RE: [LA-discussions] Faille de sécurité dans Bash Linux / Unix

[Nicolas GOHARPOUR <koorosh@xxxxxxx>]

Je me considère pas vraiment comme  un spécialiste mais  plus comme  un passionnée de la sécurité informatique. 

Ensuite, oui, effectivement, je pourrais vous en parler et  éventuellement  vous publier des procédures sur la mise en oeuvre d'outils de sécurité tels que la mise  en place de NIDS , WIDS , etc. 

Koorosh

---

From: orangemecannique@xxxxxxxxxx
To: discussions@xxxxxxxxxxxxxxxx
Subject: RE: [LA-discussions] Faille de sécurité dans Bash Linux / Unix
Date: Fri, 26 Sep 2014 23:51:12 +0200

Bonjour,


Effectivement il y a une faille de sécurité importante dans bash.

Je l'ai tweeté cette nuit pour LA https://twitter.com/linuxarverne/status/515294940470190081

Nous remontons donc l'information pour les abonnés à la ML :

Pour savoir si votre machine est affectée, lancez dans un terminal la commande :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Une machine vulnérable retournera :

vulnerable
this is a test

Une machine non affectée retournera :

bash: avertissement : x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test

Le patch de sécurité doit être disponible pour la plupart des distributions, il suffit de mettre à jour votre système :


- Via votre gestionnaire de MÀJ, graphiquement


- Ou en ligne de commande :

sudo apt-get update ; sudo apt-get upgrade  (pour Ubuntu et dérivés)

su + rootpassword
aptitude update ; aptitude upgrade  (pour Debian et basées)

Merci Koorosh pour tes précisions :)
Nous n'avons pas encore de spécialiste(s) en sécu à L.A. Si d'ailleurs tu en fais, tu pourrais venir nous en parler. 

Bash est un shell ou interpréteur de commande qui interagit directement avec le noyaux, c'est une couche logicielle dont on ne peut pas ce passer. Après il existe les shell zsh et csh. Je ne sais pas si il en existe en python.


Librement
Alex_K