Aller au contenu


Alerte ! faille BASH

shellshock bash bug bourne-again shell faille sécurité Linux Unix Mac OS X

  • Vous ne pouvez pas répondre à ce sujet
14 replies to this topic

#1 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 25 septembre 2014 - 12:38

Mettez vos Linux a jour !!! :)

 

https://www.google.f...f&q=faille bash

 

gnu-bash.png



#2 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 25 septembre 2014 - 15:15



Mettez vos Linux a jour !!! :)

 

https://www.google.f...f&q=faille bash

En effet, c'est grave ! Merci pour le signal !

 

Le CERT américain a publié un bulletin d’alerte avec le plus haut niveau de gravité (10 sur leur échelle) soit au même niveau que Heartbleed.

 

Les distributions basées sur Debian (y compris Ubuntu) disposent déjà d'un "patch" pour la faille Shell Shock de Bourne Again Shell. Encore faut-il que les usagers l'appliquent.

Ici pour une Ubuntu 12.04.

gnu-bourne-again-shell.png

 

La réponse sur l’usage de cette faille n’aura pas mis longtemps à surgir. Un chercheur en sécurité du nom de Yinette a posté sur Twitter un message indiquant avoir trouvé un premier exploit s’appuyant sur Shell Shock. Le CERT Australien a également annoncé sur son site avoir eu des rapports montrant que la vulnérabilité était déjà exploitée.

 

Une faille importante affecte l'interpréteur bash de GNU/Linux et Mac OS X (Le Monde Informatique .. 25 septembre 2014)

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#3 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 26 septembre 2014 - 06:36

Mon Mint est concerné, mais pas de mise à jour disponible à cette heure, j'espère que ce ne sera pas long à arriver dans les dépôts.

 

Sinon, je pense qu'il y a pas mal de désinformaion dans cette histoire,

 

 

car des Linux gratuits seraient déjà patchés alors que Mac OS ne l'est pas, lui qui est si cher. Impossible ! :D



#4 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 26 septembre 2014 - 16:26

Mon Mint est concerné, mais pas de mise à jour disponible à cette heure, j'espère que ce ne sera pas long à arriver dans les dépôts.

 

Sinon, je pense qu'il y a pas mal de désinformaion dans cette histoire,

 

 

car des Linux gratuits seraient déjà patchés alors que Mac OS ne l'est pas, lui qui est si cher. Impossible ! :D

:transpi:

 

http://www.nextinpac...-rapidement.htm

 

"les problèmes étaient si sérieux qu’on se demande comment la mise à jour à jour a pu passer le contrôle qualité de Cupertino."

 

Y'en a t'il encore??? :D

 

"mais les appareils devenaient incapables de capter les réseaux cellulaires."

 

C'est pas un peu le but, par définition, d'un téléphone portable???

 

Faut arrêter avec cette marque...

 

Apple-iphone5-pomme-poire.jpg



#5 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 28 septembre 2014 - 01:04

..

 

Tiens ! Ça revient !

gnu-bourne-again-shell-2014.png

Auraient-ils raté leur coup chez Ubuntu ?

 

Les ratées viennent en fait du premier correctif, insuffisant.

DSA-3035-1 bash -- Mise à jour de sécurité (Debian .. 25 septembre 2014)

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#6 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 28 septembre 2014 - 07:26

En tout cas à présent, ils sont bournés ! :transpi:

#7 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 28 septembre 2014 - 10:02

En tout cas à présent, ils sont bournés ! :transpi:

Jason???? :run: :run: :run: :run:  :dejadehors:



#8 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 29 septembre 2014 - 08:40

..

 

Faille du Bash : les NAS ne sont pas épargnés (Sébastien Gavois .. Next INpact .. 29 septembre 2014)
 

Si de nombreuses machines sous Linux, OS X et Unix sont concernés, les NAS ne sont évidemment pas épargnés. Synology et QNAP ont déjà commencé à communiquer sur le sujet et des correctifs arrivent.

 

Shellshock: Better 'bash' patches now available (Steven J. Vaughan-Nichols .. ZDNet .. 27 septembre 2014)

Les correctifs sont disponibles. Il est temps pour vous de les appliquer si les mises à jour n'ont pas été faites automatiquement par vos distributions.

Faites le test depuis le shell ''bash'' ..

env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"

.. et suivez les indications fournies.

Ici dans une Robolinux 7.5.6

bash-func-02.png

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#9 David de Bitdefender

David de Bitdefender

    Touriste Martien

  • Eminence Verte
  • PipPipPipPipPip
  • 220 Messages :
  • Gender:Male

Posté 30 septembre 2014 - 08:17

La semaine dernière, une faille concernant l’interpréteur en ligne de commande Bash surnommée ShellShock a été dévoilée et pourrait avoir de lourdes conséquences. Les experts en sécurité des Laboratoires Antivirus Bitdefender vous expliquent tout ce que vous devez savoir sur cette faille et que faire si vous êtes impacté(e).

Quel est le degré de gravité de ShellShock ?

En principe, tout système qui utilise Bash est vulnérable notamment les serveurs Web sous Linux (ce qui inclut le contenu Web hébergé sur ces serveurs), les appareils sous Linux, Mac OS, les routeurs et objets connectés, voire les appareils sous Windows sur lesquels Bash aurait été installé.

« La faille dans Bash, exploitée correctement, permet d’accéder à des informations confidentielles, de les modifier, voire de rendre inopérant le service, » détaille Bogdan Botezatu, analyste des e-menaces chez Bitdefender.

…Mais cela n’égale pas Heartbleed

Aussi affolante qu’elle puisse paraître, la faille ShellShock est à relativiser, selon Bogdan Botezatu.

« Bien que l’impact puisse être important, la faille ressemble plus à un « mini-Heartbleed » puisque l’exploitation se fait dans des scénarios bien précis. Les pirates ne peuvent cibler que les serveurs qui exécutent des scripts CGI et des variables d’environnement, tandis que dans le cas de Heartbleed, ils pouvaient plus facilement interagir avec le serveur. »

 

Plus d'infos : http://www.bitdefend...ernet-1501.html



#10 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 03 octobre 2014 - 08:01

Aussi affolante qu’elle puisse paraître, la faille ShellShock est à relativiser, selon Bogdan Botezatu.

« Bien que l’impact puisse être important, la faille ressemble plus à un « mini-Heartbleed » puisque l’exploitation se fait dans des scénarios bien précis. Les pirates ne peuvent cibler que les serveurs qui exécutent des scripts CGI et des variables d’environnement, tandis que dans le cas de Heartbleed, ils pouvaient plus facilement interagir avec le serveur. »

Ce n'est pas l'avis de tout le monde ..

 

Faille Shellshock dans Bash : pourquoi la tempête est loin d’être terminée (Reynald Fléchaux .. Silicon .. 03 octobre 2014)


La faille Shellshock, liée à Bash, outil présent dans de multiples OS dont Linux, était déjà sévère. Mais ce sont en fait six failles différentes de l’interpréteur de commandes qu’il faut combler. D’où une certaine confusion dans la riposte qui s’organise.
Sans oublier quelques mauvaises surprises, comme la vulnérabilité d’OpenVPN, package logiciel Open Source permettant de créer des réseaux privés virtuels… lui-même embarqué dans nombre d’autres systèmes.

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#11 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 06 octobre 2014 - 19:06

..

 

Ici, une copie d'écran du test présenté -> ICI <- après les correctifs successifs d'Ubuntu.

bash-func-ubuntu-after-patch.png

 

Pour ce qui est des NAS, les correctifs se mettent en place progressivement ..

.. QTS 4.1.1 de QNAP : un patch pour corriger les nouvelles failles du Bash (Sébastien Gavois .. Next INpact .. 02.10.2014)

.. DSM 4.3 et 5.x : Synology corrige la faille Shellshock, mais de manière partielle (Sébastien Gavois .. Next INpact .. 02.10.2014)

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#12 Darksky

Darksky

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 212 Messages :
  • Gender:Male
  • Location:Belgique

Posté 06 octobre 2014 - 19:59

Même résultat sur Debian 7.6 depuis les mises à jour.

 

Est-ce pour autant que nous sommes à l’abri? Je n'ai plus l'article, mais je pense qu'ils ont continué à découvrir d'autres failles après celle-là.

Ceci-dit, il semble que derrière ça réagi assez vite, et c'est tant mieux.


"Ils ne savaient pas que c'était impossible, alors ils l'ont fait."

Mark Twain


#13 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 07 octobre 2014 - 06:09

Est-ce pour autant que nous sommes à l’abri? Je n'ai plus l'article, mais je pense qu'ils ont continué à découvrir d'autres failles après celle-là.

Ceci-dit, il semble que derrière ça réagi assez vite, et c'est tant mieux.

Pour ce qui est d'autres failles, il y avait un article intéressant ..

 

D'autre part, la réactivité de la communauté Linux se confirme. En une dizaine de jours les distributions les plus en vue ont apporté les premiers correctifs alors même que cette zone du système n'était plus étudiée depuis longtemps. En pareil cas, il aurait sansdoute fallu des mois à Microsoft pour "patcher" ses Windows.

 

Cette faille a déjà profité à des hackers ..

Bash / Shellshock : des serveurs de Yahoo piratés (Guillaume Champeau .. Numerama .. 06 cctobre 2014)

Un ancien hacker "black hat", aujourd'hui repenti, a découvert que des hackers roumains avaient accédé à des serveurs de Yahoo en exploitant les failles "shellshock" découvertes dans le shell Bash.

 

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#14 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 10 octobre 2014 - 14:26

..

 

Avec Ubuntu, nous en sommes à la quatrième tentative de combler la faille ..

gnu-bourne-again-shell-2014_1.png

 

Avec Debian - RoboLinux, la taille du correctif est supérieure.

rl-updates-2014.png

 

 

Résultat pour Debian - Robolinux 7.5.6 ..

bash-rl-2014.png

Tout va bien ..

If the command returns errors about a function definition attempt, then the system is not vulnerable to the exploit.
$ env ‘x=() { :;}; echo vulnerable’ ‘BASH_FUNC_x()=() { :;}; echo vulnerable’ bash -c “echo test”
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for ‘x’
bash: error importing function definition for ‘BASH_FUNC_x()’
test

 

Où est l'erreur chez Ubuntu  ?

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#15 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 16 octobre 2014 - 10:43

..

 

Dans la copie d'écran concernant Debian - Robolinux (ci-dessus), il y a eu une petite erreur. La taille du correctif de "bash" n'était que de 1,21 Mo au moment de son l'application, la même taille que pour celui de Arch - Manjaro (ci-dessous).

 

m-ssd60-updates-2014.png

 

 

Pour la Manjaro, tout va bien !

m-ssd60-updates-2014_1.png

 

 

Quelqu'un a-t-il appliqué ce genre de mise à jour sur une Ubuntu ou dérivée (Mint etc.) ?

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)




1 utilisateur(s) en train de lire ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)