Centre d'Assistance NUXIT

A votre service 7j/7 24h/24

Corriger la faille ShellShock

Le 23 septembre 2014 est découverte une faille dans le binaire Bash, connue sous le nom de ShellShock.

Cette faille est l’une des plus critique jamais découverte sur Bash, et d’après les différents développement, existerait depuis 25 ans.
La plupart des développeurs de systèmes Linux ont corrigé et développé des patch très rapidement dans les heures ou les jours suivants.

L’objectif de cette documentation est de vous permettre de mettre à jour votre serveur dédié afin de corriger cette faille.

Les Hébergements mutualisés ne sont pas concernés par cette documentation. La faille a été patchée par nos soin dès la publication des correctifs.

En cas de question ou de doute, notre support se tient à votre disposition.

Déterminer si votre serveur est vulnérable

Il existe de nombreuses exploitation de la faille shellshock.
Un script a été réalisé afin de tester toutes les exploitations connues et savoir si votre serveur est oui ou non vulnérable à shellshock.
Ce script est régulièrement mis à jour, n’hésitez donc pas à tester régulièrement l’apparition de nouvelles failles.

Pour cela, vous devrez vous connecter en SSH sur votre serveur.
Sous Windows, vous pouvez utilisez putty pour utiliser SSH.
Les identifiants pour la connexions vous ont été fournis dans le courriel reçu à la création de votre serveur.
En cas de doute n’hésitez pas à vous rapprocher de notre support qui se fera un plaisir de vous aider.

Une fois connecté en SSH sur votre serveur, effectuez la commande suivante :

curl https://raw.githubusercontent.com/wreiske/shellshocker/master/shellshock_test.sh | bash

Cette commande va télécharger et exécuter le script de test.
Celui-ci devrait vous renvoyer un résultat de ce type :

CVE-2014-6271 (original shellshock): not vulnerable
CVE-2014-6277 (segfault): not vulnerable
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable

Si l’une des ligne renvoie VULNERABLE au lieu de “not vulnerable”, alors c’est que votre serveur est sensible à cette exploitation particulière de shellshock.
Dans ce cas, il est important de patcher au plus vite.

Déterminer votre version de debian

Afin de savoir quelle manipulation effectuer pour corriger cette faille, vous devez savoir quelle version de debian vous utilisez.

Pour ce faire, connectez vous en SSH sur le serveur, et effectuez la commande suivante :

cat /etc/debian_version

Cette commande va vous retourner un numéro, tel que 7.6, 6.3, etc.
Ce qui compte est le premier chiffre avant la virgule, qui donne le numéro de votre version debian.

  • 7.6 ⇒ Debian 7
  • 6.3 ⇒ debian 6
  • etc

Corriger sur toutes les versions : compilation

Les failles shellshock étant découvertes au fil de l’eau, il arrive que la communauté n’arrive pas à suivre et à sortir des corrections officielles suffisamment rapidement.
Il faut compter 1 à 2 jours pour les distributions soutenues, debian 6 et debian 7.
Pour les versions non soutenues, debian inférieure à 6, ces versions étant très anciennes, la correction via paquet se fait au fur et à mesure du temps disponible, et n’est pas du tout assurée.

Dans tous les cas, pour corriger au plus vite les failles, vous pouvez effectuer une compilation de bash depuis les dernières sources directement sorties par les développeurs. Celles-ci intègrent en général très rapidement la correction des dernières failles connues, en général quelques heures.

Cette manipulation est effectuée depuis des sources tierces, Nuxit ne peut en aucun cas être tenu responsable en cas de problème de fonctionnement suite à des erreurs rencontrées dans le suivi de cette procédure.

Connectez vous en SSH sur votre serveur, puis effectuez la ligne de commande suivante :

apt-get install build-essential curl make gcc patch; curl -k https://raw.githubusercontent.com/wreiske/shellshocker/master/shellshock_test.sh | bash || curl -k https://raw.githubusercontent.com/wreiske/shellshocker/master/fixbash | sh ; curl -k https://raw.githubusercontent.com/wreiske/shellshocker/master/shellshock_test.sh | bash

Celle-ci va installer les paquets nécessaires à la compilation, télécharger et compiler bash, puis tester si votre système est toujours vulnérable.
Cette procédure peut prendre un certain temps à s’effectuer, et écrire beaucoup de ligne à l’écran, cela est normal. Ne paniquez pas et surtout n’interrompez pas la procédure en cours, en fermant votre fenêtre SSH ou par tout autre manière.
Cela risquerait de rendre inutilisable votre serveur.

