Bulletin d'alerte Debian

DLA-680-2 bash -- Mise à jour de sécurité pour LTS

Date du rapport :
28 octobre 2016
Paquets concernés :
bash
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-7543.
Plus de précisions :

Cette DLA est une correction de DLA 680-1 qui mentionnait que bash 4.2+dfsg-0.1+deb7u3 était corrigé. La version du paquet corrigé était 4.2+dfsg-0.1+deb7u4.

Pour être complet, le texte de la DLA 680-1 est disponible ci-dessous avec uniquement la correction des informations de version, sans autre modification.

Un ancien vecteur d'attaque a été corrigé dans bash, un interpréteur de langage de commande compatible à sh.

  • CVE-2016-7543

    Variables d'environnement SHELLOPTS+PS4 contrefaites pour l'occasion en combinaison avec des binaires setuid non sûrs.

    Le binaire setuid doit à la fois utiliser l'appel de fonction setuid() et l'appel de fonction system() ou popen(). Avec cette combinaison, il est possible d'accéder aux droits administrateurs.

    En complément, bash doit être l'interpréteur de commande par défaut (/bin/sh doit pointer vers bash) pour que le système soit vulnérable.

    L'interpréteur de commande par défaut dans Debian est dash et il n'y a pas de binaire setuid connu dans Debian avec la combinaison non sure décrite ci-dessus.

    Il pourrait néanmoins y avoir des logiciels locaux, avec la combinaison non sure décrite ci-dessus, qui pourraient bénéficier de cette correction.

Pour Debian 7 Wheezy, ce problème a été corrigé dans version 4.2+dfsg-0.1+deb7u4.

Nous vous recommandons de mettre à jour vos paquets bash.

S'il y a des logiciels locaux qui ont cette combinaison non sure et qui appliquent un setuid() à d'autres utilisateurs que le superutilisateur, alors, cette mise à jour ne corrigera pas le problème. Il devra être traité dans le binaire setuid non sûr.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.