Alerte securité Bash

**G-Orwell** · 25/09/2014, 13h04

Bonjour,

Une alerte de sécurité concernant bash vient d'être publiée hier.
J'ai lu sur ce site https://lists.debian.org/debian-secu.../msg00220.html que l'alerte concerne les versions antérieures à la 4.2+dfsg-0.1+deb7u1.
J'ai donc téléchargé les sources tar.gz de la 4.3 que j'ai installé.
Toutefois selon le site suivant http://arstechnica.com/security/2014...ith-nix-in-it/
la commande suivante permet de savoir si notre système est sujet à la faille de sécurité.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Pourtant même après avoir upgradé ma version de bash en 4.3 j'obtiens toujours "vulnerable this is a test".
Comment puis-je faire pour patcher ma version de bash en limitant les effets de bords induits par un apt-get update && apt-get upgrade?

Merci de votre aide.

Orwell

**gangsoleil** · 25/09/2014, 13h36

Envoyé par G-Orwell

Pourtant même après avoir upgradé ma version de bash en 4.3 j'obtiens toujours "vulnerable this is a test".

Vérifies bien que tu pointes sur Bash 4.3 et pas sur une autre version.

**G-Orwell** · 25/09/2014, 16h55

Bonjour gangsoleil,

En effet je suis resté en 3.2.

Mais je ne sais pas comment lui indiquer d'utiliser la nouvelle version.
Je ne sais même pas où il a installé la nouvelle version.

Peux tu m'indiquer comment faire?

Merci

Orwell

**gangsoleil** · 25/09/2014, 17h03

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

which bash

te donnera le chemin vers le bash qu'il utilise, c'est à dire le premier qu'il est possible de trouver dans le PATH.
Ensuite, tu fais un ls -l sur ce qu'il te donne, et tu verras si c'est un lien ou pas.

Si c'est un lien, on peut espérer pour toi que ça finit par pointer sur alternatives : http://www.linuxquestions.org/linux/...RNATIVES_HOWTO

Si ce n'est pas un lien, regarde dans le répertoire s'il n'y a pas un autre bash, comme par exemple bash-4.3 ou un truc du genre.

**G-Orwell** · 25/09/2014, 17h29

Non ce n'est pas un lien et non il n'y a rien d'autre dans le répertoire où est installé bash.
Cependant j'ai fait un apt-get update / upgrade et il a mis à jour la version de bash correctement vers la 3.2.39.
Et le test env x='() { :;}; echo vulnerable' bash -c "echo this is a test" semble fonctionner correctement.

**abel.cain** · 22/11/2014, 22h22

N'oubliez pas qu'il n'y a pas une mais une demi-douzaine de failles dans la série!!!

Alerte securité Bash

Sécurité

Discussions similaires

Partager

Partager