Link all'Articolo: http://www.hwupgrade.it/articoli/sicurezza-software/4156/shellshock-una-vulnerabilita-che-puo-mettere-in-ginocchio-il-web_index.html

Il bug Shellshock o Bash-bug è una pericolosa vulnerabilità che affligge i sistemi basati su Linux/Unix e che può interessare un numero sterminato di sistemi e dispositivi connessi. Le implicazioni sono anche peggiori rispetto a quanto accadde con Heartbleed

Click sul link per visualizzare l'articolo.

come al solito vi rivelate preziosi, è prassi ogni mattina per me dedicare qualche minuto a leggere le vostre news, confidente che in casi come questo mi avvisate dell'iceberg che arriva :)

Infatti, questo è il tipo di notizie che leggo fino in fondo e con interesse; scritte con competenza e chiarezza. Pongo una domanda: tra tutti questi dispositivi sono presenti anche i dispositivi android? Mi pare che anche essi si basino su kernel linux, ha qualcosa a che vedere o sto parlando di tutt'altra cosa?

Veramente

Quì (https://blog.flameeyes.eu/2014/09/limiting-the-shellshock-fear) e Quì (https://isc.sans.edu/diary/Webcast+Briefing%3A+Bash+Code+Injection+Vulnerability/18709)

Ridimensionano parecchio Gli effetti del bug

Infatti, questo è il tipo di notizie che leggo fino in fondo e con interesse; scritte con competenza e chiarezza. Pongo una domanda: tra tutti questi dispositivi sono presenti anche i dispositivi android? Mi pare che anche essi si basino su kernel linux, ha qualcosa a che vedere o sto parlando di tutt'altra cosa?

Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.

Leggo gli appunti delle superiori di qualche anno fà: "Passaggio di parametri e funzioni in bash" ad un certo punto ho sottolineato e ripassato una cosa xkè il proffo ci disse che nn funzionava sempre e in laboratorio di informatica ci si sbagliava volendo fare i fighi a scrivere tutto su una riga. Ho sottolineato "non creare mai variabili che inizino per ()" e sotto degli stupidi esempi dove accadeva che il contenuto della variabile poteva venir interpretato come comando invece che come testo.

:fagiano:

Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.

Si, avevo capito che utilizzava la shell bash ma pensavo che essa fosse presente e magari utilizzata su un pò tutti i sistemi basati si linux o derivati. Grazie per l'informazione. ;)

Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.

se hai installato la bach sullo smartphone allora anche android è vulnerabile come anche IOS se hai fatto la modifica.
Aggiornare i sistemi operativi sara facile ma aggiornare miliardi di urouter, webcam, termostati, smart TV, stampanti, NAS e molto altro è praticamente impossibile e questo bug resterà in giro per molti anni a venire.

se hai installato la bach sullo smartphone allora anche android è vulnerabile come anche IOS se hai fatto la modifica.


Android non usa l'userland GNU ergo no Bash inside!


Aggiornare i sistemi operativi sara facile ma aggiornare miliardi di urouter, webcam, termostati, smart TV, stampanti, NAS e molto altro è praticamente impossibile e questo bug resterà in giro per molti anni a venire.

Non bisogna aggiornare niente, perchè il 99% dei dispositivi che hai citato usa Busybox ( che non è vulnerabile ).

Sono i sistemi GNU/Linux, Mac OS X e BSