Shellshock bogue et d'autres vulnérabilités BASH (CVE-2014-6271, CVE-2014-7169, ...)

Common Vulnerabilities and Exposures (CVE) :

   •    CVE-2014-6271 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

   •    CVE-2014-7169 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169  

Qu’est-ce que Bash?

Bash, acronyme de Bourne-Again shell, constitue le shell (interface système) par défaut d’Ubuntu. Lorsque vous accédez à l’interface en ligne de commande par le terminal (soit par l’émulateur de terminal, par tty ou par ssh), c’est pour y entrer en général des commandes que bash lira et exécutera. Même sans terminal, vous disposez de Bash. (Source : http://askubuntu.com/questions/528101/what-is-the-cve-2014-6271-bash-vulnerability-and-how-do-i-fix-it

Description :

À l'origine, une faille (CVE-2014-6271) a été trouvée dans la fonctionnalité Bash qui évalue les variables d’environnement spécialement formatées qui lui ont été transmises à partir d’un autre environnement.)

Un pirate pourrait utiliser cette faille pour remplacer ou contourner les restrictions de l’environnement afin d’y exécuter des commandes shell avant que les restrictions soient appliquées. Certains services et certaines applications permettent aux pirates distants non authentifiés d’introduire des variables d’environnement et d’exploiter ainsi la faille dans Bash.

Des vulnérabilités supplémentaires on été publiées par la suite. (Voir le CVE ci-dessus)

Comment suis-je affecté par cette faille ?
En plus de la référence externe ci-dessous, vous pouvez lire la section "/How does the exploit affect me?/": 
http://askubuntu.com/questions/528101/what-is-the-cve-2014-6271-bash-vulnerability-and-how-do-i-fix-it 

Systèmes touchés :

1- Ubuntu : http://www.ubuntu.com/usn/usn-2362-1/

2- CentOS : Versions 5, 6, 7 : http://lists.centos.org/pipermail/centos/2014-September/146099.html 

3- Debian : https://security-tracker.debian.org/tracker/CVE-2014-6271

4- Mac OS : http://alblue.bandlem.com/2014/09/bash-remote-vulnerability.html 

Étapes à suivre pour reproduire le problème

Exécutez la commande suivante (recommandée) :

for i in `type -a bash| egrep -o "/.*"`; do /bin/echo -n "$i " ; x="() { :; };t=un" $i -c 'echo  is ${t}safe' 2>/dev/null; done

Ou celle-ci :

 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

 – Si votre système est vulnérable, la sortie sera la suivante :

vulnerable
hello

– Si votre système n’est pas vulnérable, la sortie sera la suivante :

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for`x'

hello

 

Pour CVE-2014-7169

Exécutez la commande suivante:

cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo

 – Si votre système est vulnérable, la sortie sera la suivante :

   # cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
   bash: x: line 1: syntax error near unexpected token `='
   bash: x: line 1: `'
   bash: error importing function definition for `x'
   Fri Sep 26 09:53:04 EDT 2014

– Si votre système n’est pas vulnérable, la sortie sera la suivante :

   # cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
   date
   cat: /tmp/echo: No such file or directory

 

Solution :

Si vous n'êtes pas en mesure de mettre à jour le paquet bash vulnérable en utilisant la commande ci-dessous (ex: vielle version du système d'exploitation, ...), veuillez communiquer avec notre équipe de support technique.

 

1- Ubuntu :   http://www.ubuntu.com/usn/usn-2362-1/

Pour mettre à jour votre système, veuillez suivre les instructions à l’adresse suivante : https://wiki.ubuntu.com/Security/Upgrades.

Vous pouvez vérifier la version de votre paquet logiciel en utilisant la commande suivante :

dpkg -s bash | grep Version

Mettez à jour votre liste de paquets logiciels et installez la nouvelle version du paquet Bash :

sudo apt-get update && sudo apt-get install bash

 

2- CentOS :

Vérifiez la version de votre paquet logiciel Bash :

rpm -qa bash 

Mettez votre paquet logiciel Bash à jour :

yum update bash

3- Debian : https://security-tracker.debian.org/tracker/CVE-2014-6271 

Mettez à jour la liste de paquets logiciels et installez la plus récente version de Bash :

sudo apt-get update && sudo apt-get install bash

 

4- Mac OS : Suivez les instructions à l’adresse suivante : http://alblue.bandlem.com/2014/09/bash-remote-vulnerability.html 

Afin de confirmer que votre Bash n’est plus vulnérable, exécutez la commande suivante :

for i in `type -a bash| egrep -o "/.*"`; do /bin/echo -n "$i " ; x="() { :; };t=un" $i -c 'echo  is ${t}safe' 2>/dev/null; done

Si votre Bash n’est pas vulnérable, la sortie sera la suivante :
/bin/bash is safe

 

Références:

- CVE-2014-6271 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
- CVE-2014-7169 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
- CVE-2014-7186  http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7186
- CVE-2014-7187 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7187
- CVE-2014-6277 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6277
- CVE-2014-6278 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6278
-
 https://github.com/hannob/bashcheck

Details supplémentaires : http://www.cvedetails.com/vulnerability-list/vendor_id-72/product_id-21050/year-2014/GNU-Bash.html

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk