Note: les serveurs web qu utilisent une interface CGI vers un shell type "Busybox" (par exemple les routeurs) ne sont apparemment pas concernés par cette attaque sur le bogue de "bash" mais l'interface CGI d'Apache utilisant un shell OpenSSH est touché également.
Les attaques consistent notemment à obtenir de se faie envoyer par mail ou SMS les identifiants réels d'accès aux comptes en ligne ou des numéros de confirmation de demande de changement de mot de passe, pour ensuite faire des transactions frauduleuses ou modifier les droits d'accès. Sur mon compte il bancaire en ligne y a eu plusieurs changement d'email et de numéro mobile. alors que j'utilise des mots de passe forts (au moins 15 caractères alphanumériues et ponctuations et casse aléatoire, plus quelques caractères non ASCII). Les attaques continuent; ma banque en ligne n'a toujours pas fermé son interface web et elle envoie des emails avec mot de passe en clair alors que ce système ne devrait plus exister depuis des mois et utiliser la double authentication par SMS et clavier numérique virtuel contre les keyloggers et des bloqueurs de scripts clients. Elle a fermé les accès par les applications mobile (d'abord iOS puis Android) Mais son service client par téléphone est surchargée d'appels de ceux qui n'ont plus accès à leur compte par mobile ou ont des erreurs d'identification parce que leur mot de passe ne fonctionne plus Avec beaucoup de mal je l'ai contacté après avoir pu constater facilement que son écran de login était vulnérable à cette attaque. J'attends une réponse. Le 30 septembre 2014 19:43, Philippe Verdy <verd...@wanadoo.fr> a écrit : > Pour info. > > http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/index.html > > une faille de bash qui exécute le contenu de variables d'environnement; > passées dans des champs de formulaire web; notamment un écran de login où > on saisit un nom d'utilisateur (avant que le script serveur s'exécute et > valide les données du formulaire) ou bien affecte une session OpenSSH pour > ouvrir une commande authentifiée et communiquer des données. > > La principale attaque se situe sur les sites web Apache utilisant une > interface CGI pour passer les formualires dans des varaibles > d'environne,ents dans un scripts shele exécuté par bash. > > http://www.silicon.fr/5-questions-faille-shell-shock-visant-bash-97012.html > > LEs détail techiques de l'attque ont été publiés en ligne dès le 26 > septembre alors que la vulnérabilité a été connue 2 jours avant. > > Attaques confirmées sur un de mes comptes bancaires en ligne avec des > tentatives répétées d'intrusion depuis le 26 septembre (plusieurs fois par > jour à n'importequelel heure du jour et de la nuit, avec des transactions > que je n'ai jamais demandées, PC éteint et mobile éteint. Attaque > distribuée depuis des lieux divers dans le monde et je ne dois pas être le > seul). > > Mettez à jour vos serveurs web Unix/Linux (les patches pour bash sont > dispo sous Redhat, Ubuntu, Mandriva, Fedora, Oracle; et divers Unix ... > mais certains patches avant le 27 septembre ont d'autres vulnérabilités de > pointeurs nuls. Les patches proposés vont encore subir des liftings. Et > probablement il y aura de nouvelles mesures de sécurité pour l'interface > CGI d'Apache et intégrer des méthodes de detection et filtrages de > certaines séquences de données ou modifier la méthode d'encapsulation de > données de formulaires en CGI. > >
_______________________________________________ Talk-fr mailing list Talk-fr@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-fr
