bash'' ..
env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"
.. et suivez les indications fournies.
Ici dans une Robolinux 7.5.6
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 30 septembre 2014 - 08:17
La semaine dernière, une faille concernant l’interpréteur en ligne de commande Bash surnommée ShellShock a été dévoilée et pourrait avoir de lourdes conséquences. Les experts en sécurité des Laboratoires Antivirus Bitdefender vous expliquent tout ce que vous devez savoir sur cette faille et que faire si vous êtes impacté(e).
Quel est le degré de gravité de ShellShock ?
En principe, tout système qui utilise Bash est vulnérable notamment les serveurs Web sous Linux (ce qui inclut le contenu Web hébergé sur ces serveurs), les appareils sous Linux, Mac OS, les routeurs et objets connectés, voire les appareils sous Windows sur lesquels Bash aurait été installé.
« La faille dans Bash, exploitée correctement, permet d’accéder à des informations confidentielles, de les modifier, voire de rendre inopérant le service, » détaille Bogdan Botezatu, analyste des e-menaces chez Bitdefender.
…Mais cela n’égale pas Heartbleed
Aussi affolante qu’elle puisse paraître, la faille ShellShock est à relativiser, selon Bogdan Botezatu.
« Bien que l’impact puisse être important, la faille ressemble plus à un « mini-Heartbleed » puisque l’exploitation se fait dans des scénarios bien précis. Les pirates ne peuvent cibler que les serveurs qui exécutent des scripts CGI et des variables d’environnement, tandis que dans le cas de Heartbleed, ils pouvaient plus facilement interagir avec le serveur. »
Plus d'infos : http://www.bitdefend...ernet-1501.html
Posté 03 octobre 2014 - 08:01
Aussi affolante qu’elle puisse paraître, la faille ShellShock est à relativiser, selon Bogdan Botezatu.
« Bien que l’impact puisse être important, la faille ressemble plus à un « mini-Heartbleed » puisque l’exploitation se fait dans des scénarios bien précis. Les pirates ne peuvent cibler que les serveurs qui exécutent des scripts CGI et des variables d’environnement, tandis que dans le cas de Heartbleed, ils pouvaient plus facilement interagir avec le serveur. »
Ce n'est pas l'avis de tout le monde ..
Faille Shellshock dans Bash : pourquoi la tempête est loin d’être terminée (Reynald Fléchaux .. Silicon .. 03 octobre 2014)
La faille Shellshock, liée à Bash, outil présent dans de multiples OS dont Linux, était déjà sévère. Mais ce sont en fait six failles différentes de l’interpréteur de commandes qu’il faut combler. D’où une certaine confusion dans la riposte qui s’organise.
Sans oublier quelques mauvaises surprises, comme la vulnérabilité d’OpenVPN, package logiciel Open Source permettant de créer des réseaux privés virtuels… lui-même embarqué dans nombre d’autres systèmes.
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 06 octobre 2014 - 19:06
..
Ici, une copie d'écran du test présenté -> ICI <- après les correctifs successifs d'Ubuntu.
Pour ce qui est des NAS, les correctifs se mettent en place progressivement ..
.. QTS 4.1.1 de QNAP : un patch pour corriger les nouvelles failles du Bash (Sébastien Gavois .. Next INpact .. 02.10.2014)
.. DSM 4.3 et 5.x : Synology corrige la faille Shellshock, mais de manière partielle (Sébastien Gavois .. Next INpact .. 02.10.2014)
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 06 octobre 2014 - 19:59
Même résultat sur Debian 7.6 depuis les mises à jour.
Est-ce pour autant que nous sommes à l’abri? Je n'ai plus l'article, mais je pense qu'ils ont continué à découvrir d'autres failles après celle-là.
Ceci-dit, il semble que derrière ça réagi assez vite, et c'est tant mieux.
"Ils ne savaient pas que c'était impossible, alors ils l'ont fait."
Mark Twain
Posté 07 octobre 2014 - 06:09
Est-ce pour autant que nous sommes à l’abri? Je n'ai plus l'article, mais je pense qu'ils ont continué à découvrir d'autres failles après celle-là.
Ceci-dit, il semble que derrière ça réagi assez vite, et c'est tant mieux.
Pour ce qui est d'autres failles, il y avait un article intéressant ..
Faille Shellshock dans Bash : pourquoi la tempête est loin d’être terminée (Reynald Fléchaux .. Silicon .. 03 octobre 2014)
D'autre part, la réactivité de la communauté Linux se confirme. En une dizaine de jours les distributions les plus en vue ont apporté les premiers correctifs alors même que cette zone du système n'était plus étudiée depuis longtemps. En pareil cas, il aurait sansdoute fallu des mois à Microsoft pour "patcher" ses Windows.
Cette faille a déjà profité à des hackers ..
Bash / Shellshock : des serveurs de Yahoo piratés (Guillaume Champeau .. Numerama .. 06 cctobre 2014)
Un ancien hacker "black hat", aujourd'hui repenti, a découvert que des hackers roumains avaient accédé à des serveurs de Yahoo en exploitant les failles "shellshock" découvertes dans le shell Bash.
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 10 octobre 2014 - 14:26
..
Avec Ubuntu, nous en sommes à la quatrième tentative de combler la faille ..
Avec Debian - RoboLinux, la taille du correctif est supérieure.
Résultat pour Debian - Robolinux 7.5.6 ..
Tout va bien ..
If the command returns errors about a function definition attempt, then the system is not vulnerable to the exploit.
$ env ‘x=() { :;}; echo vulnerable’ ‘BASH_FUNC_x()=() { :;}; echo vulnerable’ bash -c “echo test”
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for ‘x’
bash: error importing function definition for ‘BASH_FUNC_x()’
test
Où est l'erreur chez Ubuntu ?
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 16 octobre 2014 - 10:43
..
Dans la copie d'écran concernant Debian - Robolinux (ci-dessus), il y a eu une petite erreur. La taille du correctif de "bash" n'était que de 1,21 Mo au moment de son l'application, la même taille que pour celui de Arch - Manjaro (ci-dessous).
Pour la Manjaro, tout va bien !
Quelqu'un a-t-il appliqué ce genre de mise à jour sur une Ubuntu ou dérivée (Mint etc.) ?
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)