Poster une réponse 
 
Note de cette discussion :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Faille (bash) shellshock sous Linux
26-09-2014, 14:20:52 (Ce message a été modifié le : 26-09-2014 14:30:17 par Laurent.)
Message : #11
RE: faille shellshock sous Linux !
on peut parfaitement laisser son VHS en DMZ, et au niveau du routeur, faire seulement une redirection du port 22 par une IP non utilisée ou attribuée à une imprimante réseau ou n'importe quoi.

c'est ce que j'ai fait chez moi, et le port 22 apparaît comme fermé (affecté à mon décodeur canal+ !).

seul les ports 21 (ftp), 80 (http) et 443 (ssl) apparaissent ouvert sur mon IP WAN.
   

par contre, mais cela à peut être changé depuis la V4, avant il fallait faire la manip du bouton en façade pour activer la connexion du support... je présume que cette action ouvrait le port SSH et leur permettait ainsi la connexion, mais il semble que cela ne soit plus nécessaire maintenant...

je sais que si je dois donner accès à mon VHS au support, il me suffit de décochez la règle de redirection du port 22 sur mon routeur, et c'est bon !

Laurent - VHS 4x1To - extreme II X2 235e - 8Go ram - v6.x.x (pour le backup de mon Qnap TS453pro en 4x3To RED) - avatar KO car lien FTS, comme tous les autres, ont sautés suite à un bug ! hors de question de refaire les 300 liens que j'utilisais.
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
26-09-2014, 14:48:03
Message : #12
RE: faille shellshock sous Linux !
Je suis d'accord avec toi, mais j'ai quand même l'impression que le coup du bouton en face avant, n'avait déjà plus d'utilité dans les dernières V3.
Car ils m'ont déjà débloqué mon NAS alors que j'avais rebouter sans ré-appuyer sur ce bouton.Huh

VHS-4 Home 1 - Intel Atom D525 Dual core à 1,8GHz - SSD 4Go
Firmware: 6.1.3
Dram: 4Go
HDD: 4 x 1To Raid5 - Western Digital WD40EFRX

VHS-4 Xtreme 3 - i7 3770S à 3,1GHz - clef USB 4Go
Firmware: 6.1.4
Dram: 2 x 8Go
HDD: 4 x 6To Raid 5 - WD60EFRX
1 VM Ubuntu Server 14.04 avec rsync pour backup sur DNS-323 de 2 x 1To
2 VM Windows 7, 1HD et 1 Virtio, 1 VM W10
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
26-09-2014, 17:42:30 (Ce message a été modifié le : 26-09-2014 17:45:46 par bpe.)
Message : #13
RE: faille shellshock sous Linux !
en V2 ?
en V3 ET V4 non, pas de bouton en face avant

le service SSL est toujours actif et le port 22 est open en V3/V4
la V4 permet en plus d'avoir acces en SSH avec le compte admin au nas
mais c'est complétement indépendant de l'acces SAV

avec la manip de Laurent, je ne comprend pas, si le nas est en DMZ, tous les ports du nas sont directement sur le Wan

Voici le scan de mon nas, mais la plupart des services VE sont off
SMTP [25]
SSH [22]
POP3 [110]
nntp [119]
imap [143]
HTTP [80]
sunrpc [111]
Shared Network Folder [139]
465
nntps [563]
HTTPS [443]
Shared Network Folder [445]
587
imaps [993]
pop3s [995]
5906
7000
HTTP Proxy [8080]
8200
9091
17046
36722
51413
63000

mais c'est hors sujet Big Grin

.

VHS-4 Xtreme II AMD Athlon II X4 610e 2,4GHz, 2*4Go, clef USB 4Go
HDMI
Raid 5: 4*2To WD20EARX
OS: 6.1.4 Heart
Kodi
VM Win 10 connexion RDP
Tuner DVB-T2 + clés USB Dual Tuners TNT HD

VHS-4 Home 1 Intel Atom D525 Dual Core 1,8GHz, 4Go, SSD 4Go
Pas de sortie vidéo
Raid 5: 4*6To WD60EFRX
OS: 6.1.4 Heart
Plex SRV (utilisation occasionnel)
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
27-09-2014, 09:41:47
Message : #14
RE: faille shellshock sous Linux !
Cette faille peut-être facilement corrigée en mettant à jour bash sur nos machines.

La version de bash actuellement installée est la 4.1-2ubuntu3, debian et ubuntu ont sorti la version 4.1-2ubuntu3-2 qui corrige cette faille.

Deux solutions : Ve-hotech prend en charge ceci et mets à jour ses dépots et la mise se fera pendant la maintenance, soit il nous faudra faire les mises à jour nous-mêmes si nous voulons sécuriser nos machines.

Sur une machine patché le test renvoie ceci :

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Louis
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
27-09-2014, 14:08:43
Message : #15
RE: faille shellshock sous Linux !
bonjour

j’attends la maintenance de VE
BASH est une brique de OS VE, si l'on change une partie, je ne suis pas sur des dépendances avec le reste

mon nas n'est pas en DMZ, il n'est donc pas visible d'internet
et je n'ai aucun serveur web actif de l'extérieure

.

