"Shell shock" [FAILLE] - Débats - Linux et OS Alternatifs
Marsh Posté le 29-09-2014 à 18:08:37
super article là :
https://linuxfr.org/news/une-faille-nommee-shellshock
Marsh Posté le 29-09-2014 à 19:08:45
bonjour,
le correctif est sencé être fiable, dès à présent, mais il y aura de toute façon à la prochaine version une version définitive de ce point de vu précis... soit avec soit sans modification du patch actuel.
la faille était/est réelle mais son exploitation est fatalement peu probable, il faut absoluement un site en php avec un exec pas protegé appelant un script bash.... ce qui devrait être interdit à la base car peu logique comme utilisation.... et bien sur le tout à condition d'avoir un site php hébérgé chez soi ou sur un fournisseur de service comme ovh...par exemple.
Marsh Posté le 29-09-2014 à 20:49:24
Merci pour vos liens et ta réponses goblin_rieur.
C'est ce que je me disais, c'est un peu trop "médiatisé" cette faille. Surtout qu'elle est présente depuis longtemps (apparemment depuis la version 1.13).
Changer d’interpréteur serait peut être préférable ? (genre C shell) ?
Marsh Posté le 29-09-2014 à 20:53:57
pourquoi pas il est tjrs interessant de connaitre au moins deux shells
Marsh Posté le 29-09-2014 à 21:11:10
Ok.
Tout ça est plus clair pour moi.
Il y a un site spécialisé qui recense sur les failles open sources, genre redhat security mais toutes distribution confondu ?
Marsh Posté le 30-09-2014 à 11:31:34
Salahhedin a écrit : Merci pour vos liens et ta réponses goblin_rieur. |
Sinon zsh, c'est franchement puissant
Marsh Posté le 30-09-2014 à 17:08:40
ReplyMarsh Posté le 30-09-2014 à 19:20:56
goblin_rieur a écrit : bonjour, |
non, pas du tout. c'est plus que réducteur et faux.
Imagine que tu analyses tes access logs (action à posteriori donc); et que tu mettes l'UA dans une variable pour l'afficher (c'est un exemple, pas un PoC) : te voila vulnérable. il n'y a pas un besoin impératif d'interactivité, et encore moins de PHP obligatoirement.
Marsh Posté le 30-09-2014 à 19:21:23
Ralph- a écrit : |
certaines versions de zsh ont la faille.
Marsh Posté le 30-09-2014 à 20:24:08
black_lord a écrit : |
j'ai effectivement pris un énorme raccourci ....
L'experience démontre qu'une faille n'a d'interet/danger selon le coté où on se place que si elle est exploitable depuis l'exterieur... si tu as un accès physique à une machine il n'existera jamais de protection à quoi que ce puisse etre...
la seule exploitation distante démontrée de bout en bout est bien pour l'instant l'utilisation via une page auto-hebergée, à ma connaissance.
y'a des tas d'exemples mais qui ne marchent que dans des conditions parfaites sous entendant entre autre avoir déjà franchis un éventuel routage pour ne citer que l'erreur de base de 90% des démonstrations "failed"
Mais ça n'empèche en rien oui évidement en local toute utilisation de bash sans le correctif (y compris l'accès en réseau local et sessions réseau actives bien sur) d'avoir la faille active, je ne prétends absoluement pas du tout le contraire...
Les conditions de l'exploitation à minima : (documentés dans le patch)
no security services, like selinux, and have a netwok listenning service active, or an application (even webapps) launching a bash script |
Marsh Posté le 30-09-2014 à 20:27:51
Attention meme si bash n'est pas le shell par défaut, il peut être appelé par une appli comme apache.
Par ailleurs il y a eu plusieurs correctifs, il faut vérifier la prise en charge du dernier.
Marsh Posté le 30-09-2014 à 20:43:37
Un bon papier de ars technica
Marsh Posté le 30-09-2014 à 20:48:51
http://web.nvd.nist.gov/view/vuln/ [...] hs&cves=on
La faille est si triviale, étrange qu'elle soit restée inaperçue
Marsh Posté le 30-09-2014 à 21:26:30
une webapp qui lance un bash_script c'est vraiment
qui fait ça? faudra m'expliquer un exemple (suffisament répandu bien sûr)
Marsh Posté le 01-10-2014 à 00:45:50
ReplyMarsh Posté le 09-10-2014 à 09:53:56
http://www.dwheeler.com/essays/shellshock.html
Marsh Posté le 29-09-2014 à 11:13:19
Bonjour,
Depuis jeudi, j'ai entendu parlé de la faille bash existante depuis de nombreuses années sur linux. Étant un récent dans le monde du libre, j'avais quelque questions :
Le correctif mit en place par les différentes distributions est-il complet ou partiel ?
Quelle est réellement l'impact de cette faille ? est-ce à l’exécution du shell ?
Merci pour vos réponses, ça va m'éclairer
Message édité par Salahhedin le 29-09-2014 à 11:15:16