Coucou les pingouinots,
Pour info.
-------- Message original -------- Sujet: [Aful] Linux/Unix : une faille de sécurité critique découverte Date : Thu, 25 Sep 2014 14:43:18 +0200
http://www.zone-numerique.com/linuxunix-une-faille-de-securite-critique-deco...
* T http://www.zone-numerique.com/tests/ests matériels * P http://www.zone-numerique.com/marques/roduits
actu
* LEICA SUMMILUX-M 35 mm f/1.4 ASPH, l’objectif très polyvalent de la gamme M
http://www.zone-numerique.com/leica-summilux-m-35-mm-f1-4-asph-lobjectif-tres-polyvalent-de-la-gamme-m.htmlIl y a 1 semaine * Leica Noctilux-M 50 mm f/0.95 ASPH, un objectif asphérique lumineux
http://www.zone-numerique.com/leica-noctilux-m-50-mm-f0-95-asph-un-objectif-aspherique-lumineux.htmlIl y a 1 semaine * Leica dévoile les objectifs Summarit-M 35mm f/2.4 ASPH, 50mm f/2.4, 75mm f/2.4 et 90mm f/2.4
http://www.zone-numerique.com/leica-devoile-les-objectifs-summarit-m-35mm-f2-4-asph-50mm-f2-4-75mm-f2-4-et-90mm-f2-4.htmlIl y a 1 semaine * Leica dévoile l’objectif Leica Super-Vario-Elmar-T 1:3.5-4.5/11–23 mm ASPH et le télézoom Leica APO Vario-Elmar-T 1: 3.5-4.5/55-135 mm ASPH
http://www.zone-numerique.com/leica-devoile-lobjectif-leica-super-vario-elmar-t-13-5-4-511-23-mm-asph-et-le-telezoom-leica-apo-vario-elmar-t-1-3-5-4-555-135-mm-asph.htmlIl y a 1 semaine * Leica M-P: un modèle identique au Leica M mais équipé d’un écran protégé par un verre saphir
http://www.zone-numerique.com/leica-m-p-un-modele-identique-au-leica-m-mais-equipe-dun-ecran-protege-par-un-verre-saphir.htmlIl y a 1 semaine
Linux/Unix : une faille de sécurité critique découverte
Publié le 25 septembre 2014 - 11:50 par François Giraud
L’éditeur Red Hat vient de trouver une vulnérabilité qui touche le shell Bash, un utilitaire présent dans la majorité des systèmes Unix
Une faille de sécurité baptisée « Bash Bug » vient d’être découverte par l’éditeur Red Hat. Cette dernière affecte Bash, le Shell Unix du projet GNU. Des experts indiquent que cette vulnérabilité est comparable à celle de Heartbleed http://www.zone-numerique.com/309197-systemes-sont-toujours-menaces-par-la-faille-heartbleed.html car Bash est utilisé au sein de nombreux environnements Unix ou Linux. Mac OS X semble également être concerné par cette faille de sécurité critique et Apple devrait réagir rapidement avec une mise à jour de sécurité. Le programme Bash est un interpréteur en ligne de commande qui est présent sur la quasi-majorité des systèmes Unix dont OS X fait partie et aussi sur les Linux intégrés dans les objets connectés. De nombreuses configurations seraient affectées selon l’expert Robert Graham.
Une faille de sécurité comparable à Heartbleed
Bash Bug est une faille de sécurité encore appelée Shellshock qui touche l’interpréteur de lignes de commandes installé par défaut sur de nombreuses versions de Linux. Ce logiciel analyse des instructions et les exécute, et permet donc d’effectuer diverses tâches. Bash est l’acronyme de Bourne-Again-SHell et correspond au Shell par défaut de la plupart des systèmes GNU/Linux. Son rôle est de dire à un système d’exploitation, un service ou à une application ce qu’ils doivent exécuter comme tâches. De nombreux programmes peuvent interagir avec Shell, les serveurs Web Apache seraient également exposés. La faille découverte par Red Hat permettrait à une personne malveillante d’exécuter du code à distance sur une machine, mais également sur des objets connectés comme des caméras de vidéosurveillance. Dans certains cas, les pirates pourraient même prendre le contrôle intégral d’une machine, effacer les contenus ou y insérer des logiciels espions ou des malwares.
Salutations ensoleillées,
Le 25 sept. 2014 à 15:04, Véronique Fritière vfritiere@free.fr a écrit :
Coucou les pingouinots,
Hello
Pour info.
[...]
