Bash bug : Différence entre versions
De Vulgum Techus
Ligne 1 : | Ligne 1 : | ||
[[Catégorie:Linux]] | [[Catégorie:Linux]] | ||
+ | |||
+ | = Présentation = | ||
+ | Découverte par Stéphane Chazelas, la vulnérabilité du '''[[Bash]] ([[Bourne-Again Shell]])''' affecte plusieurs millions de '''[[Linux]]''' et plus particulièrement ceux dont les '''[[Bash]]''' ont les versions listées plus bas. Le présent article vise à regrouper toutes les informations relatives à la détection et l'éradication du '''[[Bash]] bug'''. | ||
+ | * cpe:/a:gnu:bash:1.14.0 | ||
+ | * cpe:/a:gnu:bash:1.14.1 | ||
+ | * cpe:/a:gnu:bash:1.14.2 | ||
+ | * cpe:/a:gnu:bash:1.14.3 | ||
+ | * cpe:/a:gnu:bash:1.14.4 | ||
+ | * cpe:/a:gnu:bash:1.14.5 | ||
+ | * cpe:/a:gnu:bash:1.14.6 | ||
+ | * cpe:/a:gnu:bash:1.14.7 | ||
+ | * cpe:/a:gnu:bash:2.0 | ||
+ | * cpe:/a:gnu:bash:2.01 | ||
+ | * cpe:/a:gnu:bash:2.01.1 | ||
+ | * cpe:/a:gnu:bash:2.02 | ||
+ | * cpe:/a:gnu:bash:2.02.1 | ||
+ | * cpe:/a:gnu:bash:2.03 | ||
+ | * cpe:/a:gnu:bash:2.04 | ||
+ | * cpe:/a:gnu:bash:2.05 | ||
+ | * cpe:/a:gnu:bash:2.05:a | ||
+ | * cpe:/a:gnu:bash:2.05:b | ||
+ | * cpe:/a:gnu:bash:3.0 | ||
+ | * cpe:/a:gnu:bash:3.0.16 | ||
+ | * cpe:/a:gnu:bash:3.1 | ||
+ | * cpe:/a:gnu:bash:3.2 | ||
+ | * cpe:/a:gnu:bash:3.2.48 | ||
+ | * cpe:/a:gnu:bash:4.0 | ||
+ | * cpe:/a:gnu:bash:4.0:rc1 | ||
+ | * cpe:/a:gnu:bash:4.1 | ||
+ | * cpe:/a:gnu:bash:4.2 | ||
+ | * cpe:/a:gnu:bash:4.3 | ||
= Commandes utiles = | = Commandes utiles = | ||
Ligne 7 : | Ligne 38 : | ||
vulnerable | vulnerable | ||
this is a test | this is a test | ||
− | Sinon | + | Sinon affichage de : |
bash: warning: x: ignoring function definition attempt | bash: warning: x: ignoring function definition attempt | ||
bash: error importing function definition for `x' | bash: error importing function definition for `x' | ||
Ligne 19 : | Ligne 50 : | ||
= Liens utiles = | = Liens utiles = | ||
+ | == Informations == | ||
* [https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271 National Vulnerability Database] CVE-2014-6271 Bash Bug | * [https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271 National Vulnerability Database] CVE-2014-6271 Bash Bug | ||
+ | == Correctifs == | ||
= Red Hat = | = Red Hat = | ||
− | * [https://access.redhat.com/articles/1200223 access.redhat.com] Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) | + | * [https://access.redhat.com/articles/1200223 access.redhat.com] [[Bash]] Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) |
+ | |||
+ | = Ubuntu = | ||
+ | * [http://www.ubuntu.com/usn/usn-2362-1/ ubuntu.com] USN-2362-1: [[Bash]] vulnerability | ||
+ | |||
+ | = CentOS = | ||
+ | * [http://lists.centos.org/pipermail/centos/2014-September/146099.html lists.centos.org] [CentOS] Critical update for [[bash]] released today | ||
+ | |||
+ | = Debian = | ||
+ | * [https://lists.debian.org/debian-security-announce/2014/msg00220.html lists.debian.org] [SECURITY] [DSA 3032-1] [[bash]] security update |
Version du 26 septembre 2014 à 01:54
Sommaire
Présentation
Découverte par Stéphane Chazelas, la vulnérabilité du Bash (Bourne-Again Shell) affecte plusieurs millions de Linux et plus particulièrement ceux dont les Bash ont les versions listées plus bas. Le présent article vise à regrouper toutes les informations relatives à la détection et l'éradication du Bash bug.
- cpe:/a:gnu:bash:1.14.0
- cpe:/a:gnu:bash:1.14.1
- cpe:/a:gnu:bash:1.14.2
- cpe:/a:gnu:bash:1.14.3
- cpe:/a:gnu:bash:1.14.4
- cpe:/a:gnu:bash:1.14.5
- cpe:/a:gnu:bash:1.14.6
- cpe:/a:gnu:bash:1.14.7
- cpe:/a:gnu:bash:2.0
- cpe:/a:gnu:bash:2.01
- cpe:/a:gnu:bash:2.01.1
- cpe:/a:gnu:bash:2.02
- cpe:/a:gnu:bash:2.02.1
- cpe:/a:gnu:bash:2.03
- cpe:/a:gnu:bash:2.04
- cpe:/a:gnu:bash:2.05
- cpe:/a:gnu:bash:2.05:a
- cpe:/a:gnu:bash:2.05:b
- cpe:/a:gnu:bash:3.0
- cpe:/a:gnu:bash:3.0.16
- cpe:/a:gnu:bash:3.1
- cpe:/a:gnu:bash:3.2
- cpe:/a:gnu:bash:3.2.48
- cpe:/a:gnu:bash:4.0
- cpe:/a:gnu:bash:4.0:rc1
- cpe:/a:gnu:bash:4.1
- cpe:/a:gnu:bash:4.2
- cpe:/a:gnu:bash:4.3
Commandes utiles
Test de la vulnérabilité
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
En cas de vulnérabilité Linux affiche :
vulnerable this is a test
Sinon affichage de :
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
Connaitre la version du Bash
3 possibilités :
echo $BASH_VERSION rpm -q bash bash --version
Liens utiles
Informations
- National Vulnerability Database CVE-2014-6271 Bash Bug
Correctifs
Red Hat
- access.redhat.com Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)
Ubuntu
- ubuntu.com USN-2362-1: Bash vulnerability
CentOS
- lists.centos.org [CentOS] Critical update for bash released today
Debian
- lists.debian.org [SECURITY] [DSA 3032-1] bash security update