[information]Vulnérabilité dans GNU bash !

Résolu/Fermé
Utilisateur anonyme - 25 sept. 2014 à 19:07
noctambule28 Messages postés 31900 Date d'inscription samedi 12 mai 2007 Statut Webmaster Dernière intervention 13 février 2022 - 30 sept. 2014 à 10:51
Bonjour,

je fais relayer cette information importante pour les utilisateurs de Debian, Ubuntu et Access - RedHat !

à lire :

http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/index.html

6 réponses

zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 419
25 sept. 2014 à 19:13
Salut,

Merci pour l'info. sebsauvage l'avait déjà relayée sur son shaarli.
1
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 419
25 sept. 2014 à 19:28
Je mets la façon de savoir si on est touché ou pas par la faille...

Avant correctif :
$ env VAR='() { 0; }; echo danger' bash -c "echo bonjour"
danger
bonjour

Après correctif :
$ env VAR='() { 0; }; echo danger' bash -c "echo bonjour"
bash: avertissement : VAR: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « VAR »
bonjour
0
Utilisateur anonyme
25 sept. 2014 à 19:58
je ne fais que relayer l'info, je ne suis pas un spécialiste de pingouin :P


0
Salut,
Si on tient son système à jour, le correctif est appliqué automatiquement... enfin, c'est le cas chez moi.
0
Ambucias Messages postés 47310 Date d'inscription mardi 2 février 2010 Statut Modérateur Dernière intervention 15 février 2023 137
25 sept. 2014 à 23:42
Bonsoir

Pour ceux qui savent lire l'anglais:

http://en.kioskea.net/news/25361-shellshock-bug-could-affect-millions

On dit que ce bug pourrait causer autant de dommages que "Heartbleed"

En.Kioskea a relayé l'info à ses membres FB et dans son info-lettre de demain.

Les usagers doivent être à l'affût des mises à jour des différents fournisseurs.

Bonne soirée
0
Utilisateur anonyme
26 sept. 2014 à 13:24
d'après l'article de CCM, ça toucherait même Mac os x !

mais rien indiqué à ce sujet sur le site du gouvernement !

à suivre ....


0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 419
26 sept. 2014 à 14:00
mais rien indiqué à ce sujet sur le site du gouvernement !
Ils n'indiquent pas non plus que ça ne concerne que Gnu/Linux. L'alerte concerne le shell bash (Bash versions antérieures au 25 septembre 2014), donc peut importe la plate-forme (Unix, Linux, Mac OS X), c'est la version du bash installé qui compte.
0
Ambucias Messages postés 47310 Date d'inscription mardi 2 février 2010 Statut Modérateur Dernière intervention 15 février 2023 137
26 sept. 2014 à 23:25
Selon l'article Kioskea, Unix, Linux et Apple ont déjà publié des maj pour corriger, c'est peut-être la raison que le site du gov ne dit rien. Je pense que peut-être Apache est sur la corde raide. Enfin, je ne crois pas que nous soyons dans une situation similaire en gravité que "Heartbleed". À suivre...
0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 419
27 sept. 2014 à 13:29
La réponse d'Apple...

Je te mets la retranscription (en fait ce qu'il faut comprendre) d'après Le hollandais Volant ;-))

La réponse d'Apple : « Nos utilisateurs sont trop cons pour pouvoir utiliser un shell et Bash, donc vu qu'ils n'utilisent pas ça, ils sont en sécurité ».
0
Salut,
Interprétation très personnelle des propos d'Apple...

La réponse d'apple:
"The vast majority of OS X users are not at risk to recently reported bash vulnerabilities," Apple said. "Bash, a UNIX command shell and language included in OS X, has a weakness that could allow unauthorized users to remotely gain control of vulnerable systems. With OS X, systems are safe by default and not exposed to remote exploits of bash unless users configure advanced UNIX services. We are working to quickly provide a software update for our advanced UNIX users."

D'un côté apple veut se montrer très rassurant en disant que les utilisateurs de mac os ne risquent rien mais ils font néanmoins le nécessaire pour boucher le trou ! Faudrait savoir ! S'il n'y a pas de risque, il n'y a pas besoin de boucher le trou. Si on bouche le trou, c'est que ça craint ! C'est là qu'apple prend ses clients pour des canards sauvages.

Ce qui m'inquiéte dans cette histoire, ce n'est pas que le pc de monsieur tout le monde se transforme en boîte à spam, c'est déjà le cas de beaucoup de pc sous Windows alors quelques pc infectés de plus, ça ne changera pas grand chose... mais par contre si les responsables de la sécurité informatique des grandes institutions ou des commerces en ligne ne percutent pas assez vite, et dans le tas il y en aura, c'est certain, l'affaire pourrait alors prendre une toute autre allure et nous pourrions tous en être les victimes qu'on soit utilisateur de Windows, de Mac os ou de Linux.
0
Ambucias Messages postés 47310 Date d'inscription mardi 2 février 2010 Statut Modérateur Dernière intervention 15 février 2023 137
27 sept. 2014 à 23:21
"C'est là qu'apple prend ses clients pour des canards sauvages."

C'est vrai ça? J'avise Chris 94 immédiatement, ça lui mettra du plomb dans l'aile !:-)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 419
29 sept. 2014 à 17:46
Aie,

Pour en finir et tout savoir sur cette faille : Une faille nommée « shellshock »

0
noctambule28 Messages postés 31900 Date d'inscription samedi 12 mai 2007 Statut Webmaster Dernière intervention 13 février 2022 2 858
30 sept. 2014 à 10:51
Vite ...tout le monde sous windows (A la manière de Steve Ballmer)^^
0
Utilisateur anonyme
29 sept. 2014 à 17:49
Misère de chez misère ... ma Raspberry est en danger ( Raspian ) ! bouhouuuuuu
0