On Fri, Sep 26, 2014 at 11:10:53AM +0200, Francois Lafont wrote: > Perso, même si c'est vraiment une grosse faille, ça me semble moins > grave que Heartbleed.
Ça se discute, les effets n'étant pas le même... Par exemple, ici il va falloir mettre à jour les serveurs: c'est lourd, mais on sait faire. Par conter, ne pas mettre à jour, c'est laisser son serveur ouvert à 4 vents. Avec Heartbleed, il fallait demander aux utilisateurs de changer leurs mots de passe, recréer des certificats etc... beaucoup plus d'impact opérationel au final. > mais il me semble que si l'on prend l'exemple d'un serveur > Web, ça n'est pas simple de pouvoir exploiter cette faible > à distance. Parce qu'il faut déjà que le serveur web soit > amené à lancer un bash ce qui me semble pas toujours le > cas (mais il paraît que ça peut arriver avec du cgi par > exemple) mais surtout il faut que l'attaquant arrive à > distance à faire en sorte qu'une nouvelle variable > d'environnement soit définie au moment où le bash > s'exécute sur le serveur et ça, ça me semble pas évident à > distance. La définition de CGI, c'est que le serveur Web communique au script les paramètres de la communication (URL, query, IP source, ce genre de choses) par l'intermédiaire de variables d'environnements (REQUEST_URI, si ma mémoire est bonne). Donc tout script CGI a des variables d'environnements qui sont au final définies par le client. Donc tout script CGI bash est exploitable trivialement. > En effet, la faille s'exploite en définissant une variable > d'environnement qui fera partie du processus du bash. Mais si un > attaquant arrive à faire cela, alors sans même que cette faille existe, > ça veut dire qu'il peut modifier le PATH par exemple et potentiellement > déjà mettre un peu la pagaille, non ? Il ne pourra pas modifier PATH, mais il lui suffit de pouvoir agir sur certaines, et c'est bien le cas. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140926093349.gb14...@naryves.com
