Bonjour,
 
Depuis jeudi, j'ai entendu parlé de la faille bash existante depuis de nombreuses années sur linux. Étant un récent dans le monde du libre, j'avais quelque questions :
 
Le correctif mit en place par les différentes distributions est-il complet ou partiel ?
 
Quelle est réellement l'impact de cette faille ? est-ce à l’exécution du shell ?
 
Merci pour vos réponses, ça va m'éclairer

http://www.shellshock.fr/

super article là :
 
https://linuxfr.org/news/une-faille-nommee-shellshock

bonjour,  
le correctif est sencé être fiable, dès à présent, mais il y aura de toute façon à la prochaine version une version définitive de ce point de vu précis... soit avec soit sans modification du patch actuel.
 
la faille était/est réelle mais son exploitation est fatalement peu probable, il faut absoluement un site en php avec un exec pas protegé appelant un script bash.... ce qui devrait être interdit à la base car peu logique comme utilisation.... et bien sur le tout à condition d'avoir un site php hébérgé chez soi ou sur un fournisseur de service comme ovh...par exemple.

Merci pour vos liens et ta réponses goblin_rieur.
 
C'est ce que je me disais, c'est un peu trop "médiatisé" cette faille. Surtout qu'elle est présente depuis longtemps (apparemment depuis la version 1.13).
 
Changer d’interpréteur serait peut être préférable ? (genre C shell) ?

pourquoi pas il est tjrs interessant de connaitre au moins deux shells

Ok.
 
Tout ça est plus clair pour moi.
 
Il y a un site spécialisé qui recense sur les failles open sources, genre redhat security mais toutes distribution confondu ?

 
Sinon zsh, c'est franchement puissant

et OpenBSD utilise (pd)ksh

 
non, pas du tout. c'est plus que réducteur et faux.
 
Imagine que tu analyses tes access logs (action à posteriori donc); et que tu mettes l'UA dans une variable pour l'afficher (c'est un exemple, pas un PoC) : te voila vulnérable. il n'y a pas un besoin impératif d'interactivité, et encore moins de PHP obligatoirement.

certaines versions de zsh ont la faille.

 
j'ai effectivement pris un énorme raccourci ....
 
L'experience démontre qu'une faille n'a d'interet/danger selon le coté où on se place que si elle est exploitable depuis l'exterieur... si tu as un accès physique à une machine il n'existera jamais de protection à quoi que ce puisse etre...
 
 
la seule exploitation distante  démontrée de bout en bout est bien pour l'instant l'utilisation via une page auto-hebergée, à ma connaissance.
y'a des tas d'exemples mais qui ne marchent que dans des conditions parfaites sous entendant entre autre avoir déjà franchis un éventuel routage pour ne citer que l'erreur de base de 90% des démonstrations "failed"
 
 
Mais ça n'empèche en rien oui évidement en local toute utilisation de bash sans le correctif  (y compris l'accès en réseau local et sessions réseau actives bien sur) d'avoir la faille active, je ne prétends absoluement pas du tout le contraire...  
 
 
Les conditions de l'exploitation à minima : (documentés dans le patch)

Attention meme si bash n'est pas le shell par défaut, il peut être appelé par une appli comme apache.  
Par ailleurs il y a eu plusieurs correctifs, il faut vérifier la prise en charge du dernier.

Un bon papier de ars technica

http://web.nvd.nist.gov/view/vuln/ [...] hs&cves=on
 
La faille est si triviale, étrange qu'elle soit restée inaperçue

une webapp qui lance un bash_script c'est vraiment  
qui fait ça? faudra m'expliquer un exemple  (suffisament répandu bien sûr)

Même 01net en parle

http://www.dwheeler.com/essays/shellshock.html