Sécurité : patch de patch

jcsm33 · Avril 16, 2018, 2:20pm

Salut,

patch avait besoin d’un bon patch

L’anomalie était pourtant connue et corrigée dans le monde BSD depuis 2015

CVE-2018-1000156

GNU Patch version 2.7.6 contains an input validation vulnerability when processing patch files, specifically the EDITOR_PROGRAM invocation (using ed) can result in code execution. This attack appear to be exploitable via a patch file processed via the patch utility. This is similar to FreeBSD’s CVE-2015-1418 however although they share a common ancestry the code bases have diverged over time.

Problème résolu dans debian testing/unstable buster/sid et debian 7 wheezy, prochainement dans debian 8 jessie et debian 9 stretch.

Tout ça parce que patch utilise ed qui lui-même joue avec le caractère !

Sputnik93 · Avril 17, 2018, 10:43am

de l’huile sur le feu !!

ZW3B · Avril 17, 2018, 1:34pm

J’applique le patch comment ^^ !?

Comme çà ?!

wget https://holeybeep.ninja/beep.patch
patch < beep.patch

CF : https://rachelbythebay.com/w/2018/04/05/bangpatch/

Merci

mattotop · Avril 18, 2018, 8:20am

@ZW3B toujours aussi limpide dans tes interventions, je vois.
Bon, tu n’applique aucun patch.
Le patch de patch est intégré dans les paquets patch de la pluprt des releases, donc si tu es à jour, c’est déjà corrigé.

Ce sujet “pause café” a juste pour but d’en discuter.

ZW3B · Avril 18, 2018, 11:03am

A bon

# aptitude show patch
Paquet : patch                                          
Version : 2.7.5-1+b2
État: installé
Automatiquement installé: oui
....

@mattotop limpide ^^

Bonne journée à vous

ZW3B · Avril 18, 2018, 11:05am

^^ sUper !

jcsm33 · Avril 19, 2018, 7:34am

Le modèle de développement par patchs de patchs de patchs de patchs de patchs ne serait-il pas plus sensible aux failles ?

mattotop · Avril 19, 2018, 7:45am

Ce que je voulais dire: la faille concerne la version 2.7.6, donc toi tu n’as pas besoin de patch, et là où c’est la version de référence de debian ou une version ultérieure, c’est déjà corrigé.

ZW3B · Avril 19, 2018, 2:23pm

ok Merci… humm

jcsm33 · Avril 23, 2018, 8:13am

Un petit nouveau qui veut entrer dans debian : pijul, un logiciel décentralisé de gestion de versions.

Il s’appuie sur une solide théorie des correctifs et propose des nouvelles façons de gérer les fusions.

#896641 - ITP: pijul – Distributed version control system based on a sound theory of patches - Debian Bug report logs