Le 26/09/2014 21:38, Vincent Dubois a écrit :
Le 26/09/2014 20:21, David Pinson a écrit :
Le 25/09/2014 19:34, Léo Testard a écrit :
Le 25 sept. 2014 à 15:04, Véronique Fritière vfritiere@free.fr a écrit :
Coucou les pingouinots,
Hello
Pour info.
[...]
Une faille de sécurité comparable à Heartbleed
Un peu de mesure ! Ok, il y a un bug dans Bash. Sauf que le nombre de serveurs qui exposent Bash est ridicule comparé au nombre de serveurs qui utilisent OpenSSL (et qui étaient donc touchés par Heartbleed). Un serveur qui ne fournit pas d'accès ssh à ses utilisateurs (ce que très peu de serveurs font) ne devrait pas être touché, sauf pour ceux qui utilisent des script CGI écrits en Bash, ou qui utilisent system() dans leur code serveur, le tout sans échapper l'input utilisateur... c'est mal, ils étaient prévenus, tant pis pour eux. :D
Hello, Information simple:
Si vous utilisez Linux sur 1 machine (desktop, laptop ou VM) qui a accès direct a internet: n'oubliez pas de patcher le Bash
1 machine qui ne fonctionne qu'en réseau ferme: pas accès direct a internet = pas accessible de l’extérieur pourrait ne pas être patche
** Sous Ubuntu, test si la machine est vulnerable: ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test
** MAJ Bas sous Ubuntu /debian sudo apt-get update sudo apt-get install --only-upgrade bash
** 1 fois patche, relancer le test ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
==> il ne doit pas etre possible de lancer du code contenu a l’intérieur d'1 variable = c'est patche et votre Ubuntu/debian est maintenant protégé
Essayé sur une debian: parfait, ça marche aussi avec une différence : le message d'alerte ne s'affiche pas et on n'a même plus le mot vulnérable !
Salut!
Mise à jour de sécurité proposée ce soir sous Xubuntu 14.04...
J'ai fait ton test après : bash: avertissement : x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » this is a test
Voilou, donc faites la mise à jour!
Vincent. P.S.: tu auras pu noter que le mien me cause (presque) en français! 8-))
Hello, Encore une précision que je viens d'avoir Je disais qu'avec mon PC sous Debian, je n'avais pas de message d'avertissement : il y a eu deux patch successifs, le premier n'ayant pas complètement corrigé le trou de sécurité. Si tu as une erreur de Bash, c'est qu'il n'y a que le premier patch d'appliqué, avec les deux patch tu n'aurais que le message "hello". Pour testing, la version de Bash avec le deuxième patch était encore ce matin dans SID. N'oubliez pas le chemin de SID vers testing en cas de pépin de sécurité est de deux jours. Si vous souhaitez des rustines plus rapides il faut utiliser SID ou la version stable de Debian.
Donc pour Ubuntu, ça viendra à la prochaine upgrade car dérivé de Debian, Ubuntu suivra toujours les directives de Debian. A suivre, linuxement vôtre, David P.