VHS-4 Xtreme II AMD Athlon II X4 610e 2,4GHz, 2*4Go, clef USB 4Go
HDMI
Raid 5: 4*2To WD20EARX
OS: 6.1.4 Heart
Kodi
VM Win 10 connexion RDP
Tuner DVB-T2 + clés USB Dual Tuners TNT HD

VHS-4 Home 1 Intel Atom D525 Dual Core 1,8GHz, 4Go, SSD 4Go
Pas de sortie vidéo
Raid 5: 4*6To WD60EFRX
OS: 6.1.4 Heart
Plex SRV (utilisation occasionnel)
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
29-09-2014, 13:25:35 (Ce message a été modifié le : 29-09-2014 13:29:27 par bpe.)
Message : #16
RE: faille (bash) shellshock sous Linux !
un très bon résumé avec plusieurs liens de référence

http://linuxfr.org/news/une-faille-nommee-shellshock

.

VHS-4 Xtreme II AMD Athlon II X4 610e 2,4GHz, 2*4Go, clef USB 4Go
HDMI
Raid 5: 4*2To WD20EARX
OS: 6.1.4 Heart
Kodi
VM Win 10 connexion RDP
Tuner DVB-T2 + clés USB Dual Tuners TNT HD

VHS-4 Home 1 Intel Atom D525 Dual Core 1,8GHz, 4Go, SSD 4Go
Pas de sortie vidéo
Raid 5: 4*6To WD60EFRX
OS: 6.1.4 Heart
Plex SRV (utilisation occasionnel)
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
30-09-2014, 09:38:57
Message : #17
RE: faille (bash) shellshock sous Linux !
Bonjour,

Voici la réponse du support à cette question:
------------
Bonjour,

Le logiciel bash est l’interpréteur de commande par défaut d'Ubuntu. Quand vous vous connectez en ssh, c'est cet interpréteur de commande que vous utilisez.

Le portail d'administration du serveur n'utilise pas bash. Il n'y a donc pas moyen de faire une injection dans bash par le portail d'administration.

En d'autres thermes, les serveurs Ve-hotech ne sont pas concernés pas la faille de sécurité de Bash car Bash n'est utilisé qu'après une connexion par ssh. Il faut donc d'abord trouver une faille de sécurité dans ssh pour exploiter une faille dans Bash. Ce qui est totalement inutile car s'il y a une faille dans SSH la faille dans bash ne sert à rien.

La seule vulnérabilité se trouve dans la partie hébergement de sites Web où là, en fonction du site la faille existe. Toutefois, les sites Web Utilisateurs se trouvent dans un Chroot. Une faille de sécurité ici ne conduit donc à rien ou pas grand chose.

Cette faille de sécurité, dont la presse s'est emparé, probablement suite à la parution d'une petite ligne de commande simple à taper (pour une fois ils ont l'impression de comprendre quelque chose...), fait beaucoup de bruit mais n'est pas du tout critique sur nos serveurs (et probablement sur une très grande majorité de serveur).

Il y aura donc une mise à jour de bash quand la faille sera résolue (pour le moment elle ne l'est toujours pas, Ubuntu en ai à son troisième correctif de correctif) mais il n'y aura pas une mise à jour en urgence car elle n'est pas du tout critique.

Ve-hotech apporte une importance particulière à la sécurité et nous mettons régulièrement à jour notre firmware pour cela. Cette faille, comme toutes les failles découvertes seront corrigées au cours des mises à jours.

Ve-hotech Support Team

VHS-4 VX - i7VX - 16Go RAM
Intel® Core i7 3770T Ivy Bridge @ 2.5 - 3.7 GHz | 16 Go DDR3
Version du micrologiciel : 6.1.4
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
30-09-2014, 10:24:22
Message : #18
RE: faille (bash) shellshock sous Linux !
Je prépare une réponse officielle sur shellshock pour complèter l'information donnée par le support technique mais pour répondre sur ssh:

Le serveur ssh (sshd) est toujours activé sur les serveurs Ve-hotech depuis la V3. En V2 celui-ci n'était lancé que suite à une manipulation sur le bouton.

Par contre la connexion au serveur ssh est bloquée pour l'administrateur principal tant que la case n'est pas cochée dans l'application de configuration avancée. Bloqué signifie qu'une connexion à sshd avec le nom du super admin lance "l’interpréteur de commande" nologin (c'est à dire déconnecte).

Le port 22 (ou celui indiqué dans l'application de configuration avancée) est donc ouvert et est écouté par sshd).

Vous pouvez fermer ce port au niveau de votre box adsl si cela vous rassure mais il n'y a pas de faille connue sur sshd qui permettrait de se connecter sans le bon login ou le bon mot passe.

Comme toujours, donc, avoir un mot de passe fort est la meilleure des protections.

Je reviendrai sur le sujet Shellshock, mais la faille n'est pas exploitable sur les serveur Ve-hotech dans le firmware actuel (ni aucun firmware depuis la V3 au moins).

Cordialement

Responsable produits Serveur et NAS
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
30-09-2014, 10:37:52
Message : #19
RE: faille (bash) shellshock sous Linux !
Nous recevons beaucoup (quelques) messages au support technique au sujet de la faille de sécurité Shellshock de Bash qui fait beaucoup parler d'elle actuellement.

Pour une fois que la presse a l'impression de comprendre quelque chose avec une commande toute simple à saisir, elle en fait probablement beaucoup plus qu'il n'en faudrait Rolleyes.

Est-ce que la version de Bash disponible sur les serveurs Ve-hotech est concernée ?
Le logiciel Bash est l’interpréteur de commande par défaut d'Ubuntu. Quand vous vous connectez en SSH, c'est cet interpréteur de commande que vous utilisez.
(l’interpréteur de commande utilisé est visible à la fin de la ligne du compte dans /etc/passwd)

La version de Bash sur nos serveurs comporte bien sûr la faille de sécurité puisqu'elle touche tous les systèmes linux depuis plus de 10 ans.

Est-ce que cette faille peut être exploitée ?

Pour exploiter cette faille il faut pouvoir injecter une commande via un moyen externe dans Bash. Dans un serveur Ve-hotech (comme dans la majorité des serveurs) le moyen externe est réduit à l'interface d'administration où les sites Web hébergés.

Ici la réponse est clairement non en ce qui concerne les serveurs Ve-hotech.

Ceci pour plusieurs raisons:
- Le portail d'administration n'utilise pas Bash comme interpréteur de commande mais un processus Ve-hotech appelé execd.
- Il n'y a pas de moyen connu d'injecter une commande dans execd directement depuis le portail puisque chaque commande envoyée au serveur passe par un interpréteur et un catalogue prédéfini d'actions.
- l’interpréteur de commande défini pour l’utilisateur exécutant le serveur Web (Apache 2) qui est www-data n'utilise pas Bash mais sh. (visible également dans /etc/passwd)
- Si une faille devait exister, elle se trouverait du côté des sites Web hébergés par l'utilisateur, mais celle-ci aboutirait à un chroot du serveur dont il faudrait sortir, ce qui suppose une autre faille de sécurité qui ne semble pas exister.


Oui mais quand je fais le test, celui-ci indique que mon serveur est vulnérable.
Effectivement quand vous vous connectez par SSH s'est Bash qui est utilisé comme interpréteur de commande. Et notre version de Bash comporte la faille. Mais n'oubliez pas qu'avant de saisir cette commande vous vous êtes connecté par SSH. Il faudrait donc d'abord trouver une faille de sécurité dans SSH pour exploiter une faille dans Bash. Ce qui serait totalement inutile car s'il y a une faille dans SSH la faille dans Bash ne sert à rien.

Un mot de passe fort reste donc la meilleure protection, que se soit par SSH ou par le portail.

Par contre si vous arrivez à injecter une commande dans Bash sans vous connecter auparavant par SSH appelez-nous ;-)

Quand cette faille sera corrigée sur les serveurs Ve-hotech ?
Ve-hotech apporte une attention particulière à la sécurité et nous avons une flexibilité nous permettant de diffuser une mise à jour en quelques heures en cas de besoin.

En six ans, nous avons deux fois jugé une faille suffisamment importante pour justifier une mise à jour en urgence (faille SSL et une faille dans notre code).

Toutes les autres failles de sécurités sont généralement inexploitables ou peu critiques et sont adressées lors des mise à jour normales du firmware.

Dans le cas de Shellshock, Ubuntu a déjà diffusé deux correctifs. Cependant d'autres failles ont été trouvées dans celui-ci et d'autres correctifs seront apportés rapidement. (Il semble que Bash soit un peu comme une pelote de laine...Confused)

Il y aura donc une mise à jour de Bash quand la faille sera corrigée ou partiellement corrigée lors de la prochaine mise à jour (4.2) prévue d'ici une quinzaine de jours, mais il n'y aura pas à priori de mise à jour en urgence.

Nous sommes bien sûr vigilants sur l'évolution de tous les problèmes de sécurités, et si la situation l'exige nous diffuserons une mise à jour rectificative plut tôt.

Alexis
Responsable Développement Logiciel
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
30-09-2014, 14:40:26
Message : #20
RE: faille (bash) shellshock sous Linux !
Un grand merci au support pour toutes ces informations détaillées et très claires sur ce "faux problème" (enfin pour nous Tongue)

Laurent - VHS 4x1To - extreme II X2 235e - 8Go ram - v6.x.x (pour le backup de mon Qnap TS453pro en 4x3To RED) - avatar KO car lien FTS, comme tous les autres, ont sautés suite à un bug ! hors de question de refaire les 300 liens que j'utilisais.
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
Poster une réponse 


Aller à :




Contact | Ve-hotech | Retourner en haut | Retourner au contenu | Version bas-débit (Archivé) | Syndication RSS