Version du 2 octobre 2014 à 23:10

Lien court vers cette page : http://vt.cx/Bbug
QR code vers cette page : http://vt.cx/Bbug.qr

Présentation

Découverte par Stéphane Chazelas (http://stephane.chazelas.free.fr), la vulnérabilité du Bash (Bourne-Again Shell) affecte plusieurs millions de Linux et plus particulièrement ceux dont les Bash des versions listées plus bas. Le présent article vise à regrouper toutes les informations relatives à la détection et l'éradication du Bash bug aussi désigné sous le terme de Shellshock. Selon Neowin des périphériques NAS des marques Synology et QNAP sont impactés^[1]

GNU Bash concernés :

• cpe:/a:gnu:bash:1.14.0
• cpe:/a:gnu:bash:1.14.1
• cpe:/a:gnu:bash:1.14.2
• cpe:/a:gnu:bash:1.14.3
• cpe:/a:gnu:bash:1.14.4
• cpe:/a:gnu:bash:1.14.5
• cpe:/a:gnu:bash:1.14.6
• cpe:/a:gnu:bash:1.14.7
• cpe:/a:gnu:bash:2.0
• cpe:/a:gnu:bash:2.01
• cpe:/a:gnu:bash:2.01.1
• cpe:/a:gnu:bash:2.02
• cpe:/a:gnu:bash:2.02.1
• cpe:/a:gnu:bash:2.03
• cpe:/a:gnu:bash:2.04
• cpe:/a:gnu:bash:2.05
• cpe:/a:gnu:bash:2.05:a
• cpe:/a:gnu:bash:2.05:b
• cpe:/a:gnu:bash:3.0
• cpe:/a:gnu:bash:3.0.16
• cpe:/a:gnu:bash:3.1
• cpe:/a:gnu:bash:3.2
• cpe:/a:gnu:bash:3.2.48
• cpe:/a:gnu:bash:4.0
• cpe:/a:gnu:bash:4.0:rc1
• cpe:/a:gnu:bash:4.1
• cpe:/a:gnu:bash:4.2
• cpe:/a:gnu:bash:4.3

Commandes utiles

Test de la vulnérabilité

Méthode 1

Saisir ou coller la ligne suivante :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

En cas de vulnérabilité Linux affiche :

vulnerable
this is a test

Sinon affichage de :

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

ou seulement :

this is a test

Méthode 2

Saisir ou coller la ligne suivante :

env X='() { (a)=>\' sh -c "echo date"; cat echo

Si le système renvoie la date et l'heure c'est que le bash est vulnérable Si le système renvoie le résultat suivant :

date
cat: echo: Aucun fichier ou dossier de ce type

sans interpréter la commande alors c'est que le bash n'est pas vulnérable

Connaitre la version du Bash

3 possibilités :

bash --version
echo $BASH_VERSION
rpm -q bash (RedHat, Fedora, CentOS)

Liens utiles

Informations

• National Vulnerability Database CVE-2014-6271 Bash Bug
• The Hacker News Remotely Exploitable Bash Shell Vulnerability Affects Linux, Unix and Apple Mac OS X
• seclist.org CVE-2014-6271: remote code execution through bash
• securityblog.redhat.com Bash specially-crafted environment variables code injection attack

Correctifs

Github

• Github Security vulnerability in bash addressed

Red Hat

• access.redhat.com Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)
• rhn.redhat.com Critical: bash security update

sudo yum update bash

CentOS

• lists.centos.org [CentOS] Critical update for bash released today

sudo yum update bash

Fedora

sudo yum update bash

Ubuntu

• ubuntu.com USN-2362-1: Bash vulnerability

sudo apt-get update && sudo apt-get install --only-upgrade bash

Debian

• lists.debian.org [SECURITY] [DSA 3032-1] bash security update

sudo apt-get update && sudo apt-get install --only-upgrade bash

CloudLinux

• cloudlinux.com Update bash remote vulnerability CVE-2014-6271

Plesk Panel

• parallels.com Bash Code Injection Vulnerability via Variables

OS X

• support.apple.com OS X bash Update 1.0 – OS X Mavericks -> voir http://support.apple.com/kb/HT1222
• support.apple.com OS X bash Update 1.0 – OS X Mountain Lion -> voir http://support.apple.com/kb/HT1222
• support.apple.com OS X bash Update 1.0 - OS X Lion -> voir http://support.apple.com/kb/HT1222
• apple.stackexchange.com How do I recompile Bash to avoid Shellshock (the remote exploit CVE-2014-6271 and CVE-2014-7169)?
• StackExchange Are ordinary OS X desktops at risk from bash “shellshock” bug (CVE-2014-6271)

iOS

• Pas concerné selon Apple. Mais une incertitude toutefois sur les iOS jailbreakés

Android

• Pas concerné selon Google
• Google Play Store Terminal IDE : Appli pour lancer le terminal et faire les vérifications de vulnérabilité

Windows

Peuvent être vulnérable les environnements Cygwin sous Windows

• unix.stackexchange.com How to apply the fix for CVE-2014-6271 bash vulnerability on cygwin?

Synology

Modèles affectés :

15-series: DS415+
14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs
13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+
12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+
11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+
10-series: DS1010+, RS810+, RS810RP+, DS710+

• Synology Communiqué du 26/09/14 qui recommande d'installer les dernières mises à jour pour les modèles affectés.

QNAP

QNAP suggère dans son communiqué de presse du 26/09/14 de désactiver le QTS web UI pour éviter tout risque :

• QNAP Systems Communiqué du 26/09/14
• Se connecter au QTS et désactiver l'option Serveur Web dans les Applications du Panneau de configuration
• Se connecter au QTS et désactiver la Connexion sécurisée SSL dans la Gestion du système
• Désactiver Connectez-vous au NAS par un utilitaire SSH comme Putty
• Se connecter au Turbo NAS avec ses identifiants
• Saisir la commande : /etc/init.d/thttpd.sh stop + Entrée

Articles externes

• NEXT INpact - 01/10/14 QTS 4.1.1 : QNAP corrige des failles, ajoute des nouveautés et parle chiffrement

Articles externes

• InfoWorld - 02/10/14 Shellshock proves it: CGI must die

Références

1. ↑ Neowin - 27/09/14 Shellshock bug impacts NAS devices like QNAP and Synology

Commentaires