Re: Linux et Unix affectés par une faille critique dans Bash

[Vincent Lefevre <vincent@vinc17.net>]

On 2014-09-26 11:33:50 +0200, Yves Rutschle wrote:
> On Fri, Sep 26, 2014 at 11:10:53AM +0200, Francois Lafont wrote:
> > Perso, même si c'est vraiment une grosse faille, ça me semble moins
> > grave que Heartbleed.
> 
> Ça se discute, les effets n'étant pas le même...
> 
> Par exemple, ici il va falloir mettre à jour les serveurs:
> c'est lourd, mais on sait faire. Par conter, ne pas mettre à
> jour, c'est laisser son serveur ouvert à 4 vents.

C'était pareil avec Heartbleed: les serveurs avec OpenSSL devaient
être mis à jour.

> Avec Heartbleed, il fallait demander aux utilisateurs de
> changer leurs mots de passe, recréer des certificats etc...
> beaucoup plus d'impact opérationel au final.

Oui, et en plus, comme la majorité des navigateurs ne vérifie pas
la révocation des certificats (au moins par défaut), cela peut
encore faire des dégâts.

> La définition de CGI, c'est que le serveur Web communique au
> script les paramètres de la communication (URL, query, IP
> source, ce genre de choses) par l'intermédiaire de variables
> d'environnements (REQUEST_URI, si ma mémoire est bonne).

Ceci dit, il faut que les deux premiers caractères de la valeur
soient "()". Pas possible pour certaines variables. Peut-être
query?

> Donc tout script CGI a des variables d'environnements qui
> sont au final définies par le client.
> 
> Donc tout script CGI bash est exploitable trivialement.

Mais de tels scripts ne doivent pas être très courants.

Si le serveur web exécute le script via system() et que /bin/sh
est bash, c'est aussi exploitable.

-- 
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)