[bash] CVE-2014-7169, remote code execution ; follow up to CVE-2014-6271

Stéphane Bortzmeyer CC BY-SA 26/09/2014

#ShellShock 2, officiellement nommé CVE-2014-7169 ▻http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169 est une suite de la faille ShellShock CVE-2014-6271 ▻http://seenthis.net/messages/296476 , suite due au fait que le premier patch publié ne résoud pas complètement le problème. Il y a désormais des patchs contre ShellShock 2 donc il faut re-patcher #bash.

Fedora : patch disponible

ArchLinux : patch disponible ▻https://bugs.archlinux.org/task/42109 quelqu’un a un autre URL que le « bug tracker » ?

Stéphane Bortzmeyer CC BY-SA

Stéphane Bortzmeyer @stephane CC BY-SA 26/09/2014

Pour tester si votre machine est vulnérable :
Avec le patch contre ShellShock 1, ce code va produire un message d’erreur et exécuter la commande, dont le résultat va être dans le fichier (echo dans ce cas) :
% X='() { (a)=>\' bash -c "echo date" bash: X: line 1: syntax error near unexpected token `=' bash: X: line 1: `' bash: error importing function definition for `X' % ls -lt total 4 -rw-rw-r-- 1 bortzmeyer bortzmeyer 30 Sep 26 09:57 echo %
Avec le patch contre ShellShock 2 :
% X='() { (a)=>\' bash -c "echo date" date % ls -lt total 0 %

Stéphane Bortzmeyer @stephane CC BY-SA
b_b @b_b PUBLIC DOMAIN 26/09/2014

Patch dispo sous Ubuntu aussi :
▻https://launchpad.net/ubuntu/+source/bash/4.3-7ubuntu1.3
▻https://launchpad.net/ubuntu/+source/bash/4.2-2ubuntu2.3

b_b @b_b PUBLIC DOMAIN
Ben @ben CC BY-NC 26/09/2014

#merci_stephane

Ben @ben CC BY-NC
Alda @alda CC BY-ND 26/09/2014

Pour Arch, à part le lien vers le bugtracker, il y a le lien vers le commit qui clôt le bug :
▻https://projects.archlinux.org/svntogit/packages.git/commit/trunk?h=packages/bash&id=66b6f8f71f48b425c53b781c531697988413e503

Alda @alda CC BY-ND