Mettez à jour vos bécanes !

Une grosse faille dans Bash a été découverte et affecte GNU/Linux et OS X.

Des bots attaquent déjà les serveurs sur Internet avec des PoC.

Attention, à ce que vous faites!

ça attaque principalement les serveurs Apache qui ont les fonctions CGI activées.

Ces fonctions sont utilisée pour par exemple, parser des formulaires sur une page Web en les envoyant à Bash.

Le danger de la faille réside dans le fait que tu peux accéder à un shell Bash du serveur en utilisant des requêtes de formulaire "craftés" d'une certaine manière, ce qui permet à l'attaquant de télécharger et d'exécuter des binaires sur la machine infectée.

Je parcours un peu les autres forums où je vois depuis ce matin des admins qui se sont fait analyser par ces bots.

Le premier patch pour Bash est sorti hier mais il est insuffisant.

Un autre vient de sortir est il est en cours de déploiement sur la majorité des distributions Linux.

Si vous n'utilisez pas de serveur Apache, l'exploit est plus difficilement utilisable.

Ce qui est rarement le cas sur une machine desktop Linux ou un Mac.

Si j'ai bien comprit, OSEF tant qu'on exécute pas de scripts Bash avec des variables d'environnement qui dépendent de l'input utilisateur, right ?

Oui, il y a cela aussi vava.

Mais si tu utilise certaines fonctions d'Apache, fais gaffe.

@Nh3xus Source pour « certaines fonctions d'Apache » ? J'aimerais savoir lesquelles.

M'enfin j'ai ni Apache ni Bash sur mon serveur donc je m'inquiète pas trop.

Pour Apache, il s'agit des fonctions :

mod_cgi et mod_cgid

Pour ceux qui utilisent un autre shell que Bash, vous êtes quand même vulnérables.

Je suis sur xubuntu, j'ai vu cette histoire de bash, de shelllock etc et j'y comprends rien

Pourtant je pensais que je m'étais bien adapté mais quelqu'un peut m'expliquer ce que c'est et est-ce que la mise à jour de taleur a réglé le problème ?

http://www.developpez.com/actu/75661/Linux-et-Unix-affectes-par-une-faille-critique-dans-Bash-la-vulnerabilite-pourrait-constituer-une-plus-grande-menace-que-Heartbleed/

Une petite source. Notez que j'aime les lignes de commande totalement obscures pour 70% de la population qui n'ont aucune explication sur le fonctionnement, m'enfin.

D'ailleurs, un patch est dispo sur Slackware.

Knakis Ouaip. Le patch est dispo depuis hier, merci Pat

Donc ma Slackware est à jour aussi

J'ai vu ça tout à l'heure.

Chaud quand même. Va falloir que les développeurs se concentrent sur les éléments critiques de ce genre, plutôt que de creer de nouveaux programmes qui ont pour objectif de remplacer ce qui fonctionne.

Pareil je viens de voir ça, j'ai fait un test et heureusement j'ai rien d'affecté. Mais apparemment faut faire gaffe à ce qu'on fait. Et apparemment ça ne concerne que des serveurs spécifiques donc rien d'alarmant non plus.

Oui et non.

Avec le libre, lorsque qu'il y a une faille grande ou petite, tu peux librement consulter les rapports de bogues qui ont été écrits.

Ces derniers sont transparents, ils expliquent en détail le type de faille et son vecteur de propagation.

Avec les produits prorios, quand les patches sortent, tu ne sais pas ce qu'ils corrigent, et tu ne sais pas depuis combien de temps la faille supposée est restée ouverte.

Les sociétés comme Microsoft sont en partenariat avec des grands cabinets de sécurité informatiques pour faire en sorte que les failles représentent un business commercial. Elles ne sont pas tout de suite révélées au grand jour et elles sont d'abord notifiées auprès des agences gouvernementales.

Ya d'ailleurs une grosse boite française très connue pour ses pratiques discutables à ce propos ;)

Avant de crier au loup pour attirer les gens sur des news à clics, il vaudrait mieux rappeler le modèle de développement utilisé par la plupart des logiciels libres.

Et je passe sur la confusion entre "une faille de Linux" et une faille liée à un logiciel fonctionnant sous GNU/Linux...

La mise a jour pour corriger la faille a été déployé rapidement puisque sur ma Debian Wheezy de mon poste de travail, j'avais déjà fais la mise a jour qui corrige le problème avant même d'être au courant de cette faille.

Un deuxième correctif plus complet viens de sortir pour Bash.

Slackware et Debian possèdent déjà le correctif.

C'est à dire ?

Le patch d'hier n'a pas été une correction complète de la faille ?

Non, et c'est bien pour ça qu'il faut aussi appliquer le second correctif !

Ok c'est fait !

D'ailleurs, j'ai remarqué que icedove s'est pris des mises à jour de sécurité en même temps... Coïncidence ? je ne pense pas !

C'est toujours pas un patch définitif !

J'ai encore reçu un patch hier soir à 22h30.

Donc je vais mettre à jour de ce pas

Oh et Apple, fais la politique de l'autruche

http://thehackernews.com/2014/09/apple-most-mac-os-x-users-not_26.html

En gros, ils disent dans le communiqué de presse que les utilisateurs de Macs sont trop cons pour ouvrir et utiliser le shell Bash d'OS X.

Donc aucun problème !

Bon les Macs, c'est plutôt "It doesn't just works".

Athéistes 1 - Macfags 0

Cette faille de sécurité n'est pas si exceptionnel qu'on veux le faire croire, voilà pourquoi : https://plus.google.com/+Lo%C3%AFcBlot/posts/HuEVdqdkGZP