Bulletin d'alerte Debian

DLA-680-1 bash -- Mise à jour de sécurité pour LTS

Date du rapport :
26 octobre 2016
Paquets concernés :
bash
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-7543.
Plus de précisions :

Un ancien vecteur d'attaque a été corrigé dans bash, un interpréteur de langage de commande compatible avec sh.

  • CVE-2016-7543

    Des variables d'environnement SHELLOPTS+PS4 contrefaites pour l'occasion en combinaison avec des binaires setuid non sûrs peuvent avoir pour conséquence une possible élévation de privilèges à ceux du superutilisateur.

    Le binaire setuid doit à la fois utiliser l'appel de fonction setuid() et l'appel de fonction system() ou popen(). Avec cette combinaison, il est possible d'accéder aux droits administrateurs.

    En complément, bash doit être l'interpréteur de commande par défaut (/bin/sh doit pointer vers bash) pour que le système soit vulnérable.

    L'interpréteur de commande par défaut dans Debian est dash et il n'y a pas de binaire setuid connu dans Debian avec la combinaison non sûre décrite ci-dessus.

    Il pourrait néanmoins y avoir des logiciels locaux, avec la combinaison non sûre décrite ci-dessus, qui pourraient bénéficier de cette correction.

Pour Debian 7 Wheezy, ce problème a été corrigé dans version 4.2+dfsg-0.1+deb7u3.

Nous vous recommandons de mettre à jour vos paquets bash.

S'il y a des logiciels locaux qui ont cette combinaison non sûre et qui appliquent un setuid() à d'autres utilisateurs que le superutilisateur, alors, cette mise à jour ne corrigera pas le problème. Il devra être traité dans le binaire setuid non sûr.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.