L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données et des outils pour y remédier.

Vulnérabilité de bash : exécution de code via Function Variable

Synthèse de la vulnérabilité

Un attaquant peut définir une variable d'environnement spéciale, qui est passée à bash (via CGI ou OpenSSH par exemple), afin d'exécuter du code.
Gravité de cette alerte : 3/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 25/09/2014.
Références de cette alerte : 193355, 193866, 194029, 194064, 194669, 480931, c04475942, c04479492, CERTFR-2014-AVI-403, CERTFR-2014-AVI-415, CERTFR-2014-AVI-480, cisco-sa-20140926-bash, CTX200217, CTX200223, CVE-2014-3659-REJECT, CVE-2014-7169, DSA-3035-1, ESA-2014-111, ESA-2014-123, ESA-2014-124, ESA-2014-125, ESA-2014-126, ESA-2014-127, ESA-2014-128, ESA-2014-133, ESA-2014-136, ESA-2014-150, ESA-2014-151, ESA-2014-152, ESA-2014-162, FEDORA-2014-11514, FEDORA-2014-11527, FEDORA-2014-12202, FG-IR-14-030, HPSBGN03138, HPSBMU03144, JSA10648, JSA10661, MDVSA-2014:190, MDVSA-2015:164, openSUSE-SU-2014:1229-1, openSUSE-SU-2014:1242-1, openSUSE-SU-2014:1248-1, openSUSE-SU-2014:1308-1, openSUSE-SU-2014:1310-1, pfSense-SA-14_18.packages, RHSA-2014:1306-01, RHSA-2014:1311-01, RHSA-2014:1312-01, RHSA-2014:1354-01, RHSA-2014:1865-01, SB10085, sk102673, SOL15629, SSA:2014-268-01, SSA:2014-268-02, SSA-860967, SUSE-SU-2014:1247-1, SUSE-SU-2014:1247-2, T1021272, USN-2363-1, USN-2363-2, VIGILANCE-VUL-15401, VMSA-2014-0010, VMSA-2014-0010.10, VMSA-2014-0010.11, VMSA-2014-0010.12, VMSA-2014-0010.13, VMSA-2014-0010.2, VMSA-2014-0010.4, VMSA-2014-0010.7, VMSA-2014-0010.8, VMSA-2014-0010.9, VN-2014-002.

Description de la vulnérabilité

Le bulletin VIGILANCE-VUL-15399 décrit une vulnérabilité de bash.

Cependant, le patch proposé (VIGILANCE-SOL-36695) était incomplet. Une variante de l'attaque initiale permet alors toujours de faire exécuter du code ou de créer un fichier.

Dans ce cas, le code est exécuté au moment de l'analyse de la variable (qui n'est pas forcément une variable d'environnement), et non pas au moment du démarrage du shell. L'impact pourrait donc ne pas être aussi sévère, mais cela n'a pas été confirmé.

Un attaquant peut donc définir une variable d'environnement spéciale, qui est passée à bash (via CGI ou OpenSSH par exemple), afin d'exécuter du code.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette faille cybersécurité concerne les logiciels ou systèmes comme Arkoon FAST360, GAiA, CheckPoint IP Appliance, IPSO, SecurePlatform, CheckPoint Security Appliance, CheckPoint Smart-1, CheckPoint VSX-1, Cisco ASR, Cisco ACE, ASA, IOS XE Cisco, Cisco IPS, IronPort Encryption, Nexus par Cisco, NX-OS, Secure ACS, Cisco CUCM, Cisco Unified CCX, XenServer, Clearswift Email Gateway, Clearswift Web Gateway, Debian, Avamar, EMC CAVA, EMC CEE, EMC CEPA, Celerra FAST, Celerra NS, Celerra NX4, EMC CMDCE, Connectrix Switch, NetWorker, PowerPath, Unisphere EMC, VNX Operating Environment, VNX Series, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance, HP Operations, AIX, IVE OS, Junos Space, MAG Series par Juniper, NSM Central Manager, NSMXpress, Juniper SA, Juniper UAC, McAfee Email and Web Security, McAfee Email Gateway, McAfee MOVE AntiVirus, McAfee NSP, McAfee NGFW, McAfee Web Gateway, openSUSE, Solaris, pfSense, RealPresence Collaboration Server, RealPresence Distributed Media Application, Polycom VBP, RHEL, RSA Authentication Manager, ROX, RuggedSwitch, Slackware, Stonesoft NGFW/VPN, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif, ESX, vCenter Server, VMware vSphere.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce sécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 2 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette annonce cyber-sécurité.

Solutions pour cette menace

bash : patch pour Function Variable.
Un patch est disponible dans les sources d'information.

bash : contre-mesure détectant le préfixe parenthèses accolade.
Une contre-mesure consiste à détecter le motif "() {" :
 - utiliser bash_ld_preload.c avec LD_PRELOAD (tester préalablement sur un environnement de test) :
      gcc bash_ld_preload.c -fPIC -shared -Wl,-soname,bash_ld_preload.so.1 -o bash_ld_preload.so
      cp bash_ld_preload.so /lib/
      echo "/lib/bash_ld_preload.so" >> /etc/ld.so.preload
      vi /etc/init.d/httpd # pour ajouter :
        LD_PRELOAD=/lib/bash_ld_preload.so
        export LD_PRELOAD
      redémarrer les services
 - utiliser mod_security :
      SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
      SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
      SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
      SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
      SecRule FILES_NAMES "^\(\) {" "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
 - utiliser iptables :
      iptables using -m string --hex-string '|28 29 20 7B|'

bash : contre-mesure ajoutant le préfixe BASH_FUNC_.
Une contre-mesure consiste à recompiler bash pour préfixer le nom des variables d'environnement contenant une fonction par "BASH_FUNC_".

AIX Toolbox for Linux : solution pour bash.
La solution est indiquée dans les sources d'information.

Arkoon Fast360 : solution pour bash.
Une mise à jour sera bientôt disponible.

Check Point : solution pour bash.
La solution est indiquée dans les sources d'information.

Cisco : solution pour bash.
La solution est indiquée dans les sources d'information.

Citrix : solution pour bash.
La solution est indiquée dans les sources d'information.

Clearswift SECURE Email Gateway : version 3.8.3.
La version 3.8.3 est corrigée :
  http://www.clearswift.net/

Clearswift SECURE Web Gateway : version 3.2.3.
La version 3.2.3 est corrigée :
  http://www.clearswift.net/

Debian : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  Debian 7 : bash 4.2+dfsg-0.1+deb7u3

EMC : solution pour bash.
La solution est indiquée dans les sources d'information.

EMC Unisphere : solution pour bash.
La solution est indiquée dans les sources d'information.

Extreme Networks : solution pour bash.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : solution pour bash.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  Fedora 19 : bash 4.2.48-2.fc19
  Fedora 20 : bash 4.2.48-2.fc20

Fortinet : solution pour bash.
La solution est indiquée dans les sources d'information.

HP Operation Agent Virtual Appliance : patch pour Bash.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01206384

HP Operations Analytics : patch pour Bash.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01198565

Juniper NSM : upgrade package v3.
Un patch est disponible :
  https://webdownload.juniper.net/swdl/dl/secure/site/1/record/56122.html
  https://webdownload.juniper.net/swdl/dl/secure/site/1/record/56123.html

Juniper : solution pour bash.
La solution est indiquée dans les sources d'information.

Mandriva BS2 : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : bash 4.2-53.1.mbs2

Mandriva : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : bash 4.2-48.1.mbs1

McAfee : solution pour bash.
La solution est indiquée dans les sources d'information.

openSUSE 12.3 : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  openSUSE 12.3 : bash 4.2-61.19.1
Ce paquet remplace ceux mentionnées dans les bulletins VIGILANCE-SOL-36803 et VIGILANCE-SOL-36804.

openSUSE 13.1 : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : bash 4.2-68.12.1
Ce paquet remplace ceux mentionnées dans les bulletins VIGILANCE-SOL-36803 et VIGILANCE-SOL-36804.

openSUSE : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  openSUSE 12.3 : bash 4.2-61.15.1
  openSUSE 13.1 : bash 4.2-68.8.1

pfSense : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

Polycom : solution pour bash.
La solution est indiquée dans les sources d'information.

RHEL : nouveaux paquetages bash (26/09/2014).
De nouveaux paquetages sont disponibles :
  RHEL 5 : bash 3.2-33.el5_11.4
  RHEL 6 : bash 4.1.2-15.el6_5.2
  RHEL 7 : bash 4.2.45-5.el7_0.4

RHEL : nouveaux paquetages bash (29/09/2014).
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

RHEV-M 3.4 : nouveaux paquetages rhev-hypervisor6.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rhev-hypervisor6 6.5-20140930.1.el6ev

RSA Authentication Manager : solution pour bash.
La solution est indiquée dans les sources d'information.

Siemens ROX : solution pour bash.
La solution est indiquée dans les sources d'information.

Slackware : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : bash 3.1.018-i486-3_slack13.0
  Slackware 13.1 : bash 4.1.012-i486-2_slack13.1
  Slackware 13.37 : bash 4.1.012-i486-2_slack13.37
  Slackware 14.0 : bash 4.2.048-i486-2_slack14.0
  Slackware 14.1 : bash 4.2.048-i486-2_slack14.1

Solaris : patch pour bash.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1930090.1
Un patch est disponible :
  Solaris 11.2 : version 11.2.2.8.0
  Solaris 10 :
    SPARC: 126546-07
    X86: 126547-07
  Solaris 9
    SPARC: 149079-03
    X86: 149080-02

SUSE LE : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : bash 3.1-24.34.1
  SUSE LE 11 : bash 3.2-147.22.1

Ubuntu : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.04 LTS : bash 4.3-7ubuntu1.3
  Ubuntu 12.04 LTS : bash 4.2-2ubuntu2.3
  Ubuntu 10.04 LTS : bash 4.1-2ubuntu3.2

VMware : solution pour bash.
La solution est indiquée dans les sources d'information.

Wind River Linux : nouveaux paquetages bash.
De nouveaux paquetages sont disponibles :
  https://support.windriver.com/olsPortal/faces/maintenance/downloadDetails.jspx?contentId=044289
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un correctif de vulnérabilité applicative. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.