Linux / unix : une très grave faille affecte le shell bash
- Initiateur de la discussion el jadida
- Date de début
Tres interessant
Nalinux
It's not a bug, it's a feature.
@farid_h,
J ai lu ca hier, je voulais relayer l info mais j ai eu la flemme
Si tu veux rire, va lire d article de Slate a ce sujet.
C est tellement mal écrit que j ai cru que c était un hoax
En plus, sous pas mal de Linux, le shell par defaut n est pas bash sauf erreur.
Si je ne me trompe pas, j ai mis ma Mint sous bash pour incompatibilité avec quelques uns de mes scripts.
Ce que j aime bien, c est la complétion. Quand j utilisai FreeBSD, tcsh était frustrant pour ca, surtout quand on ne maitrise pas l arborescense du systeme.
http://www.slate.fr/story/92601/bash-nouveau-bug-pire-heartbleed
J ai lu ca hier, je voulais relayer l info mais j ai eu la flemme
Si tu veux rire, va lire d article de Slate a ce sujet.
C est tellement mal écrit que j ai cru que c était un hoax
En plus, sous pas mal de Linux, le shell par defaut n est pas bash sauf erreur.
Si je ne me trompe pas, j ai mis ma Mint sous bash pour incompatibilité avec quelques uns de mes scripts.
Ce que j aime bien, c est la complétion. Quand j utilisai FreeBSD, tcsh était frustrant pour ca, surtout quand on ne maitrise pas l arborescense du systeme.
http://www.slate.fr/story/92601/bash-nouveau-bug-pire-heartbleed
Seulement les shell installés sur des machines au Maroc ?
Peut‑être qu’il y a un C’est drôle d’avoir posté sur ce sujet dans « Actualités Marocaines ». Pourquoi ?
Zsh c’est plus mieux d’abord, nah!
Non, en vrai je connais pas Tcsh, j’ai jamais essayé.
el jadida
el jadida/mazagan beach
Houlala… malheureusement si, et à tel point que pour beaucoup de gens, en plus de confondre Linux et UNIX, confondent shell (le type d’application) et Bash, comme si le shell était toujours Bash.
kiiwii
100% second degré
qui se rappelle encore des faux-virus à l'ancienne en quelques lignes bash sur win
tout à coup votre pc devient possédé avec un écran à l'envers et le lecteur qui s'ouvre en permanence
C’est pas courant Bash sur Windowsqui se rappelle encore des faux-virus à l'ancienne en quelques lignes bash sur win
.Anyway, les virus ou les programmes malveillants, ça peut prendre toutes les formes. Alors bien possible qu’il y ait eu des scripts Batch dans ce cas.
Nalinux
It's not a bug, it's a feature.
A priori, sous Win c est des commandes DOS, pas bashqui se rappelle encore des faux-virus à l'ancienne en quelques lignes bash sur win
tout à coup votre pc devient possédé avec un écran à l'envers et le lecteur qui s'ouvre en permanence
C est un peu le meme principe de lignes de commande, mais bash et les autres sont exclusivement pour les machines Unix :
Solaris, IBM, Hp_UX, Linux, FreeBSD, MacOSX etc
Eh?L’article a dit:
-- edit --
Ça s’arrange pas dans la suite de l’article.
C’est tiré par les cheveux.L’article a dit:
Nalinux
It's not a bug, it's a feature.
Sauf erreur, c est pas dash sous Ubuntu ?
Les serveurs Ubuntu représentent 22% des serveur chez OVH, par exemple.
32% Debian.
http://www.ovh.com/ca/fr/a1264.systemes-exploitation-os-serveurs-dedies-ovh
Pour les autres Unix, a moins que ca ait changé, bash n est pas le shell par defaut.
Pour moi c’était Bash, mais ça semble variable.
Dash, spécifique à Debian (Dash signifie Debian Almquist SHell) est plus primitif de Bash, et est utilisé par Debian pour les installations « légères et minimalistes » (qui ne le sont pas tant que ça, d’où mes guillemets).
ChangingShells (wiki.ubuntu.com)
ubuntu.com a dit:
Mais est aussi dit
DashAsBinSh (wiki.ubuntu.com)
ubuntu.com a dit:
Pourtant avec Ubuntu 12.04, c’était Bash.
Peut‑être une explication.
Code:
ls -l $(which sh)
Code:
0 lrwxrwxrwx 1 root root 4 juin 8 2012 /bin/sh -> dashLe Sh par défaut est bien Dash (Sh est un lien symbolique vers Dash), mais ça ne signifie pas que le shell par défaut le soit. Invoquer Sh, invoque Dash, mais ça n’empêche pas le shell par défaut d’être Bash… l’explication est peut‑être dans cette nuance.
Pas pour les BSD en tous cas (qui en plus sont sûrement plus des UNIX que ne l’est Linux).
2. Default Shell (freebsd.org)
freebsd.org a dit:
Ni pour Solaris
Selecting a Default Shell (docs.oracle.com)
docs.oracle.com a dit:
Et de même pour d’autres…
Bash est plus spécifique à Linux qu’aux UNIX en général.
