Bash bug : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(Page créée avec « Catégorie:Linux = Commande utile = Test de la vulnérabilité env x='() { :;}; echo vulneréble' bash -c "echo ceci est un test" = Liens utiles = * [https://web.nv... »)
 
 
(44 révisions intermédiaires par un utilisateur sont masquées)
Ligne 1 : Ligne 1 :
 +
<!-- Links checked 29/10/18 -->
 
[[Catégorie:Linux]]
 
[[Catégorie:Linux]]
 +
[[Catégorie:Sécurité]]
 +
'''[[Lien court]]''' vers cette page : https://vt.cx/Bbug
 +
'''[[QR code]]''' vers cette page : https://vt.cx/Bbug.qr
 +
<html>
 +
<script type="text/javascript"><!--
 +
google_ad_client = "ca-pub-3341840374417340";
 +
/* VT2 */
 +
google_ad_slot = "6349432125";
 +
google_ad_width = 468;
 +
google_ad_height = 60;
 +
//-->
 +
</script>
 +
<script type="text/javascript"
 +
src="//pagead2.googlesyndication.com/pagead/show_ads.js">
 +
</script>
 +
</html>
  
= Commande utile =
+
= Présentation =
Test de la vulnérabilité
+
Découverte par Stéphane Chazelas (https://stephane.chazelas.free.fr), la vulnérabilité du '''[[Bash]] ([[Bourne-Again Shell]])''' affecte plusieurs millions de '''[[Linux]]''' et plus particulièrement ceux dont les bash des '''[[versions]]''' listées plus bas. Le présent article vise à regrouper toutes les informations relatives à la détection et l'éradication du '''[[Bash]] bug''' aussi désigné sous le terme de Shellshock. Selon Neowin des périphériques '''[[NAS]]''' des marques Synology et QNAP sont impactés<ref>[http://www.neowin.net/news/shellshock-bug-impacts-nas-devices-like-qnap-and-synology Neowin - 27/09/14] Shellshock bug impacts '''[[NAS]]''' devices like QNAP and Synology</ref><br/>
env x='() { :;}; echo vulneréble' bash -c "echo ceci est un test"
+
<br/>
 +
'''[[GNU Bash]] concernés''' :
 +
* cpe:/a:gnu:bash:1.14.0
 +
* cpe:/a:gnu:bash:1.14.1
 +
* cpe:/a:gnu:bash:1.14.2
 +
* cpe:/a:gnu:bash:1.14.3
 +
* cpe:/a:gnu:bash:1.14.4
 +
* cpe:/a:gnu:bash:1.14.5
 +
* cpe:/a:gnu:bash:1.14.6
 +
* cpe:/a:gnu:bash:1.14.7
 +
* cpe:/a:gnu:bash:2.0
 +
* cpe:/a:gnu:bash:2.01
 +
* cpe:/a:gnu:bash:2.01.1
 +
* cpe:/a:gnu:bash:2.02
 +
* cpe:/a:gnu:bash:2.02.1
 +
* cpe:/a:gnu:bash:2.03
 +
* cpe:/a:gnu:bash:2.04
 +
* cpe:/a:gnu:bash:2.05
 +
* cpe:/a:gnu:bash:2.05:a
 +
* cpe:/a:gnu:bash:2.05:b
 +
* cpe:/a:gnu:bash:3.0
 +
* cpe:/a:gnu:bash:3.0.16
 +
* cpe:/a:gnu:bash:3.1
 +
* cpe:/a:gnu:bash:3.2
 +
* cpe:/a:gnu:bash:3.2.48
 +
* cpe:/a:gnu:bash:4.0
 +
* cpe:/a:gnu:bash:4.0:rc1
 +
* cpe:/a:gnu:bash:4.1
 +
* cpe:/a:gnu:bash:4.2
 +
* cpe:/a:gnu:bash:4.3
  
= Liens utiles =
+
= Commandes utiles =
* [https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271 National Vulnerability Database] CVE-2014-6271 Bash Bug
+
== Test de la vulnérabilité ==
 +
=== Méthode 1 ===
 +
Saisir ou coller la ligne suivante :  
 +
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 +
En cas de vulnérabilité '''[[Linux]]''' affiche :
 +
vulnerable
 +
this is a test
 +
Sinon affichage de :
 +
bash: warning: x: ignoring function definition attempt
 +
bash: error importing function definition for `x'
 +
this is a test
 +
ou seulement :
 +
this is a test
  
= Red Hat =
+
=== Méthode 2 ===
* [https://access.redhat.com/articles/1200223 access.redhat.com] Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)
+
Saisir ou coller la ligne suivante :
 +
env X='() { (a)=>\' sh -c "echo date"; cat echo
 +
Si le système renvoie la '''date et l'heure''' c'est que le '''[[bash]]''' est vulnérable
 +
Si le système renvoie le résultat suivant :
 +
date
 +
cat: echo: Aucun fichier ou dossier de ce type
 +
sans interpréter la commande alors c'est que le '''[[bash]]''' n'est pas vulnérable
 +
 
 +
== Connaitre la version du Bash ==
 +
3 possibilités :
 +
bash --version
 +
echo $BASH_VERSION
 +
rpm -q bash (RedHat, Fedora, CentOS)
 +
 
 +
= [[Liens]] utiles =
 +
== Informations ==
 +
* [https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271 National Vulnerability Database] '''CVE-2014-6271 [[Bash]]''' Bug
 +
* [https://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html The Hacker News] Remotely Exploitable '''[[Bash Shell]]''' Vulnerability Affects '''[[Linux]], Unix''' and '''[[Apple Mac OS X]]'''
 +
* [https://seclists.org/oss-sec/2014/q3/679 seclist.org] '''CVE-2014-6271''': remote code execution through '''[[bash]]'''
 +
* [https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ securityblog.redhat.com] '''[[Bash]]''' specially-crafted environment variables code injection attack
 +
 
 +
== Correctifs ==
 +
=== Github ===
 +
* [https://github.com/blog/1893-security-vulnerability-in-bash-addressed Github] Security vulnerability in '''[[bash]]''' addressed
 +
 
 +
=== Red Hat ===
 +
* [https://access.redhat.com/articles/1200223 access.redhat.com] '''[[Bash]]''' Code Injection Vulnerability via Specially Crafted Environment Variables ('''CVE-2014-6271, CVE-2014-7169''')
 +
* [https://rhn.redhat.com/errata/RHSA-2014-1293.html rhn.redhat.com] Critical: '''[[bash]]''' security update
 +
sudo yum update bash
 +
 
 +
=== CentOS ===
 +
* [https://lists.centos.org/pipermail/centos/2014-September/146099.html lists.centos.org] [CentOS] Critical update for '''[[bash]]''' released today
 +
sudo yum update bash
 +
 
 +
=== Fedora ===
 +
sudo yum update bash
 +
 
 +
=== Ubuntu ===
 +
* [https://www.ubuntu.com/usn/usn-2362-1/ ubuntu.com] USN-2362-1: '''[[Bash]]''' vulnerability
 +
sudo apt-get update && sudo apt-get install --only-upgrade bash
 +
 
 +
=== Debian ===
 +
* [https://lists.debian.org/debian-security-announce/2014/msg00220.html lists.debian.org] [SECURITY] [DSA 3032-1] '''[[bash]]''' security update
 +
sudo apt-get update && sudo apt-get install --only-upgrade bash
 +
 
 +
=== CloudLinux ===
 +
* [https://cloudlinux.com/blog/clnews/update-for-bash-remote-vulnerability-cve20146271.php cloudlinux.com] Update '''[[bash]]''' remote vulnerability '''CVE-2014-6271'''
 +
 
 +
=== [[Plesk]] Panel ===
 +
* [https://kb.sp.parallels.com/en/123006 parallels.com] '''[[Bash]]''' Code Injection Vulnerability via Variables
 +
 
 +
=== [[Mac OS]] ===
 +
* [https://support.apple.com/kb/DL1769?viewlocale=fr_FR support.apple.com] OS X bash Update 1.0 – OS X Mavericks -> voir http://support.apple.com/kb/HT1222
 +
* [https://support.apple.com/kb/DL1768?viewlocale=fr_FR support.apple.com] OS X bash Update 1.0 – OS X Mountain Lion -> voir http://support.apple.com/kb/HT1222
 +
* [https://support.apple.com/kb/DL1767?viewlocale=fr_FR support.apple.com] OS X bash Update 1.0 - OS X Lion -> voir http://support.apple.com/kb/HT1222
 +
* [https://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an apple.stackexchange.com] How do I recompile '''[[Bash]]''' to avoid '''Shellshock''' (the remote exploit '''CVE-2014-6271''' and '''CVE-2014-7169)'''?
 +
* [https://security.stackexchange.com/questions/68123/are-ordinary-os-x-desktops-at-risk-from-bash-shellshock-bug-cve-2014-6271 StackExchange] Are ordinary '''[[OS X]]''' desktops at risk from '''[[bash]]''' “shellshock” bug (CVE-2014-6271)
 +
 
 +
=== [[iOS]] ===
 +
* Pas concerné selon '''[[Apple]]'''. Mais une incertitude toutefois sur les '''[[iOS]] jailbreakés'''
 +
 
 +
=== [[Android]] ===
 +
* Pas concerné selon '''[[Google]]'''
 +
* [https://play.google.com/store/apps/details?id=com.spartacusrex.spartacuside&hl=fr_FR Google Play Store] '''Terminal IDE''' : Appli pour lancer le terminal et faire les vérifications de vulnérabilité
 +
 
 +
=== [[Windows]] ===
 +
Peuvent être vulnérable les environnements '''Cygwin''' sous '''[[Windows]]'''
 +
* [https://unix.stackexchange.com/questions/157517/how-to-apply-the-fix-for-cve-2014-6271-bash-vulnerability-on-cygwin unix.stackexchange.com] How to apply the fix for '''CVE-2014-6271 [[bash]]''' vulnerability on '''cygwin'''?
 +
 
 +
=== Synology ===
 +
Modèles affectés :
 +
15-series: DS415+
 +
14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs
 +
13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+
 +
12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+
 +
11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+
 +
10-series: DS1010+, RS810+, RS810RP+, DS710+
 +
* [https://www.synology.com/en-global/support/security/bash_shellshock Synology] Communiqué du 26/09/14 qui recommande d'installer les dernières mises à jour pour les modèles affectés.
 +
 
 +
=== QNAP ===
 +
QNAP suggère dans son communiqué de presse du 26/09/14 de désactiver le '''QTS web UI''' pour éviter tout risque :
 +
* [https://www.qnap.com/i/en/news/con_show.php?op=showone&cid=336 QNAP Systems] Communiqué du 26/09/14
 +
* Se connecter au '''QTS''' et désactiver l'option '''Serveur Web''' dans les '''Applications''' du '''Panneau de configuration'''
 +
* Se connecter au '''QTS''' et désactiver la '''Connexion sécurisée SSL''' dans la '''Gestion du système'''
 +
* Désactiver '''Connectez-vous au [[NAS]] par un utilitaire [[SSH]] comme [[Putty]]'''
 +
* Se connecter au '''Turbo [[NAS]]''' avec ses '''identifiants'''
 +
* Saisir la commande : '''/etc/init.d/thttpd.sh stop''' {{K|Entrée}}
 +
==== Articles externes ====
 +
* [https://www.nextinpact.com/news/90195-qts-4-1-1-qnap-corrige-failles-ajoute-nouveautes-et-parle-chiffrement.htm NEXT INpact - 01/10/14] '''QTS 4.1.1''' : '''QNAP''' corrige des failles, ajoute des nouveautés et parle chiffrement
 +
 
 +
= Articles externes =
 +
* [https://www.infoworld.com/article/2689231/application-development/shellshock-kill-cgi-now.html InfoWorld - 02/10/14] '''Shellshock''' proves it: '''CGI''' must die
 +
 
 +
= Articles [[Vulgum Techus]] =
 +
* [[Zero Day Vulnerability CVE-2016-0728]]
 +
* [[Poodle]]
 +
 
 +
= Références =
 +
<references/>
 +
 
 +
= Commentaires =
 +
{{#widget:DISQUS
 +
|id=vulgumtechus
 +
}}

Version actuelle en date du 30 octobre 2018 à 20:17

Lien court vers cette page : https://vt.cx/Bbug
QR code vers cette page : https://vt.cx/Bbug.qr

Présentation

Découverte par Stéphane Chazelas (https://stephane.chazelas.free.fr), la vulnérabilité du Bash (Bourne-Again Shell) affecte plusieurs millions de Linux et plus particulièrement ceux dont les bash des versions listées plus bas. Le présent article vise à regrouper toutes les informations relatives à la détection et l'éradication du Bash bug aussi désigné sous le terme de Shellshock. Selon Neowin des périphériques NAS des marques Synology et QNAP sont impactés[1]

