Sécurité: la mégafaille «Shellshock» secoue le monde Linux

[sylvainsjc]

Salut à tous,
J'espère qu'on aura vite un correctif...
En savoir plus : http://www.01net.com/editorial/627512/l ... et-max-os/

[sylvainsjc]

En tout cas, c'est déjà corrigé dans les dépôts 2014.1

Код: Выделить всё

[sylvain@Rosa2014Fresh ~]$ rpm -qa | grep bash
bash-4.3-5-rosa2014.1.x86_64
bash-completion-2.1-13-rosa2014.1.noarch
[sylvain@Rosa2014Fresh ~]$ 

[stefninie]

Bonjour, j'ai fait le test et c'est vulnérable pour moi Rosa R3.

[Gerardll51]

Salut à tous,

Mon PC doit être aussi vulnérable on dirait :

Код: Выделить всё

[gerard@localhost ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Maintenant faut quand même l'exploiter cette faille sur un petit PC comme on a nous.
Bizarrement je ne me sens pas concerné.

[Gerardll51]

Je me souviens d'un soir aux infos sur TF1 où Bill Gates était invité.
Et en parlant de la sécurité informatique il avait dit que Linux n'était pas plus sécurisé que Windows!
Tout ça avec un petit sourire.
Sans doute savait-il des choses qu'on risque de découvrir maintenant.

Mais bon, s'il y a déjà des correctifs c'est déjà ça, comme dirait Souchon.

[Gerardll51]

Faille corrigée sur mon Eeepc avec Ubuntu 12.04 LTS d'origine.
Pour l'instant pas de correctif chez Rosa?

[sylvainsjc]

J'ai l'impression que toutes les énergies sont tournées vers la R4 qui devrait arriver sous peu. Je vais demander à Julia.
En attendant je pense qu'il est possible de mettre à jour la version de bash avec le rpm présent dans les dépôts 2014.1
32 bits : http://mirror.rosalinux.com/rosa/rosa20 ... 1.i586.rpm
64 bits : http://mirror.rosalinux.com/rosa/rosa20 ... x86_64.rpm

[Gerardll51]

Ok merci. Je télécharge on verra bien si ça ne provoque pas de bug de ne mettre que Bash à jour.

[Gerardll51]

Bon, ça y est.

Код: Выделить всё

[gerard@localhost ~]$ bash --version
GNU bash, version 4.3.0(1)-release (x86_64-unknown-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
Licence GPLv3+ : GNU GPL version 3 ou ultérieure <http://gnu.org/licenses/gpl.html>

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
[gerard@localhost ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

Bizarre la réponse au test de vulnérabilité?!
Pas besoin de redémarrer une fois Bash mis à jour alors?

[jojodu34]

mise à jour parue ce matin pour R3

Код: Выделить всё

$ rpm -qa --last | grep '28 sept. 2014'
bash-4.2-11.3-rosa2012.1.i586                 dim. 28 sept. 2014 04:17:39 CEST

vérif

Код: Выделить всё

$ bash --version
GNU bash, version 4.2.37(2)-release (i586-unknown-linux-gnu)
Copyright (C) 2011 Free Software Foundation, Inc.
Licence GPLv3+ : GNU GPL version 3 ou ultérieure <http://gnu.org/licenses/gpl.html>

Ceci est un logiciel libre ; vous être libre de le modifier et de le redistribuer.
Aucune garantie n'est fournie, dans la mesure de ce que la loi autorise.

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

[Gerardll51]

mise à jour parue ce matin pour R3

Moi je n'ai rien.
Peut-être que c'est parce que j'ai mis à jour hier via les liens de Sylvain.

[jojodu34]

oui tu as une version supérieure

[Gerardll51]

ok

[Bernard_rd]

Bonsoir,

Correctif effectué. En parlant sécurité j'ai lu ici : http://www.zdnet.fr/actualites/badusb-u ... 804521.htm
et la : http://www.numerama.com/magazine/30795- ... a-nsa.html
un problème lié aux cle USB. Rosa peut-il en être affecté ?

[sylvainsjc]

Salut,
Je peux me tromper mais je ne pense pas qu'un firmware contenu dans une clé USB soit capable de s'installer et polluer un système Linux.
C'est plutôt destiné aux systèmes Windows qui eux, détectent et installent automatiquement ces firmwares