OVH Community, votre nouvel espace communautaire.

Faille shell shellchock sur les release OVH : que faire ?


Picoteur
10/10/2014, 08h44
Citation Envoyé par Picoteur
Pareil sur une Ubuntu "à jour"
Et effectivement, je ne pense pas que ce soit le pire des exploits, je serai donc patient.
Nouveau patch Ubuntu hier soir... l'exploit 7 ne passe plus non plus.

Picoteur
09/10/2014, 14h02
Citation Envoyé par Nowwhat
Pour un Debian "à jour": même chose. Point 7 me dit que je suis vulnerable.
Pareil sur une Ubuntu "à jour"
Et effectivement, je ne pense pas que ce soit le pire des exploits, je serai donc patient.

Nowwhat
09/10/2014, 11h33
Citation Envoyé par cassiopee
Oui, je confirme.
Pour un Debian "à jour": même chose. Point 7 me dit que je suis vulnerable.
Correction/niance : un truc qui ressemble et qui est proposée sur un site nommé https://shellshocker.net/ me fait afficcher :
Segmentation fault
vulnerable
Sachant que tout bash plante (le Segmentation fault) je présume que ce bug n'est pas hyper chaud-boulon: bash plante.
Plus d'info ici: voir lien plus bas.

Les versionq après 2014-10-01 ( http://www.dwheeler.com/essays/shellshock.html#timeline ) corrigeront "le bug dans la solution", ces dernier deux version ne sont probablement pas jugé "urgent" par ceux qui détermine si un paquet doit être mise à jour normallement, ou par la procédure "zéro day".

Logiquement, la dernière version proposée n'inclut pas les dernier patches - qui date de quelques jour..

Pour TOUT boucler, il faut ........ #15

cassiopee
09/10/2014, 09h07
Citation Envoyé par Picoteur
installée ce soir...
bloque bien les exploits 1 à 6 mais reste vulnérable au 7.
Oui, je confirme.

Picoteur
09/10/2014, 00h02
Citation Envoyé par Tristan
la release 2.35 est dispo sur le FTP depuis la fin de matinée : ftp://ftp.ovh.net/made-in-ovh/release/2.34-2.35/
installée ce soir...
bloque bien les exploits 1 à 6 mais reste vulnérable au 7.

cassiopee
08/10/2014, 20h16
Bonne nouvelle

Tristan
08/10/2014, 18h55
la release 2.35 est dispo sur le FTP depuis la fin de matinée : ftp://ftp.ovh.net/made-in-ovh/release/2.34-2.35/

Tristan
07/10/2014, 16h26
Merci cassiopee pour les infos :-)

Moi, je vais attendre le patch d'OVH en espérant qu'il ne tarde pas trop

Et si qq de chez OVH passe par ici, il serait bien aussi de mettre à jour le CHANGELOG de la release-2 :-)

cassiopee
06/10/2014, 10h42
Ok, merci pour ce site Tristan Très utile pour tout tester.

Dans une machine (pas une Release 2), j'étais en version 3.0.17 (après upgrade) en date du 24/09/2014
et j'avais encore les 4 derniers exploits sur les 7 qui passaient.

Depuis j'ai recompilé une version 3.0.22 et là plus rien ne passe.

Les patch 18->22 datent tous de moins d'1 semaine, le patch n°22 datant d'hier seulement
donc les binaires prévus pour la Release 2 là :

ftp://ftp.ovh.net/made-in-ovh/release/2.33-2.34/

ne peuvent pas être à totalement jour vu leur date de création.

Donc pour une Release 2 : mieux vaut attendre qu'OVH bouge.



Pour les plus aventureux/expérimentés, faire comme moi : récupérer les sources de Bash là :

http://ftp.gnu.org/gnu/bash/

récupérer la version de Bash la plus proche de celle que l'on a déjà (une 3.0, une 3.2, une 4.3, etc.)
et ensuite patcher le code source, le compiler et l'installer.

Par exemple pour une version 3.0 :

On télécharge et décompresse le code source principal :

Code:
# wget http://ftp.gnu.org/gnu/bash/bash-3.0.tar.gz
# tar -zxvf bash-3.0.tar.gz
# cd bash
On récupère tous les patch concernant cette version de Bash :
Code:
# wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-001
# wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-002
# wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-003
# [...]
# wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-022
On applique les patch sur le code source principal :
Code:
# patch -p0 < bash30-001
# patch -p0 < bash30-002
# patch -p0 < bash30-003
# [...]
# patch -p0 < bash30-022
et enfin la compilation & installation :

Code:
# ./configure
# make
# make install
plus qu'à vérifier que les exploits ne passent plus

