Ok, shits real. Its in the wild... src:162.253.66.76

Bonne (comme d’habitude) synthèse et explication sur ArsTechnica ▻http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it Des explications techniques en ▻http://lcamtuf.blogspot.fr/2014/09/quick-notes-about-bash-bug-its-impact.html ou ▻https://news.ycombinator.com/item?id=8361574

pour @booz, basher.

“Everything you need to know about the Shellshock Bash bug”
▻http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

Les utilisateurs de #Debian #Jessie peuvent temporairement passer #Bash en #Sid... ▻https://security-tracker.debian.org/tracker/CVE-2014-6271

Si vous voulez voir le balayage de vos serveurs HTTP, egrep '\(\ *\)\ *\{' $HTTP_LOG Attention, celui qui fait de la pub pour ►http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html est un gentil.

Un exemple du gentil :

Et un exemple d’un méchant :

sur seenthis on a vu passer

le second vient du même IP que le premier, et tente de passer par le champ referer ; sur mes autres serveurs je n’ai rien trouvé d’autre que le gentil

Quelques traces de méchants par chez moi aussi :

même IP sur une autre machine :

Les recommandations du CERT-FR : ▻http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/index.html

Bon article sur ce que voit un pot de miel (aka les vraies attaques) ▻http://www.alienvault.com/open-threat-exchange/blog/attackers-exploiting-shell-shock-cve-2014-6721-in-the-wild

Un petit POC d’exploitation via #DHCP : ▻https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept

Il y a eu maintenant une très grande quantité d’articles sur ShellShock. Maintenant, il ne faut plus tout lister, il faut trier.

En français, la meilleure explication technique, de loin : ▻https://linuxfr.org/news/une-faille-nommee-shellshock

Une très bonne explication par le découvreur de la faille lui-même, ainsi qu’une discussion de ce que bash aurait dû faire : ▻http://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-wh

Une autre discussion sur comment réparer le problème proprement, argumentant qu’ajouter automatiquement toute fonction contenue dans une variable d’environnement quelconque était de la folie : ▻http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole

Pour éviter d’avoir cinquante mille PoC (Proof of Concept, une exploitation de la faille pour montrer qu’elle est réelle), un projet les regroupe toutes sur Github : ▻https://github.com/mubix/shellshocker-pocs