Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
565 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Débats

  [FAILLE] "Shell shock"

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[FAILLE] "Shell shock"

n°1365316
Salahhedin
Posté le 29-09-2014 à 11:13:19  profilanswer
 

Bonjour,
 
Depuis jeudi, j'ai entendu parlé de la faille bash existante depuis de nombreuses années sur linux. Étant un récent dans le monde du libre, j'avais quelque questions :
 
Le correctif mit en place par les différentes distributions est-il complet ou partiel ?
 
Quelle est réellement l'impact de cette faille ? est-ce à l’exécution du shell ?
 
Merci pour vos réponses, ça va m'éclairer :)


Message édité par Salahhedin le 29-09-2014 à 11:15:16
mood
Publicité
Posté le 29-09-2014 à 11:13:19  profilanswer
 

n°1365330
Ralph-
★ You'll hate me. ★
Posté le 29-09-2014 à 17:33:27  profilanswer
 
n°1365333
agentsteel
Posté le 29-09-2014 à 18:08:37  profilanswer
 
n°1365335
goblin_rie​ur
ingé systemes unix
Posté le 29-09-2014 à 19:08:45  profilanswer
 

bonjour,  
le correctif est sencé être fiable, dès à présent, mais il y aura de toute façon à la prochaine version une version définitive de ce point de vu précis... soit avec soit sans modification du patch actuel.
 
la faille était/est réelle mais son exploitation est fatalement peu probable, il faut absoluement un site en php avec un exec pas protegé appelant un script bash.... ce qui devrait être interdit à la base car peu logique comme utilisation.... et bien sur le tout à condition d'avoir un site php hébérgé chez soi ou sur un fournisseur de service comme ovh...par exemple.


---------------
Collectionner les vieux serveurs c'est chouette mais c'est lourd et ça prend de la place ;)
n°1365342
Salahhedin
Posté le 29-09-2014 à 20:49:24  profilanswer
 

Merci pour vos liens et ta réponses goblin_rieur.
 
C'est ce que je me disais, c'est un peu trop "médiatisé" cette faille. Surtout qu'elle est présente depuis longtemps (apparemment depuis la version 1.13).
 
Changer d’interpréteur serait peut être préférable ? (genre C shell) ?

n°1365343
goblin_rie​ur
ingé systemes unix
Posté le 29-09-2014 à 20:53:57  profilanswer
 

pourquoi pas il est tjrs interessant de connaitre au moins deux shells


---------------
Collectionner les vieux serveurs c'est chouette mais c'est lourd et ça prend de la place ;)
n°1365347
Salahhedin
Posté le 29-09-2014 à 21:11:10  profilanswer
 

Ok.
 
Tout ça est plus clair pour moi.
 
Il y a un site spécialisé qui recense sur les failles open sources, genre redhat security mais toutes distribution confondu ?

n°1365373
Ralph-
★ You'll hate me. ★
Posté le 30-09-2014 à 11:31:34  profilanswer
 

Salahhedin a écrit :

Merci pour vos liens et ta réponses goblin_rieur.
 
C'est ce que je me disais, c'est un peu trop "médiatisé" cette faille. Surtout qu'elle est présente depuis longtemps (apparemment depuis la version 1.13).
 
Changer d’interpréteur serait peut être préférable ? (genre C shell) ?


 
Sinon zsh, c'est franchement puissant

n°1365386
agentsteel
Posté le 30-09-2014 à 17:08:40  profilanswer
 

et OpenBSD utilise (pd)ksh :)


---------------
http://agentoss.wordpress.com/
n°1365399
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 30-09-2014 à 19:20:56  profilanswer
 

goblin_rieur a écrit :

bonjour,  
le correctif est sencé être fiable, dès à présent, mais il y aura de toute façon à la prochaine version une version définitive de ce point de vu précis... soit avec soit sans modification du patch actuel.
 
la faille était/est réelle mais son exploitation est fatalement peu probable, il faut absoluement un site en php avec un exec pas protegé appelant un script bash.... ce qui devrait être interdit à la base car peu logique comme utilisation.... et bien sur le tout à condition d'avoir un site php hébérgé chez soi ou sur un fournisseur de service comme ovh...par exemple.


 
non, pas du tout. c'est plus que réducteur et faux.
 
Imagine que tu analyses tes access logs (action à posteriori donc); et que tu mettes l'UA dans une variable pour l'afficher (c'est un exemple, pas un PoC) : te voila vulnérable. il n'y a pas un besoin impératif d'interactivité, et encore moins de PHP obligatoirement.


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
mood
Publicité
Posté le 30-09-2014 à 19:20:56  profilanswer
 

n°1365400
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 30-09-2014 à 19:21:23  profilanswer
 

Ralph- a écrit :


 
Sinon zsh, c'est franchement puissant


certaines versions de zsh ont la faille.


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°1365405
goblin_rie​ur
ingé systemes unix
Posté le 30-09-2014 à 20:24:08  profilanswer
 

black_lord a écrit :


 
non, pas du tout. c'est plus que réducteur et faux.
 
Imagine que tu analyses tes access logs (action à posteriori donc); et que tu mettes l'UA dans une variable pour l'afficher (c'est un exemple, pas un PoC) : te voila vulnérable. il n'y a pas un besoin impératif d'interactivité, et encore moins de PHP obligatoirement.


 
j'ai effectivement pris un énorme raccourci ....
 
L'experience démontre qu'une faille n'a d'interet/danger selon le coté où on se place que si elle est exploitable depuis l'exterieur... si tu as un accès physique à une machine il n'existera jamais de protection à quoi que ce puisse etre...
 
 
la seule exploitation distante  démontrée de bout en bout est bien pour l'instant l'utilisation via une page auto-hebergée, à ma connaissance.
y'a des tas d'exemples mais qui ne marchent que dans des conditions parfaites sous entendant entre autre avoir déjà franchis un éventuel routage pour ne citer que l'erreur de base de 90% des démonstrations "failed"
 
 
Mais ça n'empèche en rien oui évidement en local toute utilisation de bash sans le correctif  (y compris l'accès en réseau local et sessions réseau actives bien sur) d'avoir la faille active, je ne prétends absoluement pas du tout le contraire...   :hello:
 
 
Les conditions de l'exploitation à minima : (documentés dans le patch)

no security services, like selinux, and have a netwok listenning service active, or an application (even webapps) launching a bash script


 
 


Message édité par goblin_rieur le 30-09-2014 à 20:31:27

---------------
Collectionner les vieux serveurs c'est chouette mais c'est lourd et ça prend de la place ;)
n°1365406
Magicpanda
Pushing the envelope
Posté le 30-09-2014 à 20:27:51  profilanswer
 

Attention meme si bash n'est pas le shell par défaut, il peut être appelé par une appli comme apache.  
Par ailleurs il y a eu plusieurs correctifs, il faut vérifier la prise en charge du dernier.


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
n°1365408
Magicpanda
Pushing the envelope
Posté le 30-09-2014 à 20:43:37  profilanswer
 

Un bon papier de ars technica


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
n°1365410
Magicpanda
Pushing the envelope
Posté le 30-09-2014 à 20:48:51  profilanswer
 

http://web.nvd.nist.gov/view/vuln/ [...] hs&cves=on
 
La faille est si triviale, étrange qu'elle soit restée inaperçue


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
n°1365415
memaster62
just do turbo S and tux
Posté le 30-09-2014 à 21:26:30  profilanswer
 

une webapp qui lance un bash_script c'est vraiment :sweat:  
qui fait ça? faudra m'expliquer un exemple :sleep:  (suffisament répandu bien sûr)


---------------
ma conduite intérieure .:R
n°1365420
popeye0
⭐⭐⭐⭐⭐
Posté le 01-10-2014 à 00:45:50  profilanswer
 

Même 01net en parle [:frag_facile]


---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
n°1365975
Magicpanda
Pushing the envelope
Posté le 09-10-2014 à 09:53:56  profilanswer
 

http://www.dwheeler.com/essays/shellshock.html


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Débats

  [FAILLE] "Shell shock"

 

Sujets relatifs
[Bash - Shell] Script qui se lance tant que la condition est pas valid[ Shell ] Transformation liste en tableau avec ..awk ?
Linux shell compression archivesQuestions shell
Arch : shell problème bindkey ?boucle shell a 2 variable
[shell] script sauvegarde recuperer nom hote windowsafficher un ASCII ART en shell via ECHO
Script Shell de Restauration de dossiers Backupés sous Linux de puisaccélérer l'écécution d'un script shell
Plus de sujets relatifs à : [FAILLE] "Shell shock"



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR