Aussi potentiellement dangereux que le Heartbleed bug d’après certains.
lists.debian.org/debian-securit … 00220.html
securityblog.redhat.com/2014/09 … on-attack/
arstechnica.com/security/2014/09 … nix-in-it/
Patché dans la mise à jour d’aujourd’hui dans Wheezy mais pas dans Squeeze.
Rectification : corrigé dans Squeeze aussi avec squeeze-lts.
Le premier patch (4.2+dfsg-0.1+deb7u1) laissait des failles dans Bash.
arstechnica.com/security/2014/09 … first-fix/
Nouveau patch disponible ce jour (4.2+dfsg-0.1+deb7u3). À vos mises à jour…
Lire ce fil et ceux qui suivent:
seclists.org/oss-sec/2014/q3/690
Et voici pourquoi l’impact de cette faille est important:
[quote]Chet Ramey, an IT architect at Case Western Reserve University and maintainer of the code for GNU bash, told The New York Times that he believes the problems in bash’s code were introduced into the code in 1992—long before bash found itself into much of the Internet’s server infrastructure. And because there are so many systems that use bash that may be running unattended or are seldom maintained, Shellshock could remain a concern for a very, very long time.
Source: premier lien plus haut.[/quote]
Dash, par contre, ne semble pas exposé.
