Le 25/09/2014 19:34, Léo Testard a écrit :
Le 25 sept. 2014 à 15:04, Véronique Fritière
<vfritiere(a)free.fr> a écrit :
Coucou les pingouinots,
Hello
Pour info.
[...]
Une faille de sécurité comparable à Heartbleed
Un peu de mesure !
Ok, il y a un bug dans Bash. Sauf que le nombre de serveurs qui exposent Bash est
ridicule comparé au nombre de serveurs qui utilisent OpenSSL (et qui étaient donc touchés
par Heartbleed).
Un serveur qui ne fournit pas d'accès ssh à ses utilisateurs (ce que très peu de
serveurs font) ne devrait pas être touché, sauf pour ceux qui utilisent des script CGI
écrits en Bash, ou qui utilisent system() dans leur code serveur, le tout sans échapper
l'input utilisateur... c'est mal, ils étaient prévenus, tant pis pour eux. :D
_______________________________________________
Linux06 mailing list
Linux06(a)lists.linux-azur.org
https://lists.linux-azur.org/mailman/listinfo/linux06
Hello,
Information simple:
Si vous utilisez Linux sur 1 machine (desktop, laptop ou VM)
qui a accès direct a internet: n'oubliez pas de patcher le Bash
1 machine qui ne fonctionne qu'en réseau ferme: pas accès direct a internet
= pas accessible de l’extérieur pourrait ne pas être patche
** Sous Ubuntu, test si la machine est vulnerable:
ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
** MAJ Bas sous Ubuntu /debian
sudo apt-get update
sudo apt-get install --only-upgrade bash
** 1 fois patche, relancer le test
ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
==> il ne doit pas etre possible de lancer du code
contenu a l’intérieur d'1 variable
= c'est patche et votre Ubuntu/debian est maintenant protégé
Essayé sur une debian: parfait, ça marche aussi avec une différence :
le message d'alerte ne s'affiche pas et on n'a même plus le mot vulnérable !
Linuxement vôtre,
David