Pour info. http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/index.html
une faille de bash qui exécute le contenu de variables d'environnement; passées dans des champs de formulaire web; notamment un écran de login où on saisit un nom d'utilisateur (avant que le script serveur s'exécute et valide les données du formulaire) ou bien affecte une session OpenSSH pour ouvrir une commande authentifiée et communiquer des données. La principale attaque se situe sur les sites web Apache utilisant une interface CGI pour passer les formualires dans des varaibles d'environne,ents dans un scripts shele exécuté par bash. http://www.silicon.fr/5-questions-faille-shell-shock-visant-bash-97012.html LEs détail techiques de l'attque ont été publiés en ligne dès le 26 septembre alors que la vulnérabilité a été connue 2 jours avant. Attaques confirmées sur un de mes comptes bancaires en ligne avec des tentatives répétées d'intrusion depuis le 26 septembre (plusieurs fois par jour à n'importequelel heure du jour et de la nuit, avec des transactions que je n'ai jamais demandées, PC éteint et mobile éteint. Attaque distribuée depuis des lieux divers dans le monde et je ne dois pas être le seul). Mettez à jour vos serveurs web Unix/Linux (les patches pour bash sont dispo sous Redhat, Ubuntu, Mandriva, Fedora, Oracle; et divers Unix ... mais certains patches avant le 27 septembre ont d'autres vulnérabilités de pointeurs nuls. Les patches proposés vont encore subir des liftings. Et probablement il y aura de nouvelles mesures de sécurité pour l'interface CGI d'Apache et intégrer des méthodes de detection et filtrages de certaines séquences de données ou modifier la méthode d'encapsulation de données de formulaires en CGI.
_______________________________________________ Talk-fr mailing list Talk-fr@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-fr
