Le «bash bug» est-il vraiment pire que heartbleed?


#1

www.20minutes.fr…


#2

un expert microsoft pour parler du bash ? ils ont de l’humour chez 20minutes… :paf:


#3

j’ai vu la meme news sur cluclu pro :wink:


#4

sur clubic il précise que dans l’embarqué c’est pas bash mais ash du projet busybox qu’on trouve


#5

Ne sois pas médisant hein :non:

Chez Crosoft, ils sont quand même spécialisés… dans les failles. Le monsieur sait donc de quoi il cause… :sarcastic:

Tout comme 20minutes…

:ane:
Edité le 26/09/2014 à 19:11


#6

pour comprendre où se situe la faille : linuxfr.org…


#7

:hello:

Très bon article, qui va beaucoup plus loin que les annonces fracassantes des journaux et médias non spécialisés. :jap:


#8

Merci pour le lien, très intéressant :jap:

Vu les conditions nécessaires on est tranquille pour les serveurs installés chez nos clients, même si les patchs seront à faire installer chez tous.
Edité le 29/09/2014 à 07:06


#9

meme lien chez clubic des fois que le lien 20 minutes soit moins convaincant

pro.clubic.com…


#10

Et tu as lu le lien fourni par lithium ?

La news clubic précise bien d’ailleurs que le périmètre est limité car pas d’élévation de privilèges.
Edité le 29/09/2014 à 10:00


#11

oui mais j’ai rien compris au contenu du lien de lithium dsl
Edité le 29/09/2014 à 10:42


#12

Et tu oses nous parler du lien de 20 minutes ? :paf:

Eux non plus n’ont rien compris.
Visiblement, ils ne savent même pas ce qu’est une élévation de privilège. :ane:


#13

la faille n’est pas dans le bash, passer des fonctions dans les variables est une fonctionnalité prévue et documentée de ce shell.
c’est le mauvais usage des logiciels tiers et/ou leur mauvaise configuration qui créé la faille.

et donc faille limitée puisqu’elle permet d’executer du code non prévu mais sans élévation de privilèges. c’est pas du tout comparable à celles d’openssl.

bref :


#14

je suis pas sur que tu vailles la peine que je te réponde …


#15

sur un forum nommé OS alternatifs tu devrais t’attendre à rencontrer des personnes connaissant plutot bien le sujet, et visiblement plus que toi.
alors plutot que te borner a fournir des liens vers des articles de presse généralistes faux ou incomplets, tu pourrais par exemple nous demander où ils se trompent et à ce qu’on t’aide à comprendre l’article du site spécialisé.

à moins que le but de ton topic soit de créer un débat stérile ?
Edité le 29/09/2014 à 19:40


#16

Ben écoute, désolé, mais les articles simplistes et inexacts de la presse généraliste, c’est lourd.

Après, si tu n’a pas compris, dis nous justement sur quelles parties tu bloques, on peut essayer de t’expliquer. :neutre:

Pour info, le passage de l’article que quote Lithium résume bien la situation : Il ne s’agit PAS d’un bug de bash, mais d’une fonction, seulement il n’ jamais été prévu que cette fonction soit utilisé par des softs capable d’executer des commandes à distance tel que le serveur Web Apache par exemple. :neutre:

Et ici, la faille ne permet pas d’exécuter une commande avec un privilège plus élevé (pour faire plus clair : Une élévationd e privilège c’est quand il est possible d’exécuter une commande administrateur - root sous Linux - alrs qu’on est loggué en compte avec des droits utilisateurs). :jap:

Dernière chose, je ne comptais pas être blessant dans mes propos. :jap: