Pages : 1
#1 Le 25/09/2014, à 18:53
- sandrockurt
Faille de sécurité sur bash
Bonjour,
Je vous contacte concernant la faille découverte récemment : http://www.zdnet.fr/actualites/bash-uni … 806881.htm
Je m'interroge sur la vulnérabilité de mes serveurs LAMP. Je ne fais pas appel a des scripts bash dans mon code mais est-ce que mon serveur apache le fait? Mon inquiétude vient du fait que j'ignore un peu ce qu'il se passe derrière une interface comme phpmyadmin par exemple.
Dans tous les cas, je vais vérifier demain s'il utilise mod_cgi ou mod_cgid dans la config. Personnellement, je ne n'ai jamais activé manuellement l'emploi du cgi.
Dernière modification par sandrockurt (Le 25/09/2014, à 19:00)
Hors ligne
#2 Le 25/09/2014, à 19:27
- Yooxel
Re : Faille de sécurité sur bash
Salut,
Si tu t'inquiètes de la sécurité de ton serveur, tu peux déjà enlever phpmyadmin.
Y
Hors ligne
#3 Le 25/09/2014, à 19:48
- sandrockurt
Re : Faille de sécurité sur bash
Je vois, ta réponse est très instructive ... sur ma propre méconnaissance de ce que je manipule ^^
Hors ligne
#4 Le 25/09/2014, à 20:44
- tiramiseb
Re : Faille de sécurité sur bash
Salut,
Bah mets à jour tes systèmes, c'est tout...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#5 Le 25/09/2014, à 20:58
- Yooxel
Re : Faille de sécurité sur bash
Salut,
Bah mets à jour tes systèmes, c'est tout...
Non, ce n'est pas tout, le patch officiel ne règle pas entièrement le problème.
Mais pour répondre plus sérieusement au sujet. Tu n'as probablement pas de scripts cgi donc ça roule.
Et je suis sérieux à propos de phpmyadmin, c'est très bien pour le localhost, ton ordi; mais pour un serveur, il est préférable d'apprendre à manier la commande mysql.
Y
Hors ligne
#6 Le 25/09/2014, à 21:10
- tiramiseb
Re : Faille de sécurité sur bash
Je suis d'accord, phpmyadmin sur un serveur en prod' c'est une erreur.
Surtout qu'on a rarement des choses à faire avec phpmyadmin sur un serveur.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#7 Le 25/09/2014, à 21:14
- sandrockurt
Re : Faille de sécurité sur bash
Pas de souci, j'ai bien pris le conseil au sérieux. Je désinstalle phpmyadmin demain.
je pense installer un client lourd comme le serveur est sur mon lan.
En tout cas merci pour l'aide. A+
Hors ligne
#8 Le 25/09/2014, à 21:25
- tiramiseb
Re : Faille de sécurité sur bash
À part ça, pour vérifier si Apache peut accéder à Bash, jette un œil aux modules chargés, en effet.
Mais je pense qu'il n'y a pas trop de risques...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#9 Le 25/09/2014, à 21:34
- bruno
Re : Faille de sécurité sur bash
Il y a déjà 2 fils de discussion là-dessus dans la rubrique « Sécurité » et un gros bandeau alarmiste en tête du forum 
Pour l'instant la seule exploitation relevée est sur du serveur web avec cgi. Apache+PHP+mod_cgi par exemple. Et comme d'autres personnes j'ai constaté des tentatives d'exploitation dans les logs de plusieurs serveurs web.
Généralement les gens configurent leur serveur web personnel avec mod_php qui ne semble pas impacté.
D'autre part sur Debian/Ubuntu les scripts shell lancés par un utilisateur système sont exécutés par Dash (sauf erreur de ma part) et non par Bash. Or Dash n'est pas impacté par cette faille. Donc a priori rien à craindre à moins d'avoir modifié /bin/sh…
Dernière modification par bruno (Le 25/09/2014, à 21:36)
#10 Le 25/09/2014, à 22:35
- Pseudo supprimé
Re : Faille de sécurité sur bash
sudo a2dismod cgiet mettre à jour le paquet bash
#11 Le 26/09/2014, à 08:25
- tiramiseb
Re : Faille de sécurité sur bash
Sur Ubuntu je n'ai pas fait gaffe, mais la faille est entièrement corrigée sur Debian maintenant. Donc mise à jour, et voilà c'est bon, comme je l'ai dit en #4 (sauf qu'entre-temps le problème est contrairement corrigé, le message #5 de Yooxel est devenu caduc, vive le logiciel libre et ses patches en moins de 24h !
D'autre part sur Debian/Ubuntu les scripts shell lancés par un utilisateur système sont exécutés par Dash (sauf erreur de ma part) et non par Bash
Ça dépend du shebang. Si le shebang demande Bash, c'est Bash qui sera utilisé...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#12 Le 26/09/2014, à 08:34
- bruno
Re : Faille de sécurité sur bash
Ça dépend du shebang. Si le shebang demande Bash, c'est Bash qui sera utilisé...
Toutafé, mais je parlais des tentatives d'exploit qui utilisent l'injection de code dans les en-têtes http par exemple.
Et je confirme que le nouveau patch corrigeant sans doute complètement la faille a été publié. et que les mises à jour de bash sont disponibles chez Debian et Ubuntu. Voilà, comme tu le dis cela montre bien la force du libre : communication ouverte, nombreuses personnes pouvant examiner et analyser le code ⇒ correctif disponible très rapidement.
Pages : 1