Une énorme faille de sécurité vient d'être découverte dans Bash.

En gros, n'importe qui peut exécuter du code malveillant simplement via des requêtes HTTP. La plupart des serveurs sont impactés.
Plus de détails : http://www.01net.com/editorial/627512/la-megafaille-shellshock-secoue-le-monde-linux-et-max-os/

Pour vérifier si le votre l'est, tapez simplement cette commande dans le terminal :
env x='() { :;}; echo vulnerable' bash -c "echo Ceci est un test"
Si "vulnerable" est retourné, votre serveur est concerné par la faille.

Pour corriger le problème : 
apt-get update && apt-get install -y bash
Relancez le test ci-dessus, "vulnerable" ne devrait plus être retourné.
Normalement la faille n'est pas disponible sur Debian
Problème corriger ! Merci Jedediah pour l'info !

Info : Le paquet bash est intégré dans les mises à jours (upgrade)
Mmm bizarre sur mes deux serveurs j'ai pas eu de vunérabilité !
Bizarre, c'était le cas sur mes Debian, proxmox, Kali linux, etc (tout ce qui est basé sur Debian).
La faille est toujours exploitable (via Metasploit par exemple), les correctifs actuels ne sont pas complets. Il faut attendre le patch officiel des devs de Bash qui devrait arriver très rapidement.

Voir CVE-2014-7169 :

http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html
https://access.redhat.com/security/cve/CVE-2014-7169
http://seclists.org/oss-sec/2014/q3/685
http://www.reddit.com/r/netsec/comments/2hehgk/cve20147169_bash_fix_incomplete_still_exploitable/
hydrog3n wrote:Mmm bizarre sur mes deux serveurs j'ai pas eu de vunérabilité !
Tout le monde est touché, y a pas d'exception

EDIT : Voir le lien ci-dessous pour suivre l'avancement du patch sur les différentes versions de Debian :
https://security-tracker.debian.org/tracker/CVE-2014-7169
Je viens de trouvé Jede a fait un oublie en traduisant le code : 
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Du coup oui je suis vulnérable pour le coup XD
oh pire si vous êtes des gens naturellement angoissé changez de shell en attendant
hydrog3n wrote:Du coup oui je suis vulnérable pour le coup XD
Merci Jedediah, effectivement j'avais çà sur mes dédiés Debian 6 et 7
merci pour le signalement

par contre moi le code de test marche pas 
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: avertissement :x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test
bart40140 wrote:merci pour le signalement

par contre moi le code de test marche pas 
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: avertissement :x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test
ça veut dire que tu n'es pas vulnérable
a d'accord , j'ai fais la mise a jours quand meme , et maintenant il me sort juste ca : 
env x='() { :;}; echo vulnerable' bash -c "echo Ceci est un test"
Ceci est un test
La faille a été complètement corrigée avec la version 4.2+dfsg-0.1+deb7u3 du paquet debian de Bash sur Wheezy (security), vérifiez que vous aillez bien les deux lignes suivantes dans le fichier /etc/apt/sources.list :
deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main
Puis :
sudo apt-get update && sudo apt-get install --only-upgrade bash
bonjour a tous,

depuis l'upgrade tous mes torrents sont en éerreur" en rouge, y compris les nouveaux
"la requete vers rtorrent a échoué"

quelqu'un a une idée ?

merci
Salut, regarde les logs et poste les nous
salut,

peux-tu me préciser comment faire stp ?

je suis novice,

merci
Merci Jede pour l'info.

@ patkersule: J'ai eu le même problème et j'ai juste refermé et ré ouvert ma fenêtre de ruttorent et tout est rentré dans l'ordre.
Dans 
/var/log/nginx/rutorrent-error.log
et tente avant cette commande 
service <username>-rtorrent start
Mais ouvre un nouveaux ticket pour ton problème et tu poste les commandes que je tes donner pour ouvrir un nouveaux topic clic la ->> http://mondedie.fr/post.php?fid=3
Répondre…