Fedora-fr

Subscribe to flux Fedora-fr
Les sujets les plus récents sur Fedora-Fr - Communauté francophone Fedora - Linux.
Mis à jour : il y a 1 heure 57 min

Capitole du Libre 2014

lun, 10/20/2014 - 20:32

Les organisateurs de Capitole du Libre nous ont contactés pour savoir si nous étions disponibles pour tenir un stand Fedora sur l'évènement. Nous y avons vu une occasion de rencontrer les utilsateurs de Fedora ailleurs qu'à Paris.

Nous serons donc à l'ENSEEIHT (26 rue Pierre-Paul Riquet) à Toulouse, le 15 et 16 novembre. Si vous êtes dans le coin, n'hésitez pas à passer nous dire bonjour, voir Fedora 21 tourner sur des PCs quelques semaines avant sa sortie, jouer avec des RaspBerry Pi tourner sur Pidora 2014 et plein d'autres choses encore.

Plus d'infos sur le site web de l'évènement.

Shellshock: une faille de sécurité majeure dans bash

ven, 09/26/2014 - 15:18

Une faille de sécurité majeure sur l'interpréteur de commandes Bash a été découverte récemment.

La faille est référencée sous le code CVE-2014-6271 mais son petit nom est Shellshock. Cette faille existe depuis au moins la version 1 de bash. Elle est donc répandue sur l'ensemble des versions de Fedora.

Qu'est-ce qu'elle permet ?

La faille exploite le fait que l'interpréteur de commandes bash, au moment où il est démarré, n'arrête pas l'interprétation à l'endroit où il devrait. Ainsi lorsqu'il y a des définitions de variables ou de fonctions d'environnement l'interpréteur exécute les commandes passées en arguments après définitions.

Étant donné le fait que l'on puisse démarrer un interpréteur de commandes bash dans un script cgi par exemple, on peut exploiter cette faille à distance En utilisant le fait que les variables d'environnement cgi sont mappées en variables d'environnement shell. Le lancement de commandes se fait alors à distance, très certainement dans le contexte d'exécution du serveur web par exemple.

Des script d'exploitation de cette faille sont facilement récupérables et des scanneurs spécifiques à cette faille sont déjà à l'œuvre.

Comment vérifier si ma version est impactée ?

Vous avez la possibilité de tester cette faille à l'aide de la commande ci-dessous:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si votre version de bash est vulnérable, vous obtiendrez le retour suivant:

vulnerable this is a test

Sinon :

bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a testComment la corriger ?

Pour les versions de Fedora >=19, c'est à dire celles supportées par le Projet Fedora :

yum clean all ; yum update

Pour les autres versions, non supportées, nous vous invitons à :

  • soit mettre à jour votre Fedora vers une version supportée.

  • soit compiler bash à partir du srpm en y appliquant le patch

  • soit compiler bash à la main.

Pour plus d'informations https://securityblog.redhat.com/

PS: Merci à notre partenaire Ikoula, car j'ai un peu pompé leur mail d'alerte.