OVH Community, votre nouvel espace communautaire.

Faille de sécurité Bash


fritz2cat
08/10/2014, 20h51
Citation Envoyé par Nowwhat
Vu ça aussi.
Mais j'ai cru que, vu l’ancienneté de la bête Debian 6.0.10 que sources.list a pu être dans /etc dans un passé très lointain ......

De toute façon:

et bingo !!

PS: avant de mettre à jour Debian comme ça: go le Wiki de Debian pour le check-list.
Voici la mienne:
Prépare aussi un bouteille de ton boisson favoris.
Double le stock capsules café.
Renseigne toi concernant la pharmacie de garde.
Jure sur la tête de quelqu'un que tes sauvegardes sont ok.
Commence la mise à jour quand il faut pas, comme ça le stress ne va pas monter plus encore chaque heure. Tu seras plein dedans dès le début, ça motive.
Débranche téléphone et autre centre d'info planétaires.
Prépare pour un plan B si ton FAI tombe en rade (fil RJ45 aérienne vers le voisin).
Double check piles de rechange.
Un toilette de campagne pour éviter ton absence au moment cruciales, comme le fameux "Hit any key when you feel you're ready ..."
Choisi d’ailleurs ce touche avant pour éviter tout délai quand cette question est posée;
NOTE tous ce que tu tape sur le clavier.
Tu vas bien, mon cher @Nowwhat ?
Faut pas abuser de la gnôle ni du Deep Purple (qui au passage a réutilisé ta marque de fabrique)

Nowwhat
08/10/2014, 20h43
Vu ça aussi.
Mais j'ai cru que, vu l’ancienneté de la bête Debian 6.0.10 que sources.list a pu être dans /etc dans un passé très lointain ......

De toute façon:
locate sources.list
et bingo !!

PS: avant de mettre à jour Debian comme ça: go le Wiki de Debian pour le check-list.
Voici la mienne:
Prépare aussi un bouteille de ton boisson favoris.
Double le stock capsules café.
Renseigne toi concernant la pharmacie de garde.
Jure sur la tête de quelqu'un que tes sauvegardes sont ok.
Commence la mise à jour quand il faut pas, comme ça le stress ne va pas monter plus encore chaque heure. Tu seras plein dedans dès le début, ça motive.
Débranche téléphone et autre centre d'info planétaires.
Prépare pour un plan B si ton FAI tombe en rade (fil RJ45 aérienne vers le voisin).
Double check piles de rechange.
Un toilette de campagne pour éviter ton absence au moment cruciales, comme le fameux "Hit any key when you feel you're ready ..."
Choisi d’ailleurs ce touche avant pour éviter tout délai quand cette question est posée;
NOTE tous ce que tu tape sur le clavier.

fritz2cat
08/10/2014, 20h17
Citation Envoyé par enricocerica
le fichier à adapter n'est pas /etc/sources.list mais /etc/apt/sources.list
C'était une erreur de ma part, et je constate qu'il y a au moins une personne qui lit mes posts.
Merci pour la rectification.

enricocerica
08/10/2014, 19h08
Citation Envoyé par enricocerica
Merci à chacun pour son soutien,



Je ne trouve pas /etc/sources.list sur mon serveur , dois-je simplement créer ce fichier et l'alimenter avec les 2 entrées ?

Bien, je pense avoir trouvé la solution pour mon serveur Debian 6.0.10, en fait le fichier à adapter n'est pas /etc/sources.list mais /etc/apt/sources.list et j'y ai ajouté les entrées suivantes :

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

J'ai ensuite lancer les commandes :

apt-get update
apt-get upgrade -f

Et cette fois lorsque j'exécute la commande : env x='() { :;}; echo vulnerable' bash -c 'echo hello'

je ne reçois plus le message indiquant la vulnérabilité.
De là à penser que je suis maintenant définitivement protégé ...

enricocerica
08/10/2014, 18h43
Merci à chacun pour son soutien,

Citation Envoyé par fritz2cat
N'oubliez pas que si vous avez un debian 6 (squeeze) il n'y a plus de mises à jour,
il faut ajouter ceci à votre /etc/sources.list:

Adaptez la localisation du mirror si vous êtes en France

Si vous êtes dans une version plus ancienne que 6, c'est cuit.
Je ne trouve pas /etc/sources.list sur mon serveur , dois-je simplement créer ce fichier et l'alimenter avec les 2 entrées ?

fritz2cat
08/10/2014, 08h43
N'oubliez pas que si vous avez un debian 6 (squeeze) il n'y a plus de mises à jour,
il faut ajouter ceci à votre /etc/sources.list:
deb http://debian.bhs.mirrors.ovh.net/debian/ squeeze-lts main contrib non-free
deb-src http://debian.bhs.mirrors.ovh.net/debian/ squeeze-lts main contrib non-free
Adaptez la localisation du mirror si vous êtes en France

Si vous êtes dans une version plus ancienne que 6, c'est cuit.

Abazada
08/10/2014, 00h35
Citation Envoyé par enricocerica
Qqun peut-il m'indiquer la procédure pour actualiser mon VPS et corriger la faille de sécurité Bash ?
Comme dit plus haut, il suffit de mettre à jour Debian et c'est extrêmement simple:
Code:
# apt-get update && apt-get upgrade
ou
# aptitude update && aptitude -y safe-upgrade

selon tes habitudes ou préférences

Citation Envoyé par enricocerica
la procédure d'upgrade semble se dérouler
hormis que le service Mysql ne peut pas être arrêté
Ceci est un autre problème n'ayant (très probablement) rien à voir avec cette faille
Indique-nous le message d'erreur exact
et regarde dans les fichiers log de MySQL s'il n'y a pas plus de détail.

PS: Copier le message d'erreur dans Google peut souvent aider

fodjer
07/10/2014, 22h09
Pour les sytemes à base de debian ou ubuntu, voici un lien qui peut aider
http://forum.ubuntu-fr.org/viewtopic.php?id=1684291


Pour info, sur un VPS debian 7, j'ai executé la commande suivante :
Code:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
=> j'étais vulnérable


J'ai ensuite exécuté la commande
Code:
grep -r '() \+{' /var/log/{apache2,nginx}/
=> j'ai eu 2 tentatives d’exécution de code WGET le 28 sept


J'ai fais un apt-get update et apt-get upgrade
Test à nouveau
Code:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
=> je ne suis plus vulnérable

laurentm
07/10/2014, 22h02
Je suis presque certain qu'en ajoutant les dépôts du dernier Ubuntu server 14-04 LTS à une Debian récente, on doit pouvoir faire la mise à jour facilement...

Autant je ne suis pas du tout convaincu par la couche graphique Unity (ou la Gnome) des distributions Ubuntu, autant leur version serveur LTS semble idéale.

J'ai beaucoup de serveur sous d'anciens OpenSuse (qui ne bénéficient pas du support étendu "evergreen" et c'est un enfer pour essayer de patcher
cette faille de sécurité ! Avec l'installation .rpm, les dépendances réclament à leur tour des dépendances non satisfaites et ainsi de suite !

Au moins, avec Ubuntu 14-04 on est tranquille jusqu'en 2019 !

Niloo
07/10/2014, 20h38
Bonjour,

Le patch-all ne concerne que la R2 maintenue par OVH.
Si tu es sous Linux Debian en fonction de la version la procédure est différence.
Je peux te proposer mes services d'infogérance, si tu veux que je te vienne en aide.

enricocerica
07/10/2014, 18h06
Bonjour,

Qqun peut-il m'indiquer la procédure pour actualiser mon VPS et corriger la faille de sécurité Bash ?
Il s'agit d'un VPS 2014 classic 3 chargé avec un LAMP 1.0 (Debian Linux).
J'ai tenté un upgrade de bash seul sans succès, un upgrade complet du système sans succès, la procédure d'upgrade semble se dérouler hormis que le service Mysql ne peut pas être arrêté, je ne sais pas si c'est la cause du problème.

J'ai trouvé un script patch-all sur http://travaux.ovh.net/?do=details&id=11684, dois-je appliquer ce dernier ?

Merci pour votre aide