En cas de doute, notre support se tient à votre disposition.

Corriger sur debian 7

A l’heure de la publication des patch (25 septembre 2014), debian 7 est la version stable de debian, et celle proposée à la commande dans toutes nos offres de serveurs.
En tant que version stable, celle-ci a donc bénéficié directement de la correction par les développeurs de Debian.

Afin de corriger la faille, vous devez de nouveau vous connecter en ssh sur le serveur.
Une fois cela fait, entrez les commandes suivantes :

apt-get update
apt-get install bash

Ces commandes permettront de mettre à jour bash directement dans sa dernière version.
Attention : La 2eme commande peut vous demander confirmation avant d’effectuer la mise à jour. Dans ce cas, répondez Y (comme Yes) à la question et appuyez sur entrée.

Une fois la mise à jour téléchargée et installée, vous pouvez effectuer de nouveau le test vu dans la première partie

Votre serveur est désormais à jour et protégé contre cette faille.

Corriger sur debian 6

A l’heure de la publication de la faille et de ses correctifs, debian 6 n’est plus la version stable de debian.
En conséquence, la faille shellshock n’est pas corrigé par les dépôts officiels debian.

Cependant, debian 6 est la première version LTS de debian, c’est à dire qu’elle profite d’un support rallongé des mises à jour de sécurité.
Ces mises à jour sont développée par une équipe indépendante de debian 7 (stable), mais sont vérifiées et tout aussi fiable que les mises à jour de la version debian 7 (stable). Cette équipe a donc publié un patch qui corrige shellshock.

Ce dépôt propose d’autres mises à jour que bash, et est compatible avec Plesk, vous pouvez donc également vous en servir pour vos autres mises à jour de sécurité

Voici les étapes à suivre pour bénéficier de ce patch.
Tout d’abord, vous devez vous connecter en SSH sur votre serveur, comme vu au chapitre 1

Une fois ceci fait, vous allez pouvoir rajouter le fameux dépot LTS à votre liste de dépôts disponibles :

echo "deb http://http.debian.net/debian/ squeeze-lts main" >> /etc/apt/sources.list

Vous êtes maintenant prêt à corriger la faille shellshock.
Pour ce faire, effectuez les commandes suivantes :

apt-get update
apt-get install bash

Ces commandes permettront de mettre à jour bash directement dans sa dernière version.
Attention : La 2eme commande peut vous demander confirmation avant d’effectuer la mise à jour. Dans ce cas, répondez Y (comme Yes) à la question et appuyez sur entrée.

Une fois la mise à jour téléchargée et installée, vous pouvez effectuer de nouveau le test vu dans la première partie

Votre serveur est désormais à jour et protégé contre cette faille.

Corriger sur debian antérieur à 6

Si vous disposez d’une debian antérieure à 6 (debian 5, 4 ou 3.1), votre version n’est plus du tout supportée, ni par l’équipe debian, ni par une équipe de bénévole officielle.
Si vous utilisez encore une telle version, nous vous incitons fortement à envisager la migration vers une version de debian plus récente, et disposant de toutes les mises à jour de sécurité.

Toutefois, si vous souhaitez tout de même garder votre version debian en l’état, il existe certaines personnes sur Internet qui ont publié des patch corrigeant shellshock pour les anciennes versions debian.
Nous vous présentons ici une de ces méthodes pour permettre de mettre à jour votre serveur et corriger cette faille.

//!\\ Attention//!\\
Effectuer une telle mise à jour sur une version de debian aussi ancienne relève de votre entière responsabilité. Nuxit ne pourra en aucun cas être tenu responsable en cas de problème de dépendances des mises à jour, de problème sur cette version de bash, ou de dysfonctionnements dû à l’installation de cette mise à jour.

