Article ID: 123006, created on Sep 25, 2014, last review on Nov 26, 2014

  • Applies to:
  • Operations Automation
  • Plesk for Linux/Unix
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo hypervisor

Informations

L'interpréteur de commandes de GNU, Bash versions 4.3 et antérieures, traite les chaînes TRAILING placées après les définitions de fonction dans les valeurs des variables d'environnement. Ceci permet aux attaquants à distance d'exécuter du code arbitraire via un environnement spécialement conçu à cet effet, comme démontré par les vecteurs d'attaque suivants : fonction ForceCommand dans OpenSSH sshd, modules mod_cgi et mod_cgid dans le serveur HTTP Apache, scripts exécutés par des clients DHCP (versions non spécifiées) ainsi que d'autres scénarios dans lesquels la configuration de l'environnement est effectuée via les limites de droits de l'exécution Bash, alias "ShellShock".

REMARQUE : le correctif fourni à l'origine pour ce problème était incorrect. CVE-2014-7169 a été affecté pour couvrir la vulnérabilité toujours présente après le correctif incorrect.

Symptômes

Veuillez utiliser le script automatisé pour découvrir si la version de Bash installée est vulnérable : BashCheck.

REMARQUE : les dernières versions de Bash 4.3 [Ubuntu 14.x, Debian Jessie] renvoient un avertissement pour un faux-positif dans la vérification pour le CVE-2014-7186 (redir_stack bug) avec le script précédemment publié.

Exemples :

Machine vulnérable :

$ sh bashcheck
Vulnerable to CVE-2014-6271 (original shellshock)
Vulnerable to CVE-2014-7169 (taviso bug)
./bashcheck: line 18:  6671 Segmentation fault: 11  bash -c "true $(printf '< /dev/null
Vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser still active, likely vulnerable to yet unknown parser bugs like CVE-2014-6277 (lcamtuf bug)

Machine mise à jour :

$ sh bashcheck
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs

Résolution

Le groupe de sécurité de Red Hat a fixé la vulnérabilité ShellShock en plusieurs étapes. À chaque étape correspond un CVE  : CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187.

La recherche concernant les vecteurs d'attaque et l'impact sécuritaire est publiée dans le Redhat Security Blog (blog sécurité de Red Hat en anglais).

Voici les correctifs du bash publiés par les fournisseurs de systèmes d'exploitation :

Même si cette vulnérabilité n'affecte aucun produit de Parallels, nous vous recommandons vivement d'installer la mise à jour pour éviter tout risque d'exploitation du système via le réseau.

Voici une liste des articles qui peuvent vous aider :

e0aff7830fa22f92062ee4db78133079 caea8340e2d186a540518d08602aa065 198398b282069eaf2d94a6af87dcb3ff 614fd0b754f34d5efe9627f2057b8642 5356b422f65bdad1c3e9edca5d74a1ae 400e18f6ede9f8be5575a475d2d6b0a6 a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c 29d1e90fd304f01e6420fbe60f66f838 a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article
Save as PDF