Le 25/09/2014 19:34, Léo Testard a écrit :
Le 25 sept. 2014 à 15:04, Véronique Fritière vfritiere@free.fr a écrit :
Coucou les pingouinots,
Hello
Pour info.
[...]
Une faille de sécurité comparable à Heartbleed
Un peu de mesure ! Ok, il y a un bug dans Bash. Sauf que le nombre de serveurs qui exposent Bash est ridicule comparé au nombre de serveurs qui utilisent OpenSSL (et qui étaient donc touchés par Heartbleed). Un serveur qui ne fournit pas d'accès ssh à ses utilisateurs (ce que très peu de serveurs font) ne devrait pas être touché, sauf pour ceux qui utilisent des script CGI écrits en Bash, ou qui utilisent system() dans leur code serveur, le tout sans échapper l'input utilisateur... c'est mal, ils étaient prévenus, tant pis pour eux. :D
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Hello, Information simple:
Si vous utilisez Linux sur 1 machine (desktop, laptop ou VM) qui a accès direct a internet: n'oubliez pas de patcher le Bash
1 machine qui ne fonctionne qu'en réseau ferme: pas accès direct a internet = pas accessible de l’extérieur pourrait ne pas être patche
** Sous Ubuntu, test si la machine est vulnerable: ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test
** MAJ Bas sous Ubuntu /debian sudo apt-get update sudo apt-get install --only-upgrade bash
** 1 fois patche, relancer le test ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
==> il ne doit pas etre possible de lancer du code contenu a l’intérieur d'1 variable = c'est patche et votre Ubuntu/debian est maintenant protégé
Essayé sur une debian: parfait, ça marche aussi avec une différence : le message d'alerte ne s'affiche pas et on n'a même plus le mot vulnérable !
Linuxement vôtre, David