IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Linux et Unix affectés par une faille critique dans Bash


Sujet :

Sécurité

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Inactif  
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    Novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : Novembre 2014
    Messages : 82
    Par défaut
    Citation Envoyé par xarkam Voir le message
    Sur ubuntu server www-data est positionné comme tel:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
    Ce qui n'a pas le moindre rapport avec les failles "Shellshock".

  2. #2
    Membre très actif
    Profil pro
    Inscrit en
    Octobre 2007
    Messages
    299
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2007
    Messages : 299
    Par défaut
    Sur un serveur RedHat 5.11 avec mise à jour automatique :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
     ~]$ bash -version
    GNU bash, version 3.2.25(1)-release (x86_64-redhat-linux-gnu)
    Copyright (C) 2005 Free Software Foundation, Inc.
     ~]$ env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
    busted
    completed
     ~]$ env X="() { :;} ; echo busted" `which bash` -c "echo completed"
    busted                                                                                                                                        
    completed
    Après la mise à jour du bash avec à la commande "yum update bash"
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    ~]$ bash -version
    GNU bash, version 3.2.25(1)-release (x86_64-redhat-linux-gnu)
    Copyright (C) 2005 Free Software Foundation, Inc.
    ~]# env X="() { :;} ; echo busted" `which bash` -c "echo completed"  
    /bin/bash: warning: X: ignoring function definition attempt
    /bin/bash: error importing function definition for `X'
    completed
    ]# env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
    /bin/sh: warning: X: ignoring function definition attempt
    /bin/sh: error importing function definition for `X'
    completed
    Apparemment ce n'est pas nécessairement un problème de version mais de correctif.

  3. #3
    Membre actif
    Homme Profil pro
    Inscrit en
    Mars 2010
    Messages
    60
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Mars 2010
    Messages : 60
    Par défaut
    C'est bien, cela va conforter la disparition programmée de ce shell quoique fortement méprisable, que j'ai remplacé voilà longtemps par zsh, éminemment supérieur au pénultième ...

  4. #4
    Membre averti
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Juillet 2011
    Messages
    31
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Juillet 2011
    Messages : 31
    Par défaut
    Testé sur mon Thomson TO7-70 tout va bien, ma machine ne semble pas être concernée

  5. #5
    Membre extrêmement actif Avatar de mapmip
    Profil pro
    ulla
    Inscrit en
    Juillet 2006
    Messages
    1 326
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : ulla

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 326
    Par défaut comment appliquer le patch
    question de noob,
    comment appliquer ce patch :
    http://lists.gnu.org/archive/html/bu.../msg00083.html
    Merci d'avance

  6. #6
    Membre éclairé
    Homme Profil pro
    Consultant informatique
    Inscrit en
    Octobre 2005
    Messages
    244
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Philippines

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2005
    Messages : 244
    Par défaut
    Citation Envoyé par mapmip Voir le message
    question de noob,
    comment appliquer ce patch :
    http://lists.gnu.org/archive/html/bu.../msg00083.html
    Merci d'avance
    En fonction de ta machine, globalement les paquets avec le fix sont déjà dans les repositories, genre pour une debian
    un simple "apt-get install bash" devrait résoudre le probleme. Enfin, pour repondre a un 'noob' (par un autre noob), je ne m'aventurerais pas a recompiler le bash avec un patch...

    C'est comme recompiler ssh-deamon à distance, tu risque de perdre les acces à ta machine

    Sinon http://jungels.net/articles/diff-patch-ten-minutes.html

    ./configure && make && make install

    etc... Mais je recommande pas

  7. #7
    Membre extrêmement actif Avatar de mapmip
    Profil pro
    ulla
    Inscrit en
    Juillet 2006
    Messages
    1 326
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : ulla

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 326
    Par défaut
    Citation Envoyé par anykeyh Voir le message
    En fonction de ta machine, globalement les paquets avec le fix sont déjà dans les repositories, genre pour une debian
    un simple "apt-get install bash" devrait résoudre le probleme. Enfin, pour repondre a un 'noob' (par un autre noob), je ne m'aventurerais pas a recompiler le bash avec un patch...

    C'est comme recompiler ssh-deamon à distance, tu risque de perdre les acces à ta machine
    je suis sur centos 6, j'ai fait yum update bash, ca me réinstalle la 4.1.2 datant de 2009...

  8. #8
    Membre éprouvé
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    616
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 616
    Par défaut
    Citation Envoyé par mapmip Voir le message
    question de noob,
    comment appliquer ce patch :
    http://lists.gnu.org/archive/html/bu.../msg00083.html
    Merci d'avance
    "Bash-4.1 Official Patch 12" Si c'est officiel ça devrait être dans les dépôts. Tente un update de ton système.

    EDIT= Grillé

  9. #9
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    Septembre 2006
    Messages
    3 650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : Septembre 2006
    Messages : 3 650
    Par défaut
    La plus part des distributions Linux sont ou on mis à disposition à jour, mais toujours rien pour Mac.
    Ça devrait arriver la semaine prochaine.
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  10. #10
    Rédacteur

    Avatar de ok.Idriss
    Homme Profil pro
    IS Consultant
    Inscrit en
    Février 2009
    Messages
    5 220
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IS Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 5 220
    Par défaut
    D'ailleurs Mac par défaut ils sont toujours à Bash 3.x ?

    (J'avais installé la version 4.2.45 via brew perso, mais ils ne sont toujours pas à jour sur ces correctifs).

  11. #11
    Candidat au Club
    Profil pro
    Inscrit en
    Septembre 2010
    Messages
    4
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2010
    Messages : 4
    Par défaut
    La faille semble être corrigé sur Yosemite GM

  12. #12
    Membre averti
    Inscrit en
    Février 2010
    Messages
    47
    Détails du profil
    Informations forums :
    Inscription : Février 2010
    Messages : 47
    Par défaut
    Enfin - le loup est sorti de la bergerie: Le Monde vient de publier un article sur le sujet ici

    L'article est sobre. Davantage que l'article de CNN: 'Shellshock' can hack lights in your house qui fait dans le sensationnel.

    J'attends de voir le journal de 20h ce soir sur TF1.

  13. #13
    Membre très actif
    Profil pro
    Doctorant
    Inscrit en
    Février 2011
    Messages
    258
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2011
    Messages : 258
    Par défaut la fin d'un mythe
    je pense qu'avec ces deux grande failles on est arrivé à la fin du mythe que linux et le systéme le plus sécurisé pas de failles pas de virus, la seule chose qui lui a permet de rester peu vulnirable par rapport aux autres systémes est que le hakers ne s'interessaient pas trop à l'attaquer c'est sa part du marché, là avec les declaration de snowden en vie une ruée vers l'open source du coup on s'interesse baucoup plus aux failles qui datent de plus de 22 ans.

  14. #14
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Billets dans le blog
    17
    Par défaut
    Citation Envoyé par persé Voir le message
    je pense qu'avec ces deux grande failles on est arrivé à la fin du mythe que linux et le systéme le plus sécurisé pas de failles pas de virus, la seule chose qui lui a permet de rester peu vulnirable par rapport aux autres systémes est que le hakers ne s'interessaient pas trop à l'attaquer c'est sa part du marché, là avec les declaration de snowden en vie une ruée vers l'open source du coup on s'interesse baucoup plus aux failles qui datent de plus de 22 ans.
    Euh, comment dire: autant pour le marché grand public, GNU/linux a une part de marché anecdotique, autant pour les hackeur il est plus fructueux de s'attaquer à des millions de sites webs hebergés sur des serveurs de cette famille qu'à l'ordinateur sous windows de Mme michu

    Un hackeur preferera hacker un site banquaire, que le PC d'un de ses clients
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  15. #15
    Membre éprouvé
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Avril 2014
    Messages
    139
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Avril 2014
    Messages : 139
    Par défaut
    Absolument pas ! La plupart des experts en sécurité ont connaissances du fait que le milieu open source n'est pas fiable à 100%(rien ne l'est en informatique).
    C'est pour ça qu'ils mettent en place des process au cas ou leur système est vulnérable, voir au cas ou un pirate s'introduit. Peut-être que certains admin sys pensent à tord que toute est fiable. Mais à mon avis ça ne représente pas la majorité.

    Et ça ne remet pas en cause l'open source. Je préfère avoir une faille de temps en temps que beaucoup de failles.

    Ah et je ne suis pas vraiment d'accord avec le mythe du "les hackers ne s'intéresse pas à pirater du linux vu la faible part de marché". C'est totalement faux, je suis d'accord pour l'os d'apple. Mais concernant linux il est très très très largement plus répandu que Windows. La majorité des systèmes utilisant un processeur utilise un kernel linux.(distributeur de banque, décodeur tv etc etc).

    D'autre part la grande majorité des serveurs sont sur des produits open-source et des distrib linux. Alors certes chez le particulier il est moins répandu. Mais le secteur des ordinateurs perso ne représente pas à lui tout seul les systèmes informatiques. Et je ne parle même pas du prestige. Donc je pense qu'un pirate à aussi toute intérêt à chercher des failles de se côté.

  16. #16
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2011
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Gard (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mars 2011
    Messages : 185
    Par défaut
    ======>Debut du troll
    Je ne comprend pas un tel raffut pour une faille de securitée.

    Comme dit dans les messages precedents, aucun programme ne peut certifier qu'il dispose d'une sécurité parfaite et ceux à tous les niveaux de l'architecture du programme / OS.
    Moi ce que je remarque est la rapidité du déploiement de la mise à jour par les grandes distributions.

    Parceque entre "la mise à jour à été detecté, mais faudra attendre que windows update vous propose la mise à jours, ou la télécharger directement depuis le site officiel" pour microsoft.
    Contre apt-get update && upgrade sur debian...

    Pour moi ce raffut n'est là, que pour montrer du doigts la communautée libre, lui arrive de faire des erreurs (c'est humain).
    Mais bon, là l'information divague aux scandale alors que je n'ait rien vue de telles sur les failles decouverte regulierement chez les produits Microsoft/Sun/Oracle...
    ==> fin du troll

  17. #17
    Rédacteur
    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Billets dans le blog
    121
    Par défaut Shellshock : de nouvelles attaques ciblent les serveurs de messagerie
    Shellshock : de nouvelles attaques ciblent les serveurs de messagerie
    la faille dans Bash continue à faire du bruit

    Les chercheurs en sécurité avaient déjà alerté sur cet aspect : du fait que la faille Shellshock date de pratiquement 22 ans, cela augmente considérablement le risque d’avoir des équipements vulnérables. De plus, certains équipements vulnérables n’auront peut-être pas de correctifs, car trop anciens et donc plus mis à jour par leurs fournisseurs.

    Cela se confirme. Plus d’un mois après la découverte de la faille, de nombreux équipements sont encore vulnérables et des attaques exploitant la vulnérabilité continuent à émerger sur le Web.

    Des nouveaux rapports sur le web font état de la recrudescence d’attaques exploitant Shellshock à destination des passerelles SMTP. Cette nouvelle campagne aurait pour objectif de créer un botnet IRC pour des attaques DDOS et autres.

    L’infection d’un système se ferait via l’exécution des scripts Perl. Les pirates exploitent Shellshock comme principal vecteur d’attaque via les champs subject, body, to et from. Les systèmes affectés à leur tour vont tenter de propager l’infection à partir du botnet Perl.

    Les utilisateurs sont invités à vérifier si leur système utilisant Bash a bel et bien été patché.

    Au vu de la popularité de Bash qui est utilisé comme Shell par défaut dans les systèmes d’exploitation Linux, Unix et dans de nombreux autres outils, la faille Shellshock à sa découverte affectait des millions de PC, Mac, serveurs et routeurs dans le monde.

    Cette faille avait été qualifiée de critique par les experts en sécurité. La « National Vulnerability Database » utilisée par le gouvernement américain pour suivre les failles de sécurité informatique, avait donné à Shellshock le score maximal (10/10) pour sa « gravité », son « impact » et son « exploitabilité ».

    Des exploits Shellshock ont émergé sur le Web dès les premières heures suivant la découverte de la vulnérabilité. Des pirates avaient développé des outils permettant de procéder à un scan d’Internet pour trouver des serveurs vulnérables, afin de prendre le contrôle de ceux-ci et perpétrer des attaques DDOS.

    Source : InfoSec
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

Discussions similaires

  1. Internet Explorer 11 affecté par une faille critique
    Par Amine Horseman dans le forum Sécurité
    Réponses: 11
    Dernier message: 08/02/2015, 17h49
  2. Réponses: 4
    Dernier message: 24/10/2014, 12h21
  3. Adobe corrige une faille critique dans Flash
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 06/02/2014, 20h09
  4. Réponses: 3
    Dernier message: 14/08/2013, 12h08
  5. Un hacker surdoué de 12 ans trouve une faille critique dans Firefox
    Par Gordon Fowler dans le forum Actualités
    Réponses: 22
    Dernier message: 28/10/2010, 09h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo