Le 26/09/2014 21:38, Vincent Dubois a écrit :
Le 26/09/2014 20:21, David Pinson a écrit :
Le 25/09/2014 19:34, Léo Testard a écrit :
Le 25 sept. 2014 à 15:04, Véronique Fritière
<vfritiere(a)free.fr> a
écrit :
Coucou les pingouinots,
Hello
Pour info.
[...]
Une faille de sécurité comparable à Heartbleed
Un peu de mesure !
Ok, il y a un bug dans Bash. Sauf que le nombre de serveurs qui
exposent Bash est ridicule comparé au nombre de serveurs qui
utilisent OpenSSL (et qui étaient donc touchés par Heartbleed).
Un serveur qui ne fournit pas d'accès ssh à ses utilisateurs (ce que
très peu de serveurs font) ne devrait pas être touché, sauf pour
ceux qui utilisent des script CGI écrits en Bash, ou qui utilisent
system() dans leur code serveur, le tout sans échapper l'input
utilisateur... c'est mal, ils étaient prévenus, tant pis pour eux. :D
Hello,
Information simple:
Si vous utilisez Linux sur 1 machine (desktop, laptop ou VM)
qui a accès direct a internet: n'oubliez pas de patcher le Bash
1 machine qui ne fonctionne qu'en réseau ferme: pas accès direct a
internet
= pas accessible de l’extérieur pourrait ne pas être patche
** Sous Ubuntu, test si la machine est vulnerable:
ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a
test"
vulnerable
this is a test
** MAJ Bas sous Ubuntu /debian
sudo apt-get update
sudo apt-get install --only-upgrade bash
** 1 fois patche, relancer le test
ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a
test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
==> il ne doit pas etre possible de lancer du code
contenu a l’intérieur d'1 variable
= c'est patche et votre Ubuntu/debian est maintenant protégé
Essayé sur une debian: parfait, ça marche aussi avec une différence :
le message d'alerte ne s'affiche pas et on n'a même plus le mot
vulnérable !
Salut!
Mise à jour de sécurité proposée ce soir sous Xubuntu 14.04...
J'ai fait ton test après :
bash: avertissement : x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test
Voilou, donc faites la mise à jour!
Vincent.
P.S.: tu auras pu noter que le mien me cause (presque) en français! 8-))
Hello,
Encore une précision que je viens d'avoir
Je disais qu'avec mon PC sous Debian, je n'avais pas de message
d'avertissement :
il y a eu deux patch successifs, le premier n'ayant pas complètement
corrigé le trou de sécurité.
Si tu as une erreur de Bash, c'est qu'il n'y a que le premier patch
d'appliqué,
avec les deux patch tu n'aurais que le message "hello".
Pour testing, la version de Bash avec le deuxième patch était encore ce
matin dans SID.
N'oubliez pas le chemin de SID vers testing en cas de pépin de sécurité
est de deux jours.
Si vous souhaitez des rustines plus rapides il faut utiliser SID ou la
version stable de Debian.
Donc pour Ubuntu, ça viendra à la prochaine upgrade
car dérivé de Debian, Ubuntu suivra toujours les directives de Debian.
A suivre,
linuxement vôtre,
David P.