Bash bug
Lien court vers cette page : http://vt.cx/Bbug
QR code vers cette page : http://vt.cx/Bbug.qr
Sommaire
Présentation
Découverte par Stéphane Chazelas (http://stephane.chazelas.free.fr), la vulnérabilité du Bash (Bourne-Again Shell) affecte plusieurs millions de Linux et plus particulièrement ceux dont les Bash des versions listées plus bas. Le présent article vise à regrouper toutes les informations relatives à la détection et l'éradication du Bash bug aussi désigné sous le terme de Shellshock. Selon Neowin des périphériques NAS des marques Synology et QNAP sont impactés[1]
GNU Bash concernés :
- cpe:/a:gnu:bash:1.14.0
- cpe:/a:gnu:bash:1.14.1
- cpe:/a:gnu:bash:1.14.2
- cpe:/a:gnu:bash:1.14.3
- cpe:/a:gnu:bash:1.14.4
- cpe:/a:gnu:bash:1.14.5
- cpe:/a:gnu:bash:1.14.6
- cpe:/a:gnu:bash:1.14.7
- cpe:/a:gnu:bash:2.0
- cpe:/a:gnu:bash:2.01
- cpe:/a:gnu:bash:2.01.1
- cpe:/a:gnu:bash:2.02
- cpe:/a:gnu:bash:2.02.1
- cpe:/a:gnu:bash:2.03
- cpe:/a:gnu:bash:2.04
- cpe:/a:gnu:bash:2.05
- cpe:/a:gnu:bash:2.05:a
- cpe:/a:gnu:bash:2.05:b
- cpe:/a:gnu:bash:3.0
- cpe:/a:gnu:bash:3.0.16
- cpe:/a:gnu:bash:3.1
- cpe:/a:gnu:bash:3.2
- cpe:/a:gnu:bash:3.2.48
- cpe:/a:gnu:bash:4.0
- cpe:/a:gnu:bash:4.0:rc1
- cpe:/a:gnu:bash:4.1
- cpe:/a:gnu:bash:4.2
- cpe:/a:gnu:bash:4.3
Commandes utiles
Test de la vulnérabilité
Méthode 1
Saisir ou coller la ligne suivante :
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
En cas de vulnérabilité Linux affiche :
vulnerable this is a test
Sinon affichage de :
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
ou seulement :
this is a test
Méthode 2
Saisir ou coller la ligne suivante :
env X='() { (a)=>\' sh -c "echo date"; cat echo
Si le système renvoie la date et l'heure c'est que le bash est vulnérable Si le système renvoie le résultat suivant :
date cat: echo: Aucun fichier ou dossier de ce type
sans interpréter la commande alors c'est que le bash n'est pas vulnérable
Connaitre la version du Bash
3 possibilités :
bash --version echo $BASH_VERSION rpm -q bash (RedHat, Fedora, CentOS)
Liens utiles
Informations
- National Vulnerability Database CVE-2014-6271 Bash Bug
- The Hacker News Remotely Exploitable Bash Shell Vulnerability Affects Linux, Unix and Apple Mac OS X
- seclist.org CVE-2014-6271: remote code execution through bash
- securityblog.redhat.com Bash specially-crafted environment variables code injection attack
Correctifs
Github
Red Hat
- access.redhat.com Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)
- rhn.redhat.com Critical: bash security update
sudo yum update bash
CentOS
- lists.centos.org [CentOS] Critical update for bash released today
sudo yum update bash
Fedora
sudo yum update bash
Ubuntu
- ubuntu.com USN-2362-1: Bash vulnerability
sudo apt-get update && sudo apt-get install --only-upgrade bash
Debian
- lists.debian.org [SECURITY] [DSA 3032-1] bash security update
sudo apt-get update && sudo apt-get install --only-upgrade bash
CloudLinux
- cloudlinux.com Update bash remote vulnerability CVE-2014-6271
Plesk Panel
- parallels.com Bash Code Injection Vulnerability via Variables
OS X
- support.apple.com OS X bash Update 1.0 – OS X Mavericks -> voir http://support.apple.com/kb/HT1222
- support.apple.com OS X bash Update 1.0 – OS X Mountain Lion -> voir http://support.apple.com/kb/HT1222
- support.apple.com OS X bash Update 1.0 - OS X Lion -> voir http://support.apple.com/kb/HT1222
- apple.stackexchange.com How do I recompile Bash to avoid Shellshock (the remote exploit CVE-2014-6271 and CVE-2014-7169)?
- StackExchange Are ordinary OS X desktops at risk from bash “shellshock” bug (CVE-2014-6271)
iOS
- Pas concerné selon Apple. Mais une incertitude toutefois sur les iOS jailbreakés
Android
- Pas concerné selon Google
- Google Play Store Terminal IDE : Appli pour lancer le terminal et faire les vérifications de vulnérabilité
Windows
Peuvent être vulnérable les environnements Cygwin sous Windows
- unix.stackexchange.com How to apply the fix for CVE-2014-6271 bash vulnerability on cygwin?
Synology
Modèles affectés :
15-series: DS415+ 14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs 13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+ 12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+ 11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+ 10-series: DS1010+, RS810+, RS810RP+, DS710+
- Synology Communiqué du 26/09/14 qui recommande d'installer les dernières mises à jour pour les modèles affectés.
QNAP
QNAP suggère dans son communiqué de presse du 26/09/14 de désactiver le QTS web UI pour éviter tout risque :
- QNAP Systems Communiqué du 26/09/14
- Se connecter au QTS et désactiver l'option Serveur Web dans les Applications du Panneau de configuration
- Se connecter au QTS et désactiver la Connexion sécurisée SSL dans la Gestion du système
- Désactiver Connectez-vous au NAS par un utilitaire SSH comme Putty
- Se connecter au Turbo NAS avec ses identifiants
- Saisir la commande : /etc/init.d/thttpd.sh stop + Entrée
Articles externes
- NEXT INpact - 01/10/14 QTS 4.1.1 : QNAP corrige des failles, ajoute des nouveautés et parle chiffrement
Articles externes
- InfoWorld - 02/10/14 Shellshock proves it: CGI must die
Références
- ↑ Neowin - 27/09/14 Shellshock bug impacts NAS devices like QNAP and Synology