Bash bug : Différence entre versions
(Page créée avec « Catégorie:Linux = Commande utile = Test de la vulnérabilité env x='() { :;}; echo vulneréble' bash -c "echo ceci est un test" = Liens utiles = * [https://web.nv... ») |
|||
(44 révisions intermédiaires par un utilisateur sont masquées) | |||
Ligne 1 : | Ligne 1 : | ||
+ | <!-- Links checked 29/10/18 --> | ||
[[Catégorie:Linux]] | [[Catégorie:Linux]] | ||
+ | [[Catégorie:Sécurité]] | ||
+ | '''[[Lien court]]''' vers cette page : https://vt.cx/Bbug | ||
+ | '''[[QR code]]''' vers cette page : https://vt.cx/Bbug.qr | ||
+ | <html> | ||
+ | <script type="text/javascript"><!-- | ||
+ | google_ad_client = "ca-pub-3341840374417340"; | ||
+ | /* VT2 */ | ||
+ | google_ad_slot = "6349432125"; | ||
+ | google_ad_width = 468; | ||
+ | google_ad_height = 60; | ||
+ | //--> | ||
+ | </script> | ||
+ | <script type="text/javascript" | ||
+ | src="//pagead2.googlesyndication.com/pagead/show_ads.js"> | ||
+ | </script> | ||
+ | </html> | ||
− | = | + | = Présentation = |
− | + | Découverte par Stéphane Chazelas (https://stephane.chazelas.free.fr), la vulnérabilité du '''[[Bash]] ([[Bourne-Again Shell]])''' affecte plusieurs millions de '''[[Linux]]''' et plus particulièrement ceux dont les bash des '''[[versions]]''' listées plus bas. Le présent article vise à regrouper toutes les informations relatives à la détection et l'éradication du '''[[Bash]] bug''' aussi désigné sous le terme de Shellshock. Selon Neowin des périphériques '''[[NAS]]''' des marques Synology et QNAP sont impactés<ref>[http://www.neowin.net/news/shellshock-bug-impacts-nas-devices-like-qnap-and-synology Neowin - 27/09/14] Shellshock bug impacts '''[[NAS]]''' devices like QNAP and Synology</ref><br/> | |
− | + | <br/> | |
+ | '''[[GNU Bash]] concernés''' : | ||
+ | * cpe:/a:gnu:bash:1.14.0 | ||
+ | * cpe:/a:gnu:bash:1.14.1 | ||
+ | * cpe:/a:gnu:bash:1.14.2 | ||
+ | * cpe:/a:gnu:bash:1.14.3 | ||
+ | * cpe:/a:gnu:bash:1.14.4 | ||
+ | * cpe:/a:gnu:bash:1.14.5 | ||
+ | * cpe:/a:gnu:bash:1.14.6 | ||
+ | * cpe:/a:gnu:bash:1.14.7 | ||
+ | * cpe:/a:gnu:bash:2.0 | ||
+ | * cpe:/a:gnu:bash:2.01 | ||
+ | * cpe:/a:gnu:bash:2.01.1 | ||
+ | * cpe:/a:gnu:bash:2.02 | ||
+ | * cpe:/a:gnu:bash:2.02.1 | ||
+ | * cpe:/a:gnu:bash:2.03 | ||
+ | * cpe:/a:gnu:bash:2.04 | ||
+ | * cpe:/a:gnu:bash:2.05 | ||
+ | * cpe:/a:gnu:bash:2.05:a | ||
+ | * cpe:/a:gnu:bash:2.05:b | ||
+ | * cpe:/a:gnu:bash:3.0 | ||
+ | * cpe:/a:gnu:bash:3.0.16 | ||
+ | * cpe:/a:gnu:bash:3.1 | ||
+ | * cpe:/a:gnu:bash:3.2 | ||
+ | * cpe:/a:gnu:bash:3.2.48 | ||
+ | * cpe:/a:gnu:bash:4.0 | ||
+ | * cpe:/a:gnu:bash:4.0:rc1 | ||
+ | * cpe:/a:gnu:bash:4.1 | ||
+ | * cpe:/a:gnu:bash:4.2 | ||
+ | * cpe:/a:gnu:bash:4.3 | ||
− | = | + | = Commandes utiles = |
− | + | == Test de la vulnérabilité == | |
+ | === Méthode 1 === | ||
+ | Saisir ou coller la ligne suivante : | ||
+ | env x='() { :;}; echo vulnerable' bash -c "echo this is a test" | ||
+ | En cas de vulnérabilité '''[[Linux]]''' affiche : | ||
+ | vulnerable | ||
+ | this is a test | ||
+ | Sinon affichage de : | ||
+ | bash: warning: x: ignoring function definition attempt | ||
+ | bash: error importing function definition for `x' | ||
+ | this is a test | ||
+ | ou seulement : | ||
+ | this is a test | ||
− | = Red Hat = | + | === Méthode 2 === |
− | * [https://access.redhat.com/articles/1200223 access.redhat.com] Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) | + | Saisir ou coller la ligne suivante : |
+ | env X='() { (a)=>\' sh -c "echo date"; cat echo | ||
+ | Si le système renvoie la '''date et l'heure''' c'est que le '''[[bash]]''' est vulnérable | ||
+ | Si le système renvoie le résultat suivant : | ||
+ | date | ||
+ | cat: echo: Aucun fichier ou dossier de ce type | ||
+ | sans interpréter la commande alors c'est que le '''[[bash]]''' n'est pas vulnérable | ||
+ | |||
+ | == Connaitre la version du Bash == | ||
+ | 3 possibilités : | ||
+ | bash --version | ||
+ | echo $BASH_VERSION | ||
+ | rpm -q bash (RedHat, Fedora, CentOS) | ||
+ | |||
+ | = [[Liens]] utiles = | ||
+ | == Informations == | ||
+ | * [https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271 National Vulnerability Database] '''CVE-2014-6271 [[Bash]]''' Bug | ||
+ | * [https://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html The Hacker News] Remotely Exploitable '''[[Bash Shell]]''' Vulnerability Affects '''[[Linux]], Unix''' and '''[[Apple Mac OS X]]''' | ||
+ | * [https://seclists.org/oss-sec/2014/q3/679 seclist.org] '''CVE-2014-6271''': remote code execution through '''[[bash]]''' | ||
+ | * [https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ securityblog.redhat.com] '''[[Bash]]''' specially-crafted environment variables code injection attack | ||
+ | |||
+ | == Correctifs == | ||
+ | === Github === | ||
+ | * [https://github.com/blog/1893-security-vulnerability-in-bash-addressed Github] Security vulnerability in '''[[bash]]''' addressed | ||
+ | |||
+ | === Red Hat === | ||
+ | * [https://access.redhat.com/articles/1200223 access.redhat.com] '''[[Bash]]''' Code Injection Vulnerability via Specially Crafted Environment Variables ('''CVE-2014-6271, CVE-2014-7169''') | ||
+ | * [https://rhn.redhat.com/errata/RHSA-2014-1293.html rhn.redhat.com] Critical: '''[[bash]]''' security update | ||
+ | sudo yum update bash | ||
+ | |||
+ | === CentOS === | ||
+ | * [https://lists.centos.org/pipermail/centos/2014-September/146099.html lists.centos.org] [CentOS] Critical update for '''[[bash]]''' released today | ||
+ | sudo yum update bash | ||
+ | |||
+ | === Fedora === | ||
+ | sudo yum update bash | ||
+ | |||
+ | === Ubuntu === | ||
+ | * [https://www.ubuntu.com/usn/usn-2362-1/ ubuntu.com] USN-2362-1: '''[[Bash]]''' vulnerability | ||
+ | sudo apt-get update && sudo apt-get install --only-upgrade bash | ||
+ | |||
+ | === Debian === | ||
+ | * [https://lists.debian.org/debian-security-announce/2014/msg00220.html lists.debian.org] [SECURITY] [DSA 3032-1] '''[[bash]]''' security update | ||
+ | sudo apt-get update && sudo apt-get install --only-upgrade bash | ||
+ | |||
+ | === CloudLinux === | ||
+ | * [https://cloudlinux.com/blog/clnews/update-for-bash-remote-vulnerability-cve20146271.php cloudlinux.com] Update '''[[bash]]''' remote vulnerability '''CVE-2014-6271''' | ||
+ | |||
+ | === [[Plesk]] Panel === | ||
+ | * [https://kb.sp.parallels.com/en/123006 parallels.com] '''[[Bash]]''' Code Injection Vulnerability via Variables | ||
+ | |||
+ | === [[Mac OS]] === | ||
+ | * [https://support.apple.com/kb/DL1769?viewlocale=fr_FR support.apple.com] OS X bash Update 1.0 – OS X Mavericks -> voir http://support.apple.com/kb/HT1222 | ||
+ | * [https://support.apple.com/kb/DL1768?viewlocale=fr_FR support.apple.com] OS X bash Update 1.0 – OS X Mountain Lion -> voir http://support.apple.com/kb/HT1222 | ||
+ | * [https://support.apple.com/kb/DL1767?viewlocale=fr_FR support.apple.com] OS X bash Update 1.0 - OS X Lion -> voir http://support.apple.com/kb/HT1222 | ||
+ | * [https://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an apple.stackexchange.com] How do I recompile '''[[Bash]]''' to avoid '''Shellshock''' (the remote exploit '''CVE-2014-6271''' and '''CVE-2014-7169)'''? | ||
+ | * [https://security.stackexchange.com/questions/68123/are-ordinary-os-x-desktops-at-risk-from-bash-shellshock-bug-cve-2014-6271 StackExchange] Are ordinary '''[[OS X]]''' desktops at risk from '''[[bash]]''' “shellshock” bug (CVE-2014-6271) | ||
+ | |||
+ | === [[iOS]] === | ||
+ | * Pas concerné selon '''[[Apple]]'''. Mais une incertitude toutefois sur les '''[[iOS]] jailbreakés''' | ||
+ | |||
+ | === [[Android]] === | ||
+ | * Pas concerné selon '''[[Google]]''' | ||
+ | * [https://play.google.com/store/apps/details?id=com.spartacusrex.spartacuside&hl=fr_FR Google Play Store] '''Terminal IDE''' : Appli pour lancer le terminal et faire les vérifications de vulnérabilité | ||
+ | |||
+ | === [[Windows]] === | ||
+ | Peuvent être vulnérable les environnements '''Cygwin''' sous '''[[Windows]]''' | ||
+ | * [https://unix.stackexchange.com/questions/157517/how-to-apply-the-fix-for-cve-2014-6271-bash-vulnerability-on-cygwin unix.stackexchange.com] How to apply the fix for '''CVE-2014-6271 [[bash]]''' vulnerability on '''cygwin'''? | ||
+ | |||
+ | === Synology === | ||
+ | Modèles affectés : | ||
+ | 15-series: DS415+ | ||
+ | 14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs | ||
+ | 13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+ | ||
+ | 12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+ | ||
+ | 11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+ | ||
+ | 10-series: DS1010+, RS810+, RS810RP+, DS710+ | ||
+ | * [https://www.synology.com/en-global/support/security/bash_shellshock Synology] Communiqué du 26/09/14 qui recommande d'installer les dernières mises à jour pour les modèles affectés. | ||
+ | |||
+ | === QNAP === | ||
+ | QNAP suggère dans son communiqué de presse du 26/09/14 de désactiver le '''QTS web UI''' pour éviter tout risque : | ||
+ | * [https://www.qnap.com/i/en/news/con_show.php?op=showone&cid=336 QNAP Systems] Communiqué du 26/09/14 | ||
+ | * Se connecter au '''QTS''' et désactiver l'option '''Serveur Web''' dans les '''Applications''' du '''Panneau de configuration''' | ||
+ | * Se connecter au '''QTS''' et désactiver la '''Connexion sécurisée SSL''' dans la '''Gestion du système''' | ||
+ | * Désactiver '''Connectez-vous au [[NAS]] par un utilitaire [[SSH]] comme [[Putty]]''' | ||
+ | * Se connecter au '''Turbo [[NAS]]''' avec ses '''identifiants''' | ||
+ | * Saisir la commande : '''/etc/init.d/thttpd.sh stop''' {{K|Entrée}} | ||
+ | ==== Articles externes ==== | ||
+ | * [https://www.nextinpact.com/news/90195-qts-4-1-1-qnap-corrige-failles-ajoute-nouveautes-et-parle-chiffrement.htm NEXT INpact - 01/10/14] '''QTS 4.1.1''' : '''QNAP''' corrige des failles, ajoute des nouveautés et parle chiffrement | ||
+ | |||
+ | = Articles externes = | ||
+ | * [https://www.infoworld.com/article/2689231/application-development/shellshock-kill-cgi-now.html InfoWorld - 02/10/14] '''Shellshock''' proves it: '''CGI''' must die | ||
+ | |||
+ | = Articles [[Vulgum Techus]] = | ||
+ | * [[Zero Day Vulnerability CVE-2016-0728]] | ||
+ | * [[Poodle]] | ||
+ | |||
+ | = Références = | ||
+ | <references/> | ||
+ | |||
+ | = Commentaires = | ||
+ | {{#widget:DISQUS | ||
+ | |id=vulgumtechus | ||
+ | }} |
Version actuelle en date du 30 octobre 2018 à 20:17
Lien court vers cette page : https://vt.cx/Bbug QR code vers cette page : https://vt.cx/Bbug.qr
Sommaire
Présentation
Découverte par Stéphane Chazelas (https://stephane.chazelas.free.fr), la vulnérabilité du Bash (Bourne-Again Shell) affecte plusieurs millions de Linux et plus particulièrement ceux dont les bash des versions listées plus bas. Le présent article vise à regrouper toutes les informations relatives à la détection et l'éradication du Bash bug aussi désigné sous le terme de Shellshock. Selon Neowin des périphériques NAS des marques Synology et QNAP sont impactés[1]
GNU Bash concernés :
- cpe:/a:gnu:bash:1.14.0
- cpe:/a:gnu:bash:1.14.1
- cpe:/a:gnu:bash:1.14.2
- cpe:/a:gnu:bash:1.14.3
- cpe:/a:gnu:bash:1.14.4
- cpe:/a:gnu:bash:1.14.5
- cpe:/a:gnu:bash:1.14.6
- cpe:/a:gnu:bash:1.14.7
- cpe:/a:gnu:bash:2.0
- cpe:/a:gnu:bash:2.01
- cpe:/a:gnu:bash:2.01.1
- cpe:/a:gnu:bash:2.02
- cpe:/a:gnu:bash:2.02.1
- cpe:/a:gnu:bash:2.03
- cpe:/a:gnu:bash:2.04
- cpe:/a:gnu:bash:2.05
- cpe:/a:gnu:bash:2.05:a
- cpe:/a:gnu:bash:2.05:b
- cpe:/a:gnu:bash:3.0
- cpe:/a:gnu:bash:3.0.16
- cpe:/a:gnu:bash:3.1
- cpe:/a:gnu:bash:3.2
- cpe:/a:gnu:bash:3.2.48
- cpe:/a:gnu:bash:4.0
- cpe:/a:gnu:bash:4.0:rc1
- cpe:/a:gnu:bash:4.1
- cpe:/a:gnu:bash:4.2
- cpe:/a:gnu:bash:4.3
Commandes utiles
Test de la vulnérabilité
Méthode 1
Saisir ou coller la ligne suivante :
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
En cas de vulnérabilité Linux affiche :
vulnerable this is a test
Sinon affichage de :
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
ou seulement :
this is a test
Méthode 2
Saisir ou coller la ligne suivante :
env X='() { (a)=>\' sh -c "echo date"; cat echo
Si le système renvoie la date et l'heure c'est que le bash est vulnérable Si le système renvoie le résultat suivant :
date cat: echo: Aucun fichier ou dossier de ce type
sans interpréter la commande alors c'est que le bash n'est pas vulnérable
Connaitre la version du Bash
3 possibilités :
bash --version echo $BASH_VERSION rpm -q bash (RedHat, Fedora, CentOS)
Liens utiles
Informations
- National Vulnerability Database CVE-2014-6271 Bash Bug
- The Hacker News Remotely Exploitable Bash Shell Vulnerability Affects Linux, Unix and Apple Mac OS X
- seclist.org CVE-2014-6271: remote code execution through bash
- securityblog.redhat.com Bash specially-crafted environment variables code injection attack
Correctifs
Github
Red Hat
- access.redhat.com Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)
- rhn.redhat.com Critical: bash security update
sudo yum update bash
CentOS
- lists.centos.org [CentOS] Critical update for bash released today
sudo yum update bash
Fedora
sudo yum update bash
Ubuntu
- ubuntu.com USN-2362-1: Bash vulnerability
sudo apt-get update && sudo apt-get install --only-upgrade bash
Debian
- lists.debian.org [SECURITY] [DSA 3032-1] bash security update
sudo apt-get update && sudo apt-get install --only-upgrade bash
CloudLinux
- cloudlinux.com Update bash remote vulnerability CVE-2014-6271
Plesk Panel
- parallels.com Bash Code Injection Vulnerability via Variables
Mac OS
- support.apple.com OS X bash Update 1.0 – OS X Mavericks -> voir http://support.apple.com/kb/HT1222
- support.apple.com OS X bash Update 1.0 – OS X Mountain Lion -> voir http://support.apple.com/kb/HT1222
- support.apple.com OS X bash Update 1.0 - OS X Lion -> voir http://support.apple.com/kb/HT1222
- apple.stackexchange.com How do I recompile Bash to avoid Shellshock (the remote exploit CVE-2014-6271 and CVE-2014-7169)?
- StackExchange Are ordinary OS X desktops at risk from bash “shellshock” bug (CVE-2014-6271)
iOS
Android
- Pas concerné selon Google
- Google Play Store Terminal IDE : Appli pour lancer le terminal et faire les vérifications de vulnérabilité
Windows
Peuvent être vulnérable les environnements Cygwin sous Windows
- unix.stackexchange.com How to apply the fix for CVE-2014-6271 bash vulnerability on cygwin?
Synology
Modèles affectés :
15-series: DS415+ 14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs 13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+ 12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+ 11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+ 10-series: DS1010+, RS810+, RS810RP+, DS710+
- Synology Communiqué du 26/09/14 qui recommande d'installer les dernières mises à jour pour les modèles affectés.
QNAP
QNAP suggère dans son communiqué de presse du 26/09/14 de désactiver le QTS web UI pour éviter tout risque :
- QNAP Systems Communiqué du 26/09/14
- Se connecter au QTS et désactiver l'option Serveur Web dans les Applications du Panneau de configuration
- Se connecter au QTS et désactiver la Connexion sécurisée SSL dans la Gestion du système
- Désactiver Connectez-vous au NAS par un utilitaire SSH comme Putty
- Se connecter au Turbo NAS avec ses identifiants
- Saisir la commande : /etc/init.d/thttpd.sh stop Entrée
Articles externes
- NEXT INpact - 01/10/14 QTS 4.1.1 : QNAP corrige des failles, ajoute des nouveautés et parle chiffrement
Articles externes
- InfoWorld - 02/10/14 Shellshock proves it: CGI must die
Articles Vulgum Techus
Références
- ↑ Neowin - 27/09/14 Shellshock bug impacts NAS devices like QNAP and Synology