Un veritable marathon de patching pour ce soir; je suis en train d'actualiser une ferme de 12,520 serveurs Linux. Heureusement que tout est bien automatise pour ca, et qu'actualiser /bin/bash ne cause aucune disruption (teste sur des systemes test). 4,237 / 12,520 actualises. pour l'instant...
Nalinux
It's not a bug, it's a feature.
Ce qui peut faire la difference, c est si des scripts appellent
#!/bin/sh
ou #!/bin/bash
Ca ne m etonnerai pas que certains utilisent le path complet.
A mon simple niveau de bricoleur, je ne me rappelle plus d exemple précis, mais j ai du etre explicite lors de l appel du shell dans certains scripts maison pour cause de compatibilité.
Exemple : des scripts écrits sous Ubuntu ne fonctionnaient plus sous Mint/Debian .
C est agacant
Nalinux
It's not a bug, it's a feature.
12520 ???
Tu bosses chez un hébergeur ?
Je suppose que la plupart doivent etre des Debian. Ca traine pas les mises a jours importantes chez eux .
Je prefere aussi zsh, mais dans les serveurs FreeBSD que j'administre, je prefere ne pas changer la default shell (tcsh pour utilisateurs et bourne shell pour les scripts). Pour l'instant, j'ai la chance de ne devoir actualiser qu'un nombre moyen de serveurs Linux, les FreeBSD auront leur tour quelques jours avant la publication de prochain security advisory. Pareil pour les autres Unix.
Oui, ce client particulier est un datacenter qui offre des instances virtuelles. Je freelance pour eux depuis quelques annees.12520 ???
Tu bosses chez un hébergeur ?
Je suppose que la plupart doivent etre des Debian. Ca traine pas les mises a jours importantes chez eux .
Nalinux
It's not a bug, it's a feature.
Pourquoi prefere tu zsh ?
Pour l ecriture de scripts ? edit : lu trop vite pour les scripts.
Au quotidien, je n ai pas vu plus pratique que bash, esentiellement a cause de la complétion et la touche Tab.
J avoue sans honte etre fainéant
Je n ai pas trouvé de tableau comparatif pertinent sur les differents shells, avec leurs avantages et inconvénients.
Disons que pour les systemes Linux, les scripts ont perdu de l'importance depuis systemd (que j'aime pas vraiment, mais tout le monde va dans cette direction, on suit les masses, ca cause le moins de douleurs...)Pourquoi prefere tu zsh ?
Pour l ecriture de scripts ? edit : lu trop vite pour les scripts.
Au quotidien, je n ai pas vu plus pratique que bash, esentiellement a cause de la complétion et la touche Tab.
J avoue sans honte etre fainéant
Je n ai pas trouvé de tableau comparatif pertinent sur les differents shells, avec leurs avantages et inconvénients.
Tu connais un article plus sérieux que celui de Slate à ce sujet ?
Il y a réellement quelque chose ou pas ? Je n’utilise pas Bash, mais il est installé chez moi, il est l’interpréteur de quelques scripts, et c’est mon shell de login que je ne peux pas changer chez 1&1 (mais après je passe à zsh avec un `exec zsh` que j’ai ajouté à la fin de `.profile`).La faille présente‑t‑elle un risque quand Bash est le shell de connexion et seulement ça ?
Cherches CVE-2014-6271 chez nist.gov.Tu connais un article plus sérieux que celui de Slate à ce sujet ?
La faille présente‑t‑elle un risque quand Bash est le shell de connexion et seulement ça ?
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
Nalinux
It's not a bug, it's a feature.
Si j ai bien compris, la faille existe quand bash est appellé. On s en fout de ton shell de connectionTu connais un article plus sérieux que celui de Slate à ce sujet ?
La faille présente‑t‑elle un risque quand Bash est le shell de connexion et seulement ça ?
De plus, Apache a son propre user ...
cf http://www.bladi.info/threads/linux-unix-grave-faille-affecte-shell-bash.387109/#post-13170750
Je voulais dire connexion SSH.
Ils n’ont pas mis à jour, et je ne peux rien y faire, parce que c’est un serveur mutualisé.
Code:
bash --version
GNU bash, version 4.2.48(1)-ui-release (i486-pc-linux-gnu)
[bla‑bla GPL, le commerce c’est mal]Et même après avoir fait les mise à jour en attente, pour Ubuntu c’est une version encore un peu plus ancienne:
Code:
bash --version
GNU bash, version 4.2.25(1)-release (i686-pc-linux-gnu)
[bla‑bla GPL, le commerce c’est mal]Ben tant‑pis, je vais attendre les jours qui viennent (que faire d’autre ?) et lire à ce sujet pour savoir de quoi se méfier et savoir si quelque chose est déjà arrivé dans le passé sans que je ne m’en aperçoive.
Nalinux
It's not a bug, it's a feature.
Il me semble que c est un autre pb.
Si on entre dans ta connection ssh, c est un pb de ssh.
Peu importe le shell, ca n intervient que apres l authentification.
Le risque du bug actuel est qu il peut etre appellé via des serveurs web Apache, forcément ouverts a l extérieur.
Bon courage… au moins t’es à l’abri du chômage pour quelques temps alors
Hihi, oui, merci.Bon courage… au moins t’es à l’abri du chômage pour quelques temps alors
Apres le patching d'urgence, il faudra repatcher les machines une foi que le fix officiel sera publie.