Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Frederic MASSOT
Le 26/09/2014 20:34, David Pinson a écrit : Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de w

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Vincent Lefevre
On 2014-09-26 16:38:00 +0200, daniel huhardeaux wrote: > Ah ? Si tu gères des serveurs web je te propose de faire un simple > cat |grep "() {" et de compter le nombre de > tentatives d'accès comme par exemple Et même: grep '() *{' J'en ai eu 3 le 25 septembre. Et comme j'ai conservé mes logs depu

Après upgrade, Iceweasel ne se lance plus

2014-09-26 Par sujet andre_debian
Après un upgrage de Wheezy, suite au correctif de bash, Iceweasel ne se lance plus : $ iceweasel Error: Platform version '17.0.10' is not compatible with minVersion >= 17.0.9 maxVersion <= 17.0.9 La version 17.0.10 ne semble pas acceptée. Merci d'un conseil. André -- Lisez la FAQ de la liste ava

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Philippe Gras
Zut ! ~# env X="() { :;} ; echo busted" /bin/sh -c "echo completed" busted completed ~# env X="() { :;} ; echo busted" `which bash` -c "echo completed" busted completed Par contre dans mes logs, je n'ai que des trucs comme ça : 142.4.195.183 - - [26/Sep/2014:00:59:39 +0200] "POST /cgi-bin/php/%

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet admini
pendant ce temps ca scanne sévère: () { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a je vois ça sur mon site de production. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "un

Re : Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet nicolas . patrois
Le 26/09/2014 20:34:42, David Pinson a écrit : > C'est parfait car c'est patché ! J’ai mis à jour ce matin et pas redémarré mes sessions. J’ai la même sortie. nicolas patrois : pts noir asocial -- RÉALISME M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des humains ? Un cerv

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet David Pinson
Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : "bash: warning: x: ignoring functio

Conseils sur l'utilisation de tc (traffic control)

2014-09-26 Par sujet Olivier
Bonjour, Voici le schema logique de mon installation (pour une résidence hôtelière): Modem xDSL --- xN --- Routeur Wheezy ---xM--- Points d'accès WiFi ---xP--- PC, Smartphones J'ai 5 à 7 modems ADSL (soit 50Mb/s de download théorique), 20 à 30 points d'accès WiFi et 100 utilisateurs instantanés.

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Dominique Asselineau
Philippe Gras wrote on Fri, Sep 26, 2014 at 05:32:58PM +0200 > > Le 26 sept. 14 à 16:45, David Guyot a écrit : > > >Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a > >écrit : > >>Ah ? Si tu gères des serveurs web je te propose de faire un > >>simple cat > >>|grep "() {" et de com

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Philippe Gras
Le 26 sept. 14 à 16:45, David Guyot a écrit : Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a écrit : Ah ? Si tu gères des serveurs web je te propose de faire un simple cat |grep "() {" et de compter le nombre de tentatives d'accès comme par exemple 89.207.135.125 - - [25/S

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet David Guyot
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a écrit : > Ah ? Si tu gères des serveurs web je te propose de faire un simple cat > |grep "() {" et de compter le nombre de > tentatives d'accès comme par exemple > > 89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET > /cgi-sys

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet daniel huhardeaux
Le 26/09/2014 15:12, Philippe Gras a écrit : Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit : Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash empêche ce type d'attaque ou limite l'attaque

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Francois Lafont
Merci pour vos réponses. Effectivement je me trompais. Si j'ai bien compris, le problème n'est pas le fait qu'un attaquant (via le web, je me plaçais dans cette hypothèse) puisse *créer* une variable d'environnement particulière qu'un processus local bash utilisera ensuite. Le problème n'est pas v

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Philippe Gras
Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit : Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Sébastien NOBILI
Le vendredi 26 septembre 2014 à 12:45, Vincent Lefevre a écrit : > Ou ceux qui exécutent un programme menant indirectement à l'exécution > de bash, puisque l'environnement est hérité. > > grep /bin/bash /bin/* /usr/bin/* > > peut donner une idée de ce qui ne doit pas être exécuté (directement >

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Vincent Lefevre
On 2014-09-26 11:33:50 +0200, Yves Rutschle wrote: > On Fri, Sep 26, 2014 at 11:10:53AM +0200, Francois Lafont wrote: > > Perso, même si c'est vraiment une grosse faille, ça me semble moins > > grave que Heartbleed. > > Ça se discute, les effets n'étant pas le même... > > Par exemple, ici il va f

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Vincent Lefevre
On 2014-09-26 11:44:05 +0200, Sébastien NOBILI wrote: > Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : > > Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash > > empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? > > Si tous les CGI ut

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Vincent Lefevre
On 2014-09-26 11:10:53 +0200, Francois Lafont wrote: > Perso, même si c'est vraiment une grosse faille, ça me semble moins > grave que Heartbleed. Je suis d'accord. > Je vais peut-être dire des bêtises (auquel cas > je serais ravi d'avoir des explications) mais il me semble que si > l'on prend l'

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet daniel huhardeaux
Le 26/09/2014 12:26, valentin OVD a écrit : Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet... C'est le CVE-2014-6271 Le second est sorti depuis plus de 12h, c'est le CVE-2014-7169 -- ovd ---

RE: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet valentin OVD
Le fix du CVE-2014-6272 n'est pas complet. Faut attendre le fix complet... -- ovd De : Frédéric MASSOT Envoyé : ‎26/‎09/‎2014 12:17 À : debian-user-french@lists.debian.org

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Yves Rutschle
On Fri, Sep 26, 2014 at 11:10:53AM +0200, Francois Lafont wrote: > Perso, même si c'est vraiment une grosse faille, ça me semble moins > grave que Heartbleed. Ça se discute, les effets n'étant pas le même... Par exemple, ici il va falloir mettre à jour les serveurs: c'est lourd, mais on sait fair

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Frédéric MASSOT
Le 26/09/2014 11:44, Sébastien NOBILI a écrit : Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI utilisen

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Belaïd
bonjour, la nouvelle mise à jour bash 4.2+dfsg-0.1+deb7u3 a vue le jour hier soir vers 23h30 Le 26 sept. 2014 11:25, "admini" a écrit : > Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : > >> On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: >> >>> env x='() { :;}; echo vulnerable

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Belaïd
bonjour, Le 26 sept. 2014 11:25, "admini" a écrit : > Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : > >> On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: >> >>> env x='() { :;}; echo vulnerable' bash -c 'echo hello' >>> >> >> J'ai upgradé bash et relancé, tapé la commande ci-

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Sébastien NOBILI
Bonjour, Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : > Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash > empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanch

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet admini
Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit : On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : "bash: warning: x: ignoring functi

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet David Guyot
Bonjour, tout le monde. Ce message d'erreur signifie, à mon sens, que Bash a détecté ta tentative de création de fonction par une variable d'environnement et l'a rejetée. Ça prouve que le correctif est appliqué chez toi. Cordialement. Le vendredi 26 septembre 2014 à 11:16 +0200, andre_deb...@num

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet andre_debian
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote: > env x='() { :;}; echo vulnerable' bash -c 'echo hello' J'ai upgradé bash et relancé, tapé la commande ci-dessus et j'ai ce message de warning : "bash: warning: x: ignoring function definition attempt bash: erreur lors de l'import de la déf

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Francois Lafont
Bonjour, Le 25/09/2014 22:24, andre_deb...@numericable.fr a écrit : > La vulnérabilité pourrait constituer une plus grande menace que Heartbleed > > www.developpez.com/actu/75661/Linux-et-Unix-affectes-par-une-faille-critique-dans-Bash-la-vulnerabilite-pourrait-constituer-une-plus-grande-menace-q

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Frédéric MASSOT
Le 26/09/2014 10:03, Daniel Huhardeaux a écrit : Le 26/09/2014 08:11, Charles Plessy a écrit : Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit : Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de

Re: Linux et Unix affectés par une faille critique dans Bash

2014-09-26 Par sujet Daniel Huhardeaux
Le 26/09/2014 08:11, Charles Plessy a écrit : Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit : Non ce n'est pas un hoax ! Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors de l'update/upgrade) Par contre, pas de mise à jour pour squeeze (oui je sais elle est obs