Une faille de sécurité comparable à Heartbleed
Un peu de mesure ! Ok, il y a un bug dans Bash. Sauf que le nombre de serveurs qui exposent Bash est ridicule comparé au nombre de serveurs qui utilisent OpenSSL (et qui étaient donc touchés par Heartbleed). Un serveur qui ne fournit pas d'accès ssh à ses utilisateurs (ce que très peu de serveurs font) ne devrait pas être touché, sauf pour ceux qui utilisent des script CGI écrits en Bash, ou qui utilisent system() dans leur code serveur, le tout sans échapper l'input utilisateur... c'est mal, ils étaient prévenus, tant pis pour eux. :D
Le 25/09/2014 19:34, Léo Testard a écrit :
Le 25 sept. 2014 à 15:04, Véronique Fritière vfritiere@free.fr a écrit :
Coucou les pingouinots,
Hello
Pour info.
[...]
Une faille de sécurité comparable à Heartbleed
Un peu de mesure ! Ok, il y a un bug dans Bash. Sauf que le nombre de serveurs qui exposent Bash est ridicule comparé au nombre de serveurs qui utilisent OpenSSL (et qui étaient donc touchés par Heartbleed). Un serveur qui ne fournit pas d'accès ssh à ses utilisateurs (ce que très peu de serveurs font) ne devrait pas être touché, sauf pour ceux qui utilisent des script CGI écrits en Bash, ou qui utilisent system() dans leur code serveur, le tout sans échapper l'input utilisateur... c'est mal, ils étaient prévenus, tant pis pour eux. :D
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Hello, Information simple:
Si vous utilisez Linux sur 1 machine (desktop, laptop ou VM) qui a accès direct a internet: n'oubliez pas de patcher le Bash
1 machine qui ne fonctionne qu'en réseau ferme: pas accès direct a internet = pas accessible de l’extérieur pourrait ne pas être patche
** Sous Ubuntu, test si la machine est vulnerable: ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test
** MAJ Bas sous Ubuntu /debian sudo apt-get update sudo apt-get install --only-upgrade bash
** 1 fois patche, relancer le test ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
==> il ne doit pas etre possible de lancer du code contenu a l’intérieur d'1 variable = c'est patche et votre Ubuntu/debian est maintenant protégé
Essayé sur une debian: parfait, ça marche aussi avec une différence : le message d'alerte ne s'affiche pas et on n'a même plus le mot vulnérable !
Linuxement vôtre, David
Le 26/09/2014 20:21, David Pinson a écrit :
Le 25/09/2014 19:34, Léo Testard a écrit :
Le 25 sept. 2014 à 15:04, Véronique Fritière vfritiere@free.fr a écrit :
Coucou les pingouinots,
Hello
Pour info.
[...]
Une faille de sécurité comparable à Heartbleed
Un peu de mesure ! Ok, il y a un bug dans Bash. Sauf que le nombre de serveurs qui exposent Bash est ridicule comparé au nombre de serveurs qui utilisent OpenSSL (et qui étaient donc touchés par Heartbleed). Un serveur qui ne fournit pas d'accès ssh à ses utilisateurs (ce que très peu de serveurs font) ne devrait pas être touché, sauf pour ceux qui utilisent des script CGI écrits en Bash, ou qui utilisent system() dans leur code serveur, le tout sans échapper l'input utilisateur... c'est mal, ils étaient prévenus, tant pis pour eux. :D
Hello, Information simple:
Si vous utilisez Linux sur 1 machine (desktop, laptop ou VM) qui a accès direct a internet: n'oubliez pas de patcher le Bash
1 machine qui ne fonctionne qu'en réseau ferme: pas accès direct a internet = pas accessible de l’extérieur pourrait ne pas être patche
** Sous Ubuntu, test si la machine est vulnerable: ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test
** MAJ Bas sous Ubuntu /debian sudo apt-get update sudo apt-get install --only-upgrade bash
** 1 fois patche, relancer le test ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
==> il ne doit pas etre possible de lancer du code contenu a l’intérieur d'1 variable = c'est patche et votre Ubuntu/debian est maintenant protégé
Essayé sur une debian: parfait, ça marche aussi avec une différence : le message d'alerte ne s'affiche pas et on n'a même plus le mot vulnérable !
Salut!
Mise à jour de sécurité proposée ce soir sous Xubuntu 14.04...
J'ai fait ton test après : bash: avertissement : x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » this is a test
Voilou, donc faites la mise à jour!
Vincent. P.S.: tu auras pu noter que le mien me cause (presque) en français! 8-))
Le 26/09/2014 21:38, Vincent Dubois a écrit :
Le 26/09/2014 20:21, David Pinson a écrit :
Le 25/09/2014 19:34, Léo Testard a écrit :
Le 25 sept. 2014 à 15:04, Véronique Fritière vfritiere@free.fr a écrit :
Coucou les pingouinots,
Hello
Pour info.
[...]
Une faille de sécurité comparable à Heartbleed
Un peu de mesure ! Ok, il y a un bug dans Bash. Sauf que le nombre de serveurs qui exposent Bash est ridicule comparé au nombre de serveurs qui utilisent OpenSSL (et qui étaient donc touchés par Heartbleed). Un serveur qui ne fournit pas d'accès ssh à ses utilisateurs (ce que très peu de serveurs font) ne devrait pas être touché, sauf pour ceux qui utilisent des script CGI écrits en Bash, ou qui utilisent system() dans leur code serveur, le tout sans échapper l'input utilisateur... c'est mal, ils étaient prévenus, tant pis pour eux. :D
Hello, Information simple:
Si vous utilisez Linux sur 1 machine (desktop, laptop ou VM) qui a accès direct a internet: n'oubliez pas de patcher le Bash
1 machine qui ne fonctionne qu'en réseau ferme: pas accès direct a internet = pas accessible de l’extérieur pourrait ne pas être patche
** Sous Ubuntu, test si la machine est vulnerable: ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test
** MAJ Bas sous Ubuntu /debian sudo apt-get update sudo apt-get install --only-upgrade bash
** 1 fois patche, relancer le test ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
==> il ne doit pas etre possible de lancer du code contenu a l’intérieur d'1 variable = c'est patche et votre Ubuntu/debian est maintenant protégé
Essayé sur une debian: parfait, ça marche aussi avec une différence : le message d'alerte ne s'affiche pas et on n'a même plus le mot vulnérable !
Salut!
Mise à jour de sécurité proposée ce soir sous Xubuntu 14.04...
J'ai fait ton test après : bash: avertissement : x: ignoring function definition attempt bash: erreur lors de l'import de la définition de fonction pour « x » this is a test
Voilou, donc faites la mise à jour!
Vincent. P.S.: tu auras pu noter que le mien me cause (presque) en français! 8-))
Hello, Encore une précision que je viens d'avoir Je disais qu'avec mon PC sous Debian, je n'avais pas de message d'avertissement : il y a eu deux patch successifs, le premier n'ayant pas complètement corrigé le trou de sécurité. Si tu as une erreur de Bash, c'est qu'il n'y a que le premier patch d'appliqué, avec les deux patch tu n'aurais que le message "hello". Pour testing, la version de Bash avec le deuxième patch était encore ce matin dans SID. N'oubliez pas le chemin de SID vers testing en cas de pépin de sécurité est de deux jours. Si vous souhaitez des rustines plus rapides il faut utiliser SID ou la version stable de Debian.
Donc pour Ubuntu, ça viendra à la prochaine upgrade car dérivé de Debian, Ubuntu suivra toujours les directives de Debian. A suivre, linuxement vôtre, David P.
Zut, j'ai fait une fausse manip et détruit la réponse de David!
Le 26/09/2014 21:38, Vincent Dubois a écrit :
Le 26/09/2014 20:21, David Pinson a écrit :
8< ---- COUIC ----->8 ** Sous Ubuntu, test si la machine est vulnerable: ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test
8< ---- COUIC ----->8 Essayé sur une debian: parfait, ça marche aussi avec une différence : le message d'alerte ne s'affiche pas et on n'a même plus le mot vulnérable !
Dans ton dernier message tu évoquais qu'il y aurait 2 mises à jour, provenant de Debian, donc avec un temps de retard, bon ok.
Par contre, tu évoquais également que je ne devrais avoir que le message 'hello'...? D'où qu'il vient celui-là??
Vincent.
P.S.: Bon, je viens de remonter le PC familial, je vais en profiter pour mettre un OS plus récent (Ubuntu 8-10 qui commence à avoir du mal...) et je repasserais en POP.
Le 27/09/2014 14:41, Vincent Dubois a écrit :
Le 26/09/2014 20:21, David Pinson a écrit :
8< ---- COUIC ----->8 ** Sous Ubuntu, test si la machine est vulnerable: ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test
8< ---- COUIC ----->8 Essayé sur une debian: parfait, ça marche aussi avec une différence : le message d'alerte ne s'affiche pas et on n'a même plus le mot vulnérable !
Dans ton dernier message tu évoquais qu'il y aurait 2 mises à jour, provenant de Debian, donc avec un temps de retard, bon ok.
Par contre, tu évoquais également que je ne devrais avoir que le message 'hello'...? D'où qu'il vient celui-là??
Hello,
2ème mise à jour suggérée et installée ce soir, test refait : $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test
Voilou, Bonne nuit!
Vincent.
-
David Pinson -
Léo Testard -
Vincent Dubois -
Véronique Fritière