[FAILLE] "Shell shock"

"Shell shock" [FAILLE] - Débats - Linux et OS Alternatifs

Marsh Posté le 29-09-2014 à 11:13:19    

Bonjour,
 
Depuis jeudi, j'ai entendu parlé de la faille bash existante depuis de nombreuses années sur linux. Étant un récent dans le monde du libre, j'avais quelque questions :
 
Le correctif mit en place par les différentes distributions est-il complet ou partiel ?
 
Quelle est réellement l'impact de cette faille ? est-ce à l’exécution du shell ?
 
Merci pour vos réponses, ça va m'éclairer :)


Message édité par Salahhedin le 29-09-2014 à 11:15:16
Reply

Marsh Posté le 29-09-2014 à 11:13:19   

Reply

Marsh Posté le 29-09-2014 à 17:33:27    

Reply

Marsh Posté le 29-09-2014 à 18:08:37    

Reply

Marsh Posté le 29-09-2014 à 19:08:45    

bonjour,  
le correctif est sencé être fiable, dès à présent, mais il y aura de toute façon à la prochaine version une version définitive de ce point de vu précis... soit avec soit sans modification du patch actuel.
 
la faille était/est réelle mais son exploitation est fatalement peu probable, il faut absoluement un site en php avec un exec pas protegé appelant un script bash.... ce qui devrait être interdit à la base car peu logique comme utilisation.... et bien sur le tout à condition d'avoir un site php hébérgé chez soi ou sur un fournisseur de service comme ovh...par exemple.


---------------
Collectionner les vieux serveurs c'est chouette mais c'est lourd et ça prend de la place ;)
Reply

Marsh Posté le 29-09-2014 à 20:49:24    

Merci pour vos liens et ta réponses goblin_rieur.
 
C'est ce que je me disais, c'est un peu trop "médiatisé" cette faille. Surtout qu'elle est présente depuis longtemps (apparemment depuis la version 1.13).
 
Changer d’interpréteur serait peut être préférable ? (genre C shell) ?

Reply

Marsh Posté le 29-09-2014 à 20:53:57    

pourquoi pas il est tjrs interessant de connaitre au moins deux shells


---------------
Collectionner les vieux serveurs c'est chouette mais c'est lourd et ça prend de la place ;)
Reply

Marsh Posté le 29-09-2014 à 21:11:10    

Ok.
 
Tout ça est plus clair pour moi.
 
Il y a un site spécialisé qui recense sur les failles open sources, genre redhat security mais toutes distribution confondu ?

Reply

Marsh Posté le 30-09-2014 à 11:31:34    

Salahhedin a écrit :

Merci pour vos liens et ta réponses goblin_rieur.
 
C'est ce que je me disais, c'est un peu trop "médiatisé" cette faille. Surtout qu'elle est présente depuis longtemps (apparemment depuis la version 1.13).
 
Changer d’interpréteur serait peut être préférable ? (genre C shell) ?


 
Sinon zsh, c'est franchement puissant

Reply

Marsh Posté le 30-09-2014 à 17:08:40    

et OpenBSD utilise (pd)ksh :)


---------------
http://agentoss.wordpress.com/
Reply

Marsh Posté le 30-09-2014 à 19:20:56    

goblin_rieur a écrit :

bonjour,  
le correctif est sencé être fiable, dès à présent, mais il y aura de toute façon à la prochaine version une version définitive de ce point de vu précis... soit avec soit sans modification du patch actuel.
 
la faille était/est réelle mais son exploitation est fatalement peu probable, il faut absoluement un site en php avec un exec pas protegé appelant un script bash.... ce qui devrait être interdit à la base car peu logique comme utilisation.... et bien sur le tout à condition d'avoir un site php hébérgé chez soi ou sur un fournisseur de service comme ovh...par exemple.


 
non, pas du tout. c'est plus que réducteur et faux.
 
Imagine que tu analyses tes access logs (action à posteriori donc); et que tu mettes l'UA dans une variable pour l'afficher (c'est un exemple, pas un PoC) : te voila vulnérable. il n'y a pas un besoin impératif d'interactivité, et encore moins de PHP obligatoirement.


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 30-09-2014 à 19:20:56   

Reply

Marsh Posté le 30-09-2014 à 19:21:23    

Ralph- a écrit :


 
Sinon zsh, c'est franchement puissant


certaines versions de zsh ont la faille.


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 30-09-2014 à 20:24:08    

black_lord a écrit :


 
non, pas du tout. c'est plus que réducteur et faux.
 
Imagine que tu analyses tes access logs (action à posteriori donc); et que tu mettes l'UA dans une variable pour l'afficher (c'est un exemple, pas un PoC) : te voila vulnérable. il n'y a pas un besoin impératif d'interactivité, et encore moins de PHP obligatoirement.


 
j'ai effectivement pris un énorme raccourci ....
 
L'experience démontre qu'une faille n'a d'interet/danger selon le coté où on se place que si elle est exploitable depuis l'exterieur... si tu as un accès physique à une machine il n'existera jamais de protection à quoi que ce puisse etre...
 
 
la seule exploitation distante  démontrée de bout en bout est bien pour l'instant l'utilisation via une page auto-hebergée, à ma connaissance.
y'a des tas d'exemples mais qui ne marchent que dans des conditions parfaites sous entendant entre autre avoir déjà franchis un éventuel routage pour ne citer que l'erreur de base de 90% des démonstrations "failed"
 
 
Mais ça n'empèche en rien oui évidement en local toute utilisation de bash sans le correctif  (y compris l'accès en réseau local et sessions réseau actives bien sur) d'avoir la faille active, je ne prétends absoluement pas du tout le contraire...   :hello:
 
 
Les conditions de l'exploitation à minima : (documentés dans le patch)

no security services, like selinux, and have a netwok listenning service active, or an application (even webapps) launching a bash script


 
 


Message édité par goblin_rieur le 30-09-2014 à 20:31:27

---------------
Collectionner les vieux serveurs c'est chouette mais c'est lourd et ça prend de la place ;)
Reply

Marsh Posté le 30-09-2014 à 20:27:51    

Attention meme si bash n'est pas le shell par défaut, il peut être appelé par une appli comme apache.  
Par ailleurs il y a eu plusieurs correctifs, il faut vérifier la prise en charge du dernier.


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
Reply

Marsh Posté le 30-09-2014 à 20:43:37    

Un bon papier de ars technica


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
Reply

Marsh Posté le 30-09-2014 à 20:48:51    

http://web.nvd.nist.gov/view/vuln/ [...] hs&cves=on
 
La faille est si triviale, étrange qu'elle soit restée inaperçue


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
Reply

Marsh Posté le 30-09-2014 à 21:26:30    

une webapp qui lance un bash_script c'est vraiment :sweat:  
qui fait ça? faudra m'expliquer un exemple :sleep:  (suffisament répandu bien sûr)


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
Reply

Marsh Posté le 01-10-2014 à 00:45:50    

Même 01net en parle [:frag_facile]


---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Marsh Posté le 09-10-2014 à 09:53:56    

http://www.dwheeler.com/essays/shellshock.html


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed