Faille BASH : shellshock
BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
Pour vous convaincre, il vous suffit de faire un essai dans votre Bash :
Citation :
$ env x='() { :;}; echo vulnerable' bash -c "echo ceci est un teste"
vulnerable
ceci est un teste
$ env x='() { :;}; echo vulnerable' bash -c "echo ceci est un teste"
vulnerable
ceci est un teste
Si vous voyez le message ‘ceci est un test’ (et vous le verrez…
votre système est vulnérable.Vous pouvez aussi taper en console :
Citation :
curl https://shellshocker.net/shellshock_test.sh | bash
https://shellshocker.net/
Édité par BlackHawk Le 04/10/2014 à 07h33
Visiteur
En passant (comme ça me pique les yeux), un test ne prend pas de E à la fin
Et si on voit uniquement le message "Ceci est un test" sans voir "vulnérable" ça veut dire au contraire que la machine est non affectée.
Attention à bien vérifier ce genre de sujet.
Je me pose quand même une question, est-ce que les PC "bureautique" sont "attaquables" avec cette faille ou ne concerne t'elle que les serveur web ?
BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
paiiou Membre non connecté
-
- Voir le profil du membre paiiou
- Inscrit le : 12/10/2010
- Site internet
Je viens de vérifier avec la commande de ubuntu
BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
Citation :
curl https://shellshocker.net/shellshock_test.sh | bash
Adrien.D Membre non connecté
-
- Voir le profil du membre Adrien.D
- Inscrit le : 30/05/2011
- Site internet
- Groupes :
Voici le résultat :
Code :
2 [11:01:13] adriencl@superlinux: ~ $ curl https://shellshocker.net/shellshock_test.sh | bash
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 2533 100 2533 0 0 9242 0 --:--:-- --:--:-- --:--:-- 9346
CVE-2014-6271 (original shellshock): not vulnerable
bash : ligne 16 : 3171 Erreur de segmentation bash -c "f() { x() { _;}; x() { _;} <<a; }" 2> /dev/null
CVE-2014-6277 (segfault): VULNERABLE
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable
Config : PC Fixe : X470 GAMING PRO- AMD Ryzen 5 2600X - 16Go RAM - Radeon RX 560 (Pilote libre) - Gentoo Linux - GNOME Desktop - Kernel 5.10 LTS
Ancien Webmaster de MageiaLinuxOnline. Les remplaçants assurent !
Ancien Webmaster de MageiaLinuxOnline. Les remplaçants assurent !
Akien Membre non connecté
-
- Voir le profil du membre Akien
- Inscrit le : 12/06/2011
- Groupes :
-
Équipe Mageia
Citation :
CVE-2014-6277 (segfault): VULNERABLE
C'est un faux positif, bash tel qu'il est compilé dans Mageia ne permet pas de reproduire ce test.
Edit: Non je me suis trompé pour CVE-2014-6277. Celui là plus un autre ne sont pas complètement corrigés par la dernière mise à jour de bash (la 3ème en une semaine) : https://bugs.mageia.org/show_bug.cgi?id=14193#c15
Une 4ème mise à jour arrivera dès que les patches seront disponibles.
Édité par Akien Le 04/10/2014 à 14h07
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie