LINUX : faille shellshock
LINUX : faille shellshock
Il y a une grosse faille de sécurité sur els système linux/unix .. via Bash.
http://www.zdnet.com/unixlinux-bash-critical-security-hole-uncovered-700...
Pour tester si le serveur ou le système est touché dans la console , il faut entrer la commande :
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Si vous obtenez
vulnerable
this is a test
C'est pas bon et il faut installer le patch qui est ici : http://superuser.com/questions/816787/how-do-i-patch-the-shellshock-vuln...
Je le recopie : (en root)
mkdir src
cd src
wget http://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
#download all patches
for i in $(seq -f "%03g" 0 25); do wget http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-$i; done
tar zxvf bash-4.3.tar.gz
cd bash-4.3
#apply all patches
for i in $(seq -f "%03g" 0 25);do patch -p0 < ../bash43-$i; done
#build and install
./configure --prefix=/ && make && make install
cd ..
cd ..
rm -r src
Après vous faites à nouveau le test :
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Vous devriez obtenir :
bash: avertissement :x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test
Faites le test, c'est pas cher et ça peut rapporter gros :)
Acry