Discussion :

[agodfrin]

Tu penses bien...Faire un patch ça coûte de l'argent et ça réduit les dividendes des actionnaires à la fin du mois.

J'ai connu ça dans d'autres grandes entreprises...

Sur ce coup-ci, ne pas faire de patch - ou le faire avec retard - est mauvais pour l'image de marque d'Apple, surtout après la mauvaise image sur la sécurité après le coup de l'icloudgate et des photos piratées. J'aurai supposé que l'annonce de cette faille de sécurité aurait mobilisé au plus haut niveau.

C'est vrai que faire un patch coûte. Mais ici, le problème a été rectifié dans la plupart des versions de bash tout de suite après sa découverte. Donc pour Apple, il s'agit de faire un build de la version corrigée de bash, de le packager sous forme de patch et de le diffuser sur le mac app store sur lequel tous les machines sous OS X vont automatiquement piocher leurs mises à jour.

Pour moi, il est bien moins cher de faire ce patch que de voir son image de marque encore une fois écornée ...

[kOrt3x]

Apple vient de mettre à disposition des correctifs pour OS X :

OS X bash Update 1.0 - OS X Lion
OS X bash Update 1.0 – OS X Mountain Lion
OS X bash Update 1.0 – OS X Mavericks

Apparemment, pas de mises à jour pour les versions antérieurs à 10.7 et pas de correctif pour la prochaine version de OS X Yosemite, elle serait directement intégrée.

[marsupial]

En 22 ans, la faille n'a pas été découverte, officiellement. Patchée en moins de 24h.
Des failles connues, remontées chez d'autres OS depuis leur origine ne sont toujours pas patchées... et leur support est abandonné sans que la faille soit jamais patchée... laissant la DSI se débrouiller ( poliment ) avec le bébé né avec une cuillère en argent dans la bouche.

Au niveau de la qualité, c'est déjà incomparable ( cf. un écran de pub qui a ostensiblement affiché BSOD en 6x3 pendant un mois, au moins, de vacances ), mais alors niveau réactivité, heureusement que certain n'ont pas la charge du réseau mondial. Et j'espère bien ne l'auront jamais.

A bon entendeur,

PS : faire défiler des écrans de pub, je veux dire, sans planter, ils savent faire ? Ou est-ce trop demander à XP ?

[iorireda3]

Bonjour,

Quelqu'un peut nous faire une démonstration ? un vrai, du genre j'attaque un site et je suis capable de prendre la main sur le serveur qui héberge le site.

Parler pour parler ou dénigrer les autres systemes c'est facile, mais pour le prouver je pense qu'il y que des phrases qui font peur au gens.

Ne serait-ce pas un debut de pub pour les anti-virus sur les Linux ?

J'ai confiance en Bash et à mon LINUX/UNIX quoi qu'il arrive.

Merci

[iorireda3]

Bonjour

Croyez moi que sur un shell normal (sh) la ligne de cmd donne le même resultat !

Nous n'allons pas retirer tous les shell quand même ! on travaillera comment sinon ? avec quel environnement ?

Merci

[rt15]

Bonjour

Croyez moi que sur un shell normal (sh) la ligne de cmd donne le même resultat !

Nous n'allons pas retirer tous les shell quand même ! on travaillera comment sinon ? avec quel environnement ?

Merci

Attention, il est probable que sur pas mal de Linux, sh n'est rien qu'un lien symbolique vers bash :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
ls -l /bin/sh
lrwxrwxrwx  1 root root 4 Feb 19  2014 /bin/sh -> bash

Et non, ce n'est a priori pas une pub pour les anti-virus mais une vraie faille, et même une faille très facile à exploitée par rapport au cas habituel où il faut un shell code.
Cela étant comme déjà dit, elle affecte en gros que les serveurs avec bash utilisé pour exécuter des scripts cgi (En gros car il y a d'autres cas, mais plus rares j'imagine.). Donc pas le PC de tante Janine. Cela étant tante Janine est généralement sous Windows.

Regarde sur internet, il y a des exemples vraiment simple d'exploitation.
Après pour trouver un serveur vulnérable, c'est plus compliqué. Faut trouver un serveur avec des scripts cgi et je sais pas trop si ça cours les rues de nos jours.

Visiblement les pirates testent l'existence de fichier cgi sur les serveurs à partir de listes fixes genre :
/cgi-sys/entropysearch.cgi
/cgi-sys/defaultwebpage.cgi
/cgi-mod/index.cgi
/cgi-bin/test.cgi
/cgi-bin-sdb/printenv

[elssar]

Attention, il est probable que sur pas mal de Linux, sh n'est rien qu'un lien symbolique vers bash :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
ls -l /bin/sh
lrwxrwxrwx  1 root root 4 Feb 19  2014 /bin/sh -> bash

Et non, ce n'est a priori pas une pub pour les anti-virus mais une vraie faille, et même une faille très facile à exploitée par rapport au cas habituel où il faut un shell code.
Cela étant comme déjà dit, elle affecte en gros que les serveurs avec bash utilisé pour exécuter des scripts cgi (En gros car il y a d'autres cas, mais plus rares j'imagine.). Donc pas le PC de tante Janine. Cela étant tante Janine est généralement sous Windows.

Regarde sur internet, il y a des exemples vraiment simple d'exploitation.
Après pour trouver un serveur vulnérable, c'est plus compliqué. Faut trouver un serveur avec des scripts cgi et je sais pas trop si ça cours les rues de nos jours.

Visiblement les pirates testent l'existence de fichier cgi sur les serveurs à partir de listes fixes genre :
/cgi-sys/entropysearch.cgi
/cgi-sys/defaultwebpage.cgi
/cgi-mod/index.cgi
/cgi-bin/test.cgi
/cgi-bin-sdb/printenv

Si si il y a encore pas mal de serveurs utilisant des scripts CGI. Après ça concerne souvent des serveurs de PME, ou des trucs perso.
Pour ma part, nous n'en utilisons pas, mais par sécurité j'ai maj.

Quant aux anti-virus sur linux j'ai pas très bien compris
On parle d'une faille sur des serveurs utilisant une distrib linux, on protège pas ça avec un anti-virus hein

[abel.cain]

Bref tu peux l'attraper en surfant

comment?

[abel.cain]

J'ai aussi un peu de mal à comprendre comment cette faille peut être si catastrophique?! Je comprends bien que d'anciens systèmes ont la failles et ne seront plus mis-à-jour, mais encore faut il pouvoir exploiter la faille! Si je comprends bien, il faut avoir l'autorité de lancer une commande bash pour exécuter le code.

Non, il faut qu'un processus invoque bash.

Sur un réseau protégé (par un firewall par exemple), comment un pirate peut il l'exploiter?

La question n'est pas "est-ce qu'il y a un pare-feu?" mais "est-ce qu'il y a des serveurs réseaux à l'écoute que je peux contacter?"