GNU Bash concernés :

  • cpe:/a:gnu:bash:1.14.0
  • cpe:/a:gnu:bash:1.14.1
  • cpe:/a:gnu:bash:1.14.2
  • cpe:/a:gnu:bash:1.14.3
  • cpe:/a:gnu:bash:1.14.4
  • cpe:/a:gnu:bash:1.14.5
  • cpe:/a:gnu:bash:1.14.6
  • cpe:/a:gnu:bash:1.14.7
  • cpe:/a:gnu:bash:2.0
  • cpe:/a:gnu:bash:2.01
  • cpe:/a:gnu:bash:2.01.1
  • cpe:/a:gnu:bash:2.02
  • cpe:/a:gnu:bash:2.02.1
  • cpe:/a:gnu:bash:2.03
  • cpe:/a:gnu:bash:2.04
  • cpe:/a:gnu:bash:2.05
  • cpe:/a:gnu:bash:2.05:a
  • cpe:/a:gnu:bash:2.05:b
  • cpe:/a:gnu:bash:3.0
  • cpe:/a:gnu:bash:3.0.16
  • cpe:/a:gnu:bash:3.1
  • cpe:/a:gnu:bash:3.2
  • cpe:/a:gnu:bash:3.2.48
  • cpe:/a:gnu:bash:4.0
  • cpe:/a:gnu:bash:4.0:rc1
  • cpe:/a:gnu:bash:4.1
  • cpe:/a:gnu:bash:4.2
  • cpe:/a:gnu:bash:4.3

Commandes utiles

Test de la vulnérabilité

Méthode 1

Saisir ou coller la ligne suivante :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

En cas de vulnérabilité Linux affiche :

vulnerable
this is a test

Sinon affichage de :

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

ou seulement :

this is a test

Méthode 2

Saisir ou coller la ligne suivante :

env X='() { (a)=>\' sh -c "echo date"; cat echo

Si le système renvoie la date et l'heure c'est que le bash est vulnérable Si le système renvoie le résultat suivant :

date
cat: echo: Aucun fichier ou dossier de ce type

sans interpréter la commande alors c'est que le bash n'est pas vulnérable

Connaitre la version du Bash

3 possibilités :

bash --version
echo $BASH_VERSION
rpm -q bash (RedHat, Fedora, CentOS)

Liens utiles

Informations

Correctifs

Github

Red Hat

sudo yum update bash

CentOS

sudo yum update bash

Fedora

sudo yum update bash

Ubuntu

sudo apt-get update && sudo apt-get install --only-upgrade bash

Debian

sudo apt-get update && sudo apt-get install --only-upgrade bash

CloudLinux

Plesk Panel

Mac OS

iOS

  • Pas concerné selon Apple. Mais une incertitude toutefois sur les iOS jailbreakés

Android

  • Pas concerné selon Google
  • Google Play Store Terminal IDE : Appli pour lancer le terminal et faire les vérifications de vulnérabilité

Windows

Peuvent être vulnérable les environnements Cygwin sous Windows

Synology

Modèles affectés :

15-series: DS415+
14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs
13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+
12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+
11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+
10-series: DS1010+, RS810+, RS810RP+, DS710+
  • Synology Communiqué du 26/09/14 qui recommande d'installer les dernières mises à jour pour les modèles affectés.

QNAP

QNAP suggère dans son communiqué de presse du 26/09/14 de désactiver le QTS web UI pour éviter tout risque :

  • QNAP Systems Communiqué du 26/09/14
  • Se connecter au QTS et désactiver l'option Serveur Web dans les Applications du Panneau de configuration
  • Se connecter au QTS et désactiver la Connexion sécurisée SSL dans la Gestion du système
  • Désactiver Connectez-vous au NAS par un utilitaire SSH comme Putty
  • Se connecter au Turbo NAS avec ses identifiants
  • Saisir la commande : /etc/init.d/thttpd.sh stop Entrée

Articles externes

Articles externes

Articles Vulgum Techus

Références

  1. Neowin - 27/09/14 Shellshock bug impacts NAS devices like QNAP and Synology

Commentaires

blog comments powered by Disqus