(faire gaffe au répertoire d'installation du nouveau Bash qui n'écrasera peut-être pas l'ancien Bash,
auquel cas il faut renommer l'ancien sinon il risque de prendre le dessus sur le nouveau Bash)

Tristan
05/10/2014, 14h57
merci cassiopee pour ta réponse :-)

je viens de faire la mise à jour manuellement, et a priori, pas de pb

Par contre, si maintenant je passe certains tests avec succès, ce n'est pas le cas de tous :-(
Sur https://shellshocker.net/ seuls les 3 premiers exploits sont ok...
Pour les autres (exploits 4 à 7) mon serveur reste vulnérable :-(
Est-ce la même chose pour vous ?

cassiopee
05/10/2014, 12h15
Tu ne risques pas grand chose :

En gros, il s'agit de télécharger le binaire d'un "bon" bash pour la Release 2 depuis le serveur FTP d'OVH.
Ensuite de renommer (et non d'effacer) l'ancien bash sous un autre nom (par exemple "bash.insecure")
Et enfin de recopier le bon binaire de bash au bon endroit.

En cas de problème, il sera toujours possible de revenir en arrière simplement en renommant
l'ancien bash mis de côté pour lui redonner son nom d'origine.

Tristan
05/10/2014, 10h52
Bonjour,

certains d'entre vous ont-ils tenté une maj manuelle de BASH sur une release 2 ?
Étant un "peu" sorti de la release OVH (oh le vilain ! ), je ne peux pas utiliser le patch fourni par OVH :-(

J'ai trouvé ce guide : http://www.ackwa.fr/blog/2014/09/27/...release-2-ovh/
N'étant pas un as en administration, je préférais avoir qq retours avant de me lancer...

Niloo
29/09/2014, 10h26
Code:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Reglysse
29/09/2014, 10h21
Bonjour, comment savoir si le patch est bien passé ?

Delta
26/09/2014, 22h49
yep cela fonctionne impec sympa d'avoir pensé à la R2....
le fichier release est tjrs bloqué du 2.32 (d'ailleurs il n'a jms indiqué la 2.33) mais feux verts ici : http://travaux.ovh.net/?do=details&id=11684

Igo
26/09/2014, 22h31
Enfin ! je me sent moins en danger!
bravo OVH.
patch sur release 2 fonctionnel.

braindead
26/09/2014, 21h43
Appliqué sur 3 serveurs avec succès.
Un grand merci et bravo à OVH pour la réactivité et le maintient des patch de sécurité !!

François

titouleblanc
26/09/2014, 20h29
Ca y est le patch est disponible ... et ça marche

bbr18
26/09/2014, 18h28
c'est encore en test, patience ^^

dadou75
26/09/2014, 17h50
Par contre la release est la ftp://ftp.ovh.net/made-in-ovh/release/2.33-2.34/
Mais le patch-all.sh ne l'inclus pas encore. Il vaut peut être mieux attendre qu'il le fasse ?

dadou75
26/09/2014, 17h44
Visiblement OVH vient de mettre la Release 2.34 a dispo ça doit être ça non ?

Nowwhat
25/09/2014, 20h42
Bonjour,

Pas de panique, car, avant qu'un tiers personne pourrait 'toucher' à bash, il faut quand même qu'il a accès à ton serveur.
Si tes script PHP destes sites permet l'upload des fichiers, à la limite, bloque cette fonctionnalité pendant le temps que tu change ton OS (oui, carrément).
Car: le R2 est mort depuis des lustres (lire: plus de support) - il date de l'autre siècle. Même Microsoft, avec leurs OS payant n'offre pas ce genre de mise à jours (de sécurité).
Et faite gaffe: ce bug a bien démontre que même le R3 (en beta, donc à éviter sauf si tu es un expert) est "en attente" en ce moment - or, pour les autres OS dit 'standard' le soucis n'existe déjà plus.
Monter un OS 'normal' en style serveur LAMP, ce n'est pas sorcier, des milliers des tutos t'explique ça. Compte environ deux heures à copier les commandes, ajoute un webmin si tu pense que ton souris prend trop de poussière, et ça roule - et ce genre de soucis n'existera plus (et il y aura d'autres).

titouleblanc
25/09/2014, 15h07
Bonjour,

Les serveurs OVH en Release 2 sont visiblement tous vulnérables à la nouvelle faille particulièrement critique du bash (vulnérabilité shellshock).

Quelles mesures proposez-vous :
1- dans l'urgence : la faille étant visiblement simple à exploiter, que faire au moins dans un premier temps sans sortir si possible de la release ... ou en sortant de la Release si pas le choix.
2- dans un second temps : aurons-nous une mise à jour des release OVH rapidement ?

Merci d'avance,
Titou