Sauvegarder votre binaire bash

Afin de permettre un éventuel retour en arrière dans le cas où vous rencontreriez un problème suite à cette mise à jour, voici une procédure pour sauvegarder votre binaire bash manuellement, afin de pouvoir le récupérer en cas de problème.

Connectez vous en SSH sur le serveur.
Une fois cela fait, effectuez la commande suivante :

cp /bin/bash /root/bash.beforeshellshock

Cela copiera le binaire bash existant dans votre dossier /root, avec le nom bash.beforeshellshock.

Si vous avez besoin de le restaurer, il suffira d’effectuer la procédure inverse :

cp /root/bash.beforeshellshock /bin/bash

Corriger sur debian 5

Pour corriger la faille sur debian 5, assurez vous d’avoir d’abord sauvegardé votre binaire bash grâce à la procédure ci-dessus.

Ensuite, il va falloir rajouter les dépôts suivant à votre liste de dépôts debian :

echo "deb http://repository.chr.istoph.de/debian/ lenny main" >> /etc/apt/sources.list 
wget -O - http://repository.chr.istoph.de/repository.chr.istoph.de.gpg.key |apt-key add -

Ces 2 commandes doivent se terminer sans erreurs.

Vous êtes maintenant prêt à corriger la faille shellshock.
Pour ce faire, effectuez les commandes suivantes :

apt-get update
apt-get install bash

Ces commandes permettront de mettre à jour bash directement dans sa dernière version.
Attention : La 2eme commande peut vous demander confirmation avant d’effectuer la mise à jour. Dans ce cas, répondez Y (comme Yes) à la question et appuyez sur entrée.

Une fois la mise à jour téléchargée et installée, vous pouvez effectuer de nouveau le test vu dans la première partie

Votre serveur est désormais à jour et protégé contre cette faille.

Corriger sur debian 4

Pour corriger la faille sur debian 4, assurez vous d’avoir d’abord sauvegardé votre binaire bash grâce à la procédure ci-dessus.

Ensuite, il va falloir rajouter les dépôts suivant à votre liste de dépôts debian :

echo "deb http://repository.chr.istoph.de/debian/ etch main" >> /etc/apt/sources.list 
wget -O - http://repository.chr.istoph.de/repository.chr.istoph.de.gpg.key |apt-key add -

Ces 2 commandes doivent se terminer sans erreurs.

Vous êtes maintenant prêt à corriger la faille shellshock.
Pour ce faire, effectuez les commandes suivantes :

apt-get update
apt-get install bash

Ces commandes permettront de mettre à jour bash directement dans sa dernière version.
Attention : La 2eme commande peut vous demander confirmation avant d’effectuer la mise à jour. Dans ce cas, répondez Y (comme Yes) à la question et appuyez sur entrée.

Une fois la mise à jour téléchargée et installée, vous pouvez effectuer de nouveau le test vu dans la première partie

Votre serveur est désormais à jour et protégé contre cette faille.

Corriger la faille sur debian 3.1

Pour corriger la faille sur debian 3.1, assurez vous d’avoir d’abord sauvegardé votre binaire bash grâce à la procédure ci-dessus.

Ensuite, il va falloir rajouter les dépôts suivant à votre liste de dépôts debian :

echo "deb http://repository.chr.istoph.de/debian/ sarge main" >> /etc/apt/sources.list 
wget -O - http://repository.chr.istoph.de/repository.chr.istoph.de.gpg.key |apt-key add -

Ces 2 commandes doivent se terminer sans erreurs.

Vous êtes maintenant prêt à corriger la faille shellshock.
Pour ce faire, effectuez les commandes suivantes :

apt-get update
apt-get install bash

Ces commandes permettront de mettre à jour bash directement dans sa dernière version.
Attention : La 2eme commande peut vous demander confirmation avant d’effectuer la mise à jour. Dans ce cas, répondez Y (comme Yes) à la question et appuyez sur entrée.

Une fois la mise à jour téléchargée et installée, vous pouvez effectuer de nouveau le test vu dans la première partie

Votre serveur est désormais à jour et protégé contre cette faille.

Laisser un commentaire

Vous devez être connecté à votre espace client pour déposer un commentaire.

Vous ne trouvez pas de solution ?