Le Sat, 27 Sep 2014 01:20:12 +0200,
Frederic MASSOT frede...@juliana-multimedia.com a écrit :
Pour testing, la version de Bash avec le deuxième patch était encore
ce matin dans SID. N'oubliez pas le chemin de SID vers testing en cas
de pépin de sécurité est de deux jours. Si vous souhaitez des
Salut,
Sébastien NOBILI a écrit le 26/09/2014 11:50 :
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent
Salut,
daniel huhardeaux a écrit le 26/09/2014 16:40 :
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0 404 345 - () { :;}; /bin/ping
-c 1 198.101.206.138
ou encore
202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] GET /
HTTP/1.0
yamo' a écrit :
Salut,
Bonjour,
daniel huhardeaux a écrit le 26/09/2014 16:40 :
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0 404 345 - () { :;}; /bin/ping
-c 1 198.101.206.138
ou encore
202.38.120.248 213.239.227.108 -
Le Fri, Sep 26, 2014 at 03:11:02PM +0900, Charles Plessy a écrit :
Bonne nouvelle:
bash (4.1-3+deb6u2) squeeze-lts; urgency=high
Et pour les utilisateurs de versions encore plus anciennes, vu sur
plantet.debian.org:
http://blog.bofh.it/debian/id_451
Bonne fin de semaine,
--
Le 26/09/2014 15:12, Philippe Gras a écrit :
Bien sûr. Ceci dit, et si la faille existe depuis 22 ans comme c'était
écrit dans l'article,
elle n'a sans doute pas été connue par énormément de pirates potentiels…
Ce n'est
certainement pas la peine de flipper.
Attention à ne pas sous-estimer
Le 27/09/2014 19:14, r...@rootshell.tk a écrit :
Le 26/09/2014 15:12, Philippe Gras a écrit :
Bien sûr. Ceci dit, et si la faille existe depuis 22 ans comme c'était
écrit dans l'article,
elle n'a sans doute pas été connue par énormément de pirates potentiels…
Ce n'est
certainement pas la
Le 25/09/2014 22:24, andre_deb...@numericable.fr a écrit :
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors
de l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est obsolète)
Bonne nouvelle:
bash
Le 26/09/2014 08:11, Charles Plessy a écrit :
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors
de l'update/upgrade)
Par contre, pas de mise à jour pour squeeze (oui je sais elle est
Le 26/09/2014 10:03, Daniel Huhardeaux a écrit :
Le 26/09/2014 08:11, Charles Plessy a écrit :
Le Fri, Sep 26, 2014 at 07:56:06AM +0200, JUPIN Alain a écrit :
Non ce n'est pas un hoax !
Sur wheezy, la mise à jour a été publiée (bash a été mis à jour lors
de l'update/upgrade)
Par contre, pas de
Bonjour,
Le 25/09/2014 22:24, andre_deb...@numericable.fr a écrit :
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la
Bonjour, tout le monde.
Ce message d'erreur signifie, à mon sens, que Bash a détecté ta
tentative de création de fonction par une variable d'environnement et
l'a rejetée. Ça prouve que le correctif est appliqué chez toi.
Cordialement.
Le vendredi 26 septembre 2014 à 11:16 +0200,
Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit :
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
bash: warning: x: ignoring
Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent « /bin/sh », alors pas de problème. En revanche,
bonjour,
Le 26 sept. 2014 11:25, admini adm...@freeatome.com a écrit :
Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit :
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande
bonjour,
la nouvelle mise à jour bash 4.2+dfsg-0.1+deb7u3 a vue le jour hier soir
vers 23h30
Le 26 sept. 2014 11:25, admini adm...@freeatome.com a écrit :
Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit :
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo
Le 26/09/2014 11:44, Sébastien NOBILI a écrit :
Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent
On Fri, Sep 26, 2014 at 11:10:53AM +0200, Francois Lafont wrote:
Perso, même si c'est vraiment une grosse faille, ça me semble moins
grave que Heartbleed.
Ça se discute, les effets n'étant pas le même...
Par exemple, ici il va falloir mettre à jour les serveurs:
c'est lourd, mais on sait
@lists.debian.orgmailto:debian-user-french@lists.debian.org
Objet : Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014 11:44, Sébastien NOBILI a écrit :
Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh
De : Frédéric MASSOT mailto:frede...@juliana-multimedia.com
Envoyé : 26/09/2014 12:17
À : debian-user-french@lists.debian.org
mailto:debian-user-french@lists.debian.org
Objet : Re: Linux et Unix affectés par une faille critique dans Bash
Le 26/09/2014
On 2014-09-26 11:10:53 +0200, Francois Lafont wrote:
Perso, même si c'est vraiment une grosse faille, ça me semble moins
grave que Heartbleed.
Je suis d'accord.
Je vais peut-être dire des bêtises (auquel cas
je serais ravi d'avoir des explications) mais il me semble que si
l'on prend
On 2014-09-26 11:44:05 +0200, Sébastien NOBILI wrote:
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent
On 2014-09-26 11:33:50 +0200, Yves Rutschle wrote:
On Fri, Sep 26, 2014 at 11:10:53AM +0200, Francois Lafont wrote:
Perso, même si c'est vraiment une grosse faille, ça me semble moins
grave que Heartbleed.
Ça se discute, les effets n'étant pas le même...
Par exemple, ici il va falloir
Le vendredi 26 septembre 2014 à 12:45, Vincent Lefevre a écrit :
Ou ceux qui exécutent un programme menant indirectement à l'exécution
de bash, puisque l'environnement est hérité.
grep /bin/bash /bin/* /usr/bin/*
peut donner une idée de ce qui ne doit pas être exécuté (directement
ou
Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit :
Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh
vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal
écrit ?
Si tous les CGI
Merci pour vos réponses.
Effectivement je me trompais. Si j'ai bien compris, le problème
n'est pas le fait qu'un attaquant (via le web, je me plaçais dans
cette hypothèse) puisse *créer* une variable d'environnement
particulière qu'un processus local bash utilisera ensuite. Le
problème n'est pas
Le 26/09/2014 15:12, Philippe Gras a écrit :
Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit :
Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien /bin/sh
vers dash
empêche ce type d'attaque ou limite l'attaque à
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
écrit :
Ah ? Si tu gères des serveurs web je te propose de faire un simple cat
fichier log serveur web|grep () { et de compter le nombre de
tentatives d'accès comme par exemple
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200]
Le 26 sept. 14 à 16:45, David Guyot a écrit :
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
écrit :
Ah ? Si tu gères des serveurs web je te propose de faire un simple
cat
fichier log serveur web|grep () { et de compter le nombre de
tentatives d'accès comme par exemple
Philippe Gras wrote on Fri, Sep 26, 2014 at 05:32:58PM +0200
Le 26 sept. 14 à 16:45, David Guyot a écrit :
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
écrit :
Ah ? Si tu gères des serveurs web je te propose de faire un
simple cat
fichier log serveur web|grep () { et
Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit :
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
bash: warning: x: ignoring
Le 26/09/2014 20:34:42, David Pinson a écrit :
C'est parfait car c'est patché !
J’ai mis à jour ce matin et pas redémarré mes sessions.
J’ai la même sortie.
nicolas patrois : pts noir asocial
--
RÉALISME
M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des
humains ? Un
pendant ce temps ca scanne sévère:
() { :;}; /bin/bash -c \echo testing9123123\; /bin/uname -a
je vois ça sur mon site de production.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
Zut !
~# env X=() { :;} ; echo busted /bin/sh -c echo completed
busted
completed
~# env X=() { :;} ; echo busted `which bash` -c echo completed
busted
completed
Par contre dans mes logs, je n'ai que des trucs comme ça :
142.4.195.183 - - [26/Sep/2014:00:59:39 +0200] POST /cgi-bin/php/%63%
On 2014-09-26 16:38:00 +0200, daniel huhardeaux wrote:
Ah ? Si tu gères des serveurs web je te propose de faire un simple
cat fichier log serveur web|grep () { et de compter le nombre de
tentatives d'accès comme par exemple
Et même: grep '() *{'
J'en ai eu 3 le 25 septembre. Et comme j'ai
Le 26/09/2014 20:34, David Pinson a écrit :
Le 26/09/2014 11:16, andre_deb...@numericable.fr a écrit :
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed
www.developpez.com/actu/75661/Linux-et-Unix-affectes-par-une-faille-critique-dans-Bash-la-vulnerabilite-pourrait-constituer-une-plus-grande-menace-que-Heartbleed/
http://seclists.org/oss-sec/2014/q3/649
Info, hoax ou
Bonsoir,
Le 25/09/2014 22:24, andre_deb...@numericable.fr a écrit :
La vulnérabilité pourrait constituer une plus grande menace que Heartbleed
40 matches
Mail list logo