Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

ShellShock : Apple propose une mise à jour pour corriger la faille Bash de ces systèmes

Le , par kOrt3x

0PARTAGES

1  0 
Apple vient de mettre à disposition des correctifs pour OS X :

OS X bash Update 1.0 - OS X Lion
OS X bash Update 1.0 – OS X Mountain Lion
OS X bash Update 1.0 – OS X Mavericks

Apparemment, pas de mises à jour pour les versions antérieurs à 10.7 et pas de correctif pour la prochaine version de OS X Yosemite, elle serait directement intégrée.

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de iorireda3
Candidat au Club https://www.developpez.com
Le 03/10/2014 à 0:52
Bonjour

Croyez moi que sur un shell normal (sh) la ligne de cmd donne le même resultat !

Nous n'allons pas retirer tous les shell quand même ! on travaillera comment sinon ? avec quel environnement ?

Merci
0  0 
Avatar de rt15
Membre confirmé https://www.developpez.com
Le 03/10/2014 à 16:53
Citation Envoyé par iorireda3 Voir le message
Bonjour

Croyez moi que sur un shell normal (sh) la ligne de cmd donne le même resultat !

Nous n'allons pas retirer tous les shell quand même ! on travaillera comment sinon ? avec quel environnement ?

Merci
Attention, il est probable que sur pas mal de Linux, sh n'est rien qu'un lien symbolique vers bash :
Code : Sélectionner tout
1
2
3
ls -l /bin/sh
lrwxrwxrwx  1 root root 4 Feb 19  2014 /bin/sh -> bash
Et non, ce n'est a priori pas une pub pour les anti-virus mais une vraie faille, et même une faille très facile à exploitée par rapport au cas habituel où il faut un shell code.
Cela étant comme déjà dit, elle affecte en gros que les serveurs avec bash utilisé pour exécuter des scripts cgi (En gros car il y a d'autres cas, mais plus rares j'imagine.). Donc pas le PC de tante Janine. Cela étant tante Janine est généralement sous Windows.

Regarde sur internet, il y a des exemples vraiment simple d'exploitation.
Après pour trouver un serveur vulnérable, c'est plus compliqué. Faut trouver un serveur avec des scripts cgi et je sais pas trop si ça cours les rues de nos jours.

Visiblement les pirates testent l'existence de fichier cgi sur les serveurs à partir de listes fixes genre :
/cgi-sys/entropysearch.cgi
/cgi-sys/defaultwebpage.cgi
/cgi-mod/index.cgi
/cgi-bin/test.cgi
/cgi-bin-sdb/printenv
0  0 
Avatar de elssar
Membre actif https://www.developpez.com
Le 06/10/2014 à 9:22
Citation Envoyé par rt15 Voir le message
Attention, il est probable que sur pas mal de Linux, sh n'est rien qu'un lien symbolique vers bash :
Code : Sélectionner tout
1
2
3
ls -l /bin/sh
lrwxrwxrwx  1 root root 4 Feb 19  2014 /bin/sh -> bash
Et non, ce n'est a priori pas une pub pour les anti-virus mais une vraie faille, et même une faille très facile à exploitée par rapport au cas habituel où il faut un shell code.
Cela étant comme déjà dit, elle affecte en gros que les serveurs avec bash utilisé pour exécuter des scripts cgi (En gros car il y a d'autres cas, mais plus rares j'imagine.). Donc pas le PC de tante Janine. Cela étant tante Janine est généralement sous Windows.

Regarde sur internet, il y a des exemples vraiment simple d'exploitation.
Après pour trouver un serveur vulnérable, c'est plus compliqué. Faut trouver un serveur avec des scripts cgi et je sais pas trop si ça cours les rues de nos jours.

Visiblement les pirates testent l'existence de fichier cgi sur les serveurs à partir de listes fixes genre :
/cgi-sys/entropysearch.cgi
/cgi-sys/defaultwebpage.cgi
/cgi-mod/index.cgi
/cgi-bin/test.cgi
/cgi-bin-sdb/printenv
Si si il y a encore pas mal de serveurs utilisant des scripts CGI. Après ça concerne souvent des serveurs de PME, ou des trucs perso.
Pour ma part, nous n'en utilisons pas, mais par sécurité j'ai maj.

Quant aux anti-virus sur linux j'ai pas très bien compris
On parle d'une faille sur des serveurs utilisant une distrib linux, on protège pas ça avec un anti-virus hein
0  0 
Avatar de abel.cain
Inactif https://www.developpez.com
Le 22/11/2014 à 6:27
Citation Envoyé par LSMetag Voir le message
Bref tu peux l'attraper en surfant
comment?
0  0 
Avatar de abel.cain
Inactif https://www.developpez.com
Le 22/11/2014 à 6:44
Citation Envoyé par BenDeVil Voir le message
J'ai aussi un peu de mal à comprendre comment cette faille peut être si catastrophique?! Je comprends bien que d'anciens systèmes ont la failles et ne seront plus mis-à-jour, mais encore faut il pouvoir exploiter la faille! Si je comprends bien, il faut avoir l'autorité de lancer une commande bash pour exécuter le code.
Non, il faut qu'un processus invoque bash.

Citation Envoyé par BenDeVil Voir le message
Sur un réseau protégé (par un firewall par exemple), comment un pirate peut il l'exploiter?
La question n'est pas "est-ce qu'il y a un pare-feu?" mais "est-ce qu'il y a des serveurs réseaux à l'écoute que je peux contacter?"
0  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 02/10/2014 à 14:09
En 22 ans, la faille n'a pas été découverte, officiellement. Patchée en moins de 24h.
Des failles connues, remontées chez d'autres OS depuis leur origine ne sont toujours pas patchées... et leur support est abandonné sans que la faille soit jamais patchée... laissant la DSI se débrouiller ( poliment ) avec le bébé né avec une cuillère en argent dans la bouche.

Au niveau de la qualité, c'est déjà incomparable ( cf. un écran de pub qui a ostensiblement affiché BSOD en 6x3 pendant un mois, au moins, de vacances ), mais alors niveau réactivité, heureusement que certain n'ont pas la charge du réseau mondial. Et j'espère bien ne l'auront jamais.

A bon entendeur,

PS : faire défiler des écrans de pub, je veux dire, sans planter, ils savent faire ? Ou est-ce trop demander à XP ?
0  1 
Avatar de iorireda3
Candidat au Club https://www.developpez.com
Le 03/10/2014 à 0:41
Bonjour,

Quelqu'un peut nous faire une démonstration ? un vrai, du genre j'attaque un site et je suis capable de prendre la main sur le serveur qui héberge le site.

Parler pour parler ou dénigrer les autres systemes c'est facile, mais pour le prouver je pense qu'il y que des phrases qui font peur au gens.

Ne serait-ce pas un debut de pub pour les anti-virus sur les Linux ?

J'ai confiance en Bash et à mon LINUX/UNIX quoi qu'il arrive.

Merci
0  1