Il bug Shellshock o Bash-bug è una pericolosa vulnerabilità che affligge i sistemi basati su Linux/Unix e che può interessare un numero sterminato di sistemi e dispositivi connessi. Le implicazioni sono anche peggiori rispetto a quanto accadde con Heartbleed
di Andrea Bai pubblicato il 26 Settembre 2014 nel canale Sicurezza
Avio: contratto da 40 milioni di € da ESA per sviluppare un secondo stadio riutilizzabile per razzi spaziali europei
Claude Sonnet 4.5, il nuovo modello di Anthropic può lavorare 30 ore di fila senza fermarsi
Silent Hill f è un successo: già raggiunto un primo importante traguardo
Nuova Jeep Compass: aperti i preordini per il rinnovato SUV, disponibile anche 100% elettrico
La PS5 Slim con SSD più piccolo si mostra in un primo teardown con diverse novità
Zero combustibili fossili e controllo qualità tramite IA: BMW inaugura lo stabilimento di Debrecen
Corsair NAUTILUS 360 RS LCD: raffreddamento e personalizzazione al top
Nuovo record nel mondo dei computer quantistici: raggiunti i 6.100 qubit
Sony e Universal combatteranno l'IA con...l'IA. Siglato l'accordo con SoundPatrol
Il Chips Act europeo attuale è un fallimento. Con il Chips Act 2.0 andrà meglio?
OnePlus 15: debutto globale con design 'Sand Storm' e tecnologia aerospaziale
Amazon Prime: addio alla prova gratuita di un mese per i nuovi utenti italiani
Windows 11 25H2: guida passo-passo per l'installazione su hardware non compatibile
ECOVACS Deebot Mini sotto i 300€, robot compatto con potenza da 9000 Pa e stazione Omni
Hisense A85N: il ritorno all’OLED è convincente e alla portata di tutti
Dopo alcuni anni di assenza dai cataloghi dei suoi televisori, Hisense riporta sul mercato una proposta OLED che punta tutto sul rapporto qualità prezzo. Hisense...
TCL NXTPAPER 60 Ultra: lo smartphone che trasforma la lettura da digitale a naturale
NXTPAPER 60 Ultra è il primo smartphone con tecnologia NXTPAPER 4.0 per il display, un ampio IPS da 7,2 pollici. Con finitura anti-riflesso, processore MediaTek...
Recensione Borderlands 4, tra divertimento e problemi tecnici
Gearbox Software rilancia la saga con Borderlands 4, ora disponibile su PS5, Xbox Series X|S e PC. Tra le novità spiccano nuove abilità di movimento, un pianeta...
Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano
Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
Cybersecurity: email, utenti e agenti IA, la nuova visione di Proofpoint
Dal palco di Proofpoint Protect 2025 emerge la strategia per estendere la protezione dagli utenti agli agenti IA con il lancio di Satori Agents, nuove soluzioni...
Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada
Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...
Ecovacs Deebot X11 Omnicyclone: niente più sacchetto per lo sporco
Deebot X11 Omnicyclone implementa tutte le ultime tecnologie Ecovacs per l'aspirazione dei pavimenti di casa e il loro lavaggio, con una novità: nella base di ricarica...
Membro della European Hardware Association
Cybersecurity: email, utenti e agenti IA, la nuova visione di Proofpoint
Hisense A85N: il ritorno all’OLED è convincente e alla portata di tutti
Recensione Borderlands 4, tra divertimento e problemi tecnici
40 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoQuesti due articoli:
http://security.stackexchange.com/q...ld-be-exploited
https://www.trustedsec.com/septembe...-proof-concept/
spiegano come basti collegarsi con un sistema vulnerabile ad una rete wi-fi e vedere il proprio file /etc/passwd recapitato al malintenzionato di turno...
FreeBSD ha come shell di default tcsh, NetBSD e OpenBSD ksh. Le distro linux basate su debian hanno uno softlink tra /bin/sh (la shell che andrebbe usata negli script) e dash (non la bash).
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
sul mio cellulare mi da "vulnerable"?
Inoltre se non ha Bash perche mi si apre la shell dei comandi?
E uso cyanomod che è molto piu android pulito di molte rom standard come quelle samsung che a parita di installazione mi occupa 1,2+ GB di spazio per app inutili.
Leggi qua http://attivissimo.blogspot.it/2014...t=1411621091733
"Grazie della info. Lo ho provato anche con il mio cellulare aggiornato ad Android 4.4.4 (Cyanogenmod) e ne è affetto."
Io ho provato su un nexus s, un pad zenithink e uno onda, 2 minipc con rk3188 e il bug non c'è, o meglio è bash a non esserci.
Mi spiace, cyanogenmod è tra le poche rom android ad usare bash.
Purtroppo c'è la brutta abitudine di settare bash come shell di default. Si salvano coloro che restano fedeli alle shell di default
Provo inquietitudine =)
i web server su stack LAMP di default non sono vulnerabili perché la configurazione più diffusa non usa la modalità CGI, quindi le variabili di ambiente non si propagano tramite gli header HTTP, e non vengono passate neanche nelle funzioni di sistema tipo 'system' o 'exec'.
C'è da tenere presente, come già detto in altri commenti, che sono exploitabili da remoto solo sistemi che usano CGI scritti in Bash ed eseguiti da un interprete bash afflitto dal bug (ne sono esclusi quelli in altri linguaggi, C, perl, python...).
E' vero che uno di questi è l'abbastanza diffuso cPanel.
FastCGI e i vari mod_* sono anch'essi esclusi. Per quanto riguarda i dispositivi embedded un po' di allarmismo ci sta, ma la maggior parte sono basati su busybox, quindi non sono vulnerabili (a cominciare da dd-wrt e open-wrt).
Comunque aggiornare bash su un sistema Linux richiede 1 minuto e mezzo, niente riavvii. Se poi uno usa un sistema fuori dal periodo di supporto... beh, deve mettere in conto problemi simili.
Peccato però che la shell in cui sia entrato il tizio era quella di un utente normale, e non di root.
Quindi a conti fatti, può fare ben poco, senza una vulnerabilità terza che gli possa far scalare i privilegi fino a root. Per come la vedo io, si tratta più di un Proof of Concept che di una vulnerabilità davvero sfruttabile.
A parte quelli che usano busybox o ambienti ridotti / customizzati.
Che ovviamente non e' sensibile a questo bug.
The Debian Almquist Shell (dash) is a POSIX-compliant shell derived
from ash.
.
Since it executes scripts faster than bash, and has fewer library
dependencies (making it more robust against software or hardware
failures), it is used as the default system shell on Debian systems.
piuttosto... io ho il debug USB sempre abilitato... in qualche modo è possibile exploitare questo protocollo per inviare comandi dalla rete piuttosto che da USB?
tra l'altro tra le opzioni sviluppatore è possibile impostare ADB anche tramite rete... quindi in un qualche modo le CM sono vulnerabili se tale impostazione è abilitata.
e basterebbe disabilitare la funzionalità ad evitare un potenziale attacco?
Io per sicurezza ho disabilitato il debug USB e impostato l'accesso Root solo alle app ma non ad ADB
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".