La cuisine de Gandi

Accueil > Hébergement > ShellShock : statut

ShellShock : statut

Comme vous êtes nombreux à nous poser la question :

Concernant notre plateforme :

L'infrastructure de Gandi a été mise à jour. Nous ne sommes donc pas vulnérables aux différentes CVE publiées (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187) ciblant le shell bash.

Concernant vos serveurs virtuels et vos instances :

Si vous êtes client sur notre plateforme IAAS, assurez-vous de bien mettre à jour votre version de bash.

Si vous utilisez Gandi AI, nous vous recommandons vivement de migrer vers la plateforme PaaS/SimpleHosting. Il n'existe pas de mise à jour pour cette distribution qui n'est plus supportée depuis 2012.

Concernant la plateforme Simple Hosting :

Nos services ont été patchés au fur et à mesure de la sortie des mises à jour de sécurité. Il est cependant nécessaire de redémarrer vos instances pour que la nouvelle version de bash soit utilisée.

Comment tester la vulnérabilité de votre version de bash pour chaque CVE :

- CVE-2014-6271 :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

> Il ne doit pas y avoir écrit "vulnerable".

- CVE-2014-7169 :

cd /tmp; env x='() { (a)=>\' bash -c "echo date"; cat echo

> Vous ne devez pas recevoir le résultat de la commande 'date' qui retourne la date et l'heure.

- CVE-2014-7186 :

bash -c 'true <<EOF <<EOF <<EOF  <<EOF <<EOF \
<<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF \
<<EOF <<EOF' || echo "CVE-2014-7186 vulnerable, redir_stack"

> Il ne doit pas y avoir écrit "CVE-2014-7186 vulnerable, redir_stack".

- CVE-2014-7187 :

(for x in {1..200} ; do echo "for x$x in ; do :"; done;  \
for x in {1..200} ; do echo done ; done) | \
bash || echo "CVE-2014-7187  vulnerable, word_lineno"

> Il ne doit pas y avoir écrit "CVE-2014-7187 vulnerable, word_lineno".

Si vous avez besoin de tester vos scripts CGI exécutés par un service web, de nombreux testeurs en CLI ou sur le Web sont disponibles, vous les trouverez aisément en utilisant votre moteur de recherche préféré.

La communauté ayant commencé une analyse plus approfondie de bash, il est possible que de prochaine failles soient découvertes. De ce fait des mises à jour de sécurité seront probablement à effectuer prochainement. La communauté impliquée dans la sécurité des projets opensource estime que les derniers patchs publiés ne corrigent pas complètement le problème sous-jacent dans bash.

Nous vous invitons à suivre cet article pour être informé sur les mises à jour de la liste des CVEs concernant bash pour le PaaS/SimpleHosting.

PaaS Gandi :

version disponible: 4.2+dfsg-0.1+deb7u3

Statut pour :

CVE-2014-6271 : non vulnérable

CVE-2014-7169 : non vulnérable

CVE-2014-7186 : non vulnérable

CVE-2014-7187 : non vulnérable

CVE-2014-6277 : vulnérable (patch non disponible)

CVE-2014-6278 : vulnérable (patch non disponible)