http://fr.ve-hotech.com/forum/showthrea ... 714&page=2
Voici la réponse du support à cette question:
------------
Bonjour,
Le logiciel bash est l’interpréteur de commande par défaut d'Ubuntu. Quand vous vous connectez en ssh, c'est cet interpréteur de commande que vous utilisez.
Le portail d'administration du serveur n'utilise pas bash. Il n'y a donc pas moyen de faire une injection dans bash par le portail d'administration.
En d'autres thermes, les serveurs Ve-hotech ne sont pas concernés pas la faille de sécurité de Bash car Bash n'est utilisé qu'après une connexion par ssh. Il faut donc d'abord trouver une faille de sécurité dans ssh pour exploiter une faille dans Bash. Ce qui est totalement inutile car s'il y a une faille dans SSH la faille dans bash ne sert à rien.
La seule vulnérabilité se trouve dans la partie hébergement de sites Web où là, en fonction du site la faille existe. Toutefois, les sites Web Utilisateurs se trouvent dans un Chroot. Une faille de sécurité ici ne conduit donc à rien ou pas grand chose.
Cette faille de sécurité, dont la presse s'est emparé, probablement suite à la parution d'une petite ligne de commande simple à taper (pour une fois ils ont l'impression de comprendre quelque chose...), fait beaucoup de bruit mais n'est pas du tout critique sur nos serveurs (et probablement sur une très grande majorité de serveur).
Il y aura donc une mise à jour de bash quand la faille sera résolue (pour le moment elle ne l'est toujours pas, Ubuntu en ai à son troisième correctif de correctif) mais il n'y aura pas une mise à jour en urgence car elle n'est pas du tout critique.
Ve-hotech apporte une importance particulière à la sécurité et nous mettons régulièrement à jour notre firmware pour cela. Cette faille, comme toutes les failles découvertes seront corrigées au cours des mises à jours.
Ve-hotech Support Team
Pour ceux qui veulent approfondir ce topic m'a paru intéressant.
Michel