LINUX : faille shellshock

1 post / 0 new
#1 Fri, 26/09/2014 - 21:37
No picture available
acryline Erin

LINUX : faille shellshock

Il y a une grosse faille de sécurité sur els système linux/unix .. via Bash.

http://www.zdnet.com/unixlinux-bash-critical-security-hole-uncovered-700...

Pour tester si le serveur ou le système est touché dans la console , il faut entrer la commande :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si vous obtenez

vulnerable
this is a test

C'est pas bon et il faut installer le patch qui est ici : http://superuser.com/questions/816787/how-do-i-patch-the-shellshock-vuln...

Je le recopie : (en root)

mkdir src
cd src
wget http://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
#download all patches
for i in $(seq -f "%03g" 0 25); do wget http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-$i; done
tar zxvf bash-4.3.tar.gz 
cd bash-4.3
#apply all patches
for i in $(seq -f "%03g" 0 25);do patch -p0 < ../bash43-$i; done
#build and install
./configure --prefix=/ && make && make install
cd .. 
cd ..
rm -r src

Après vous faites à nouveau le test :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Vous devriez obtenir : 

bash: avertissement :x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test

Faites le test, c'est pas cher et ça peut rapporter gros :)

Acry