[Linux] Nouvelle faille de sécurité majeure ?

Christophe Courtois christophe@::1
Mar 30 Sep 09:04:01 CEST 2014


Salut,

Le 2014-09-30 08:15, François DREYFÜRST a écrit :
>> Le 29/09/14 09:49, François DREYFÜRST a écrit :
>> Vérifier que les mises à jour sont faites : pour toutes les 
>> machines, voir si ce qui suit renvoie "This device is vulnerable"
>> env x='() { :;}; echo This device is vulnerable'  bash -c "echo 
>> Testing vulnerability"
> Ça s'exécute en  tant que root ?

Non, tout shell est vulnérable.
Evidemment, si un attaquant passe par une application web pour arriver 
à un bash, il n'aura pas de suite un shell root. Mais il peut fair edéjà 
beaucoup de dégâts sans ça.

> Perso, lorsque j'ai installé ma Debian, j'ai décoché les groupes de
> paquets de la famille « serveur » ... c'est plutôt bon, ou bien ?

Si tu n'en as pas besoin, c'est une bonne idée.

>> Et Debian est un bon choix, puisque (si j'ai bien compris ce que je 
>> répète), le shell par défaut n'est PAS bash (contrairement à bien 
>> d'autres distros).
> Au passage, comment vérifier quel shell est actif ?

Ca dépend du user...

mais ls -l /bin/sh  doit pointer sur dash (pas bash) sur une Debian.

> Voir ce que je disais plus haut : en principe, j'ai fermé ce qui doit
> l'être, avec le pare-feu FireStarter qui tourne sur ma bécane (en 
> aval
> du routeur) ; l'autre ordi branché sur le routeur tourne en Windows

Déjà avec le routeur tu as un pare-feu naturel (faut voir après comment 
il est configuré), donc si tu n'as pas ouvert de port tu dois pouvoir 
dormir tranquille.

Le problème est que de plus en plus de services ont besoin d'ouvrir des 
ports sans qu'on en ait conscience, et qu'il y a de plus en plus 
d'objets connectés. Chez moi, y a déjà une imprimante, un ampli, deux 
caméras, et on nous promet les frigos et les montres.

>> 20 ans qu'il est là, ce bug, 20 ans ! Combien d'autres de ce calibre 
>> existent ??
> Oui, comme tu dis, entre ça, Heartbleed et d'autres bugs
> éventuellement encore à venir, il y a de quoi virer parano ET se
> demander si les logiciels libres sont aussi sûrs que leurs promoteurs
> le disent.

Pas moins que le camp d'en face. Mon Mac 10.6 n'est pas encore patché 
(il a bash). Si le bug fait les gros titres, c'est aussi une conséquence 
de la politique d'ouverture et de transparence. Et je peux laisser 
tomber bash pour zsh, la sélection naturelle peut jouer.

> J'avais découvert l'info sur le site du journal berlinois « die
> Tageszeitung » http://www.taz.de , sorte d'équivalent allemand de
> notre « Libé » ; dans leur article, ils disent sans détour que sur ce
> coup, les logiciels libres en prennent un coup question crédibilité.

C'est indubitable...


Plus d'informations sur la liste de diffusion linux