Le 24/09/14 une faille du logiciel GNU bash a été détectée. Celle-ci est référée sous le nom “Shellshock”. En quelques mots, cette faille permet à un attaquant distant d’exécuter un script en passant du code via les variables d’environnement.

En raison du nombre de machine utilisant bash , la faille touche de nombreux serveurs et pc. Tous les bash (version entre 1.14 et 4.3) non mis à jour courent un risque potentiel d’attaque.

bash

 

Introduction

La faille Shellshock peut-être exploitée sur les systèmes exécutants des services et applications permettant à des utilisateurs distants non autorisés d’assigner des variables d’environnements bash.

Par exemple :

  • Les serveurs Apache utilisants des scripts CGI (via mod_cgi ou mod_cgid) écrits en bash ou executés depuis un sous shell.
  • Certains clients DHCP
  • Openssh serveur utilisant la directive ForceCommand

 

Un détail complet de la faille est accessible ici CVE-2014-6271 et ici CVE-2014-7169.

 

 

Testez votre système

Connectez vous en SSH, puis :

env VAR='() { :;};echo Bash is vulnerable!' bash -c "echo Bash Test"

 

Si vous apercevez la phrase “Bash is vulnerable!“, c’est que votre système est vulnérable.

Si vous ne voyez que “bash test” c’est que votre système est à jour. Vous pouvez également apercevoir un message de ce type . Celui-ci indique également que votre système n’est pas vulnérable .

bash: warning: VAR: ignoring function definition attempt
bash: error importing function definition for `VAR'
Bash Test

 

Si votre version de bash est vulnérable, il est nécessaire de la mettre à jour.

 

 

Mettre à jour bash

Pour connaitre quelle version de Debian votre système exécute, rendez vous dans votre panel ISPconfig, onglet Suivi, menu Etat du serveur, lien vue générale.

Vous devriez voir une ligne du genre : “Serveur: isp.lws.prod (Debian Wheezy/Sid) ISPConfig 3.0.5.4p1

Pour les clients avec une formule SSH seule (sans ISPconfig), affichez le contenu du fichier : /etc/issue

Debian Wheezy = Debian 7
Debian Squeeze = Debian 6
Debian Lenny = Debian 5
Debian Etch = Debian 4

 

– Pour les VPS avec la formule ISPconfig + Debian 7 (ou Wheezy) : Votre système a été mis à jour par nos services.

– Pour les VPS avec la formule ISPconfig + Debian 6 (ou Squeeze) : Votre système a été mis à jour par nos services.

– Pour les VPS avec la formule ISPconfig + Debian 5 (ou Lenny) : La mise à jour doit être effectuée par vos soins suivant cette procédure. En effet Lenny n’étant plus une version de Debian supportée, LWS ne prend pas en charge la gestion de ce genre de problème.

nano /etc/apt/sources.list

 

Commentez toutes les lignes en mettant un ‘#’ devant, puis ajoutez :

deb http://archive.debian.org/debian/ lenny contrib main non-free

 

Puis :

apt-get update

 

Puis téléchargez et installez le paquet suivant bash_3.2-4.1_amd64.deb :

wget http://blog.lws-hosting.com/wp-content/bash_3.2-4.1_amd64.deb
dpkg -i bash_3.2-4.1_amd64.deb

 

 

– Pour les VPS avec la formule ISPconfig + Debian 4 (ou Etch) : Votre système est trop ancien pour être mis à jour. Nous vous recommandons fortement d’envisager de migrer vos sites sur une formule plus récente. Pour ce faire (si vous êtes clients LWS) prenez contact avec notre support, une proposition vous sera faite pour vous aider à migrer vos données.

– Pour les VPS avec n’importe quelle formule Debian SSH seule :  La procédure est la même que pour les formules avec ISPconfig.

– Pour les VPS avec la formule Ubuntu SSH seule (12.04 ou 14.04) :

apt-get update && apt-get install --only-upgrade bash

 

– Pour les VPS avec la formule centos SSH seule (centos 5 ou centos 6) :

yum update bash

 

 

INFO : Pour tous les clients devant mettre à jour leur système eux même et ne sachant pas comment faire, LWS propose exceptionnellement des forfaits d’infogérance à partir de 15 euros.