Re: Linux et Unix affectés par une faille critique dans Bash
On Fri, Sep 26, 2014 at 11:10:53AM +0200, Francois Lafont wrote:
> Perso, même si c'est vraiment une grosse faille, ça me semble moins
> grave que Heartbleed.
Ça se discute, les effets n'étant pas le même...
Par exemple, ici il va falloir mettre à jour les serveurs:
c'est lourd, mais on sait faire. Par conter, ne pas mettre à
jour, c'est laisser son serveur ouvert à 4 vents.
Avec Heartbleed, il fallait demander aux utilisateurs de
changer leurs mots de passe, recréer des certificats etc...
beaucoup plus d'impact opérationel au final.
> mais il me semble que si l'on prend l'exemple d'un serveur
> Web, ça n'est pas simple de pouvoir exploiter cette faible
> à distance. Parce qu'il faut déjà que le serveur web soit
> amené à lancer un bash ce qui me semble pas toujours le
> cas (mais il paraît que ça peut arriver avec du cgi par
> exemple) mais surtout il faut que l'attaquant arrive à
> distance à faire en sorte qu'une nouvelle variable
> d'environnement soit définie au moment où le bash
> s'exécute sur le serveur et ça, ça me semble pas évident à
> distance.
La définition de CGI, c'est que le serveur Web communique au
script les paramètres de la communication (URL, query, IP
source, ce genre de choses) par l'intermédiaire de variables
d'environnements (REQUEST_URI, si ma mémoire est bonne).
Donc tout script CGI a des variables d'environnements qui
sont au final définies par le client.
Donc tout script CGI bash est exploitable trivialement.
> En effet, la faille s'exploite en définissant une variable
> d'environnement qui fera partie du processus du bash. Mais si un
> attaquant arrive à faire cela, alors sans même que cette faille existe,
> ça veut dire qu'il peut modifier le PATH par exemple et potentiellement
> déjà mettre un peu la pagaille, non ?
Il ne pourra pas modifier PATH, mais il lui suffit de
pouvoir agir sur certaines, et c'est bien le cas.
Y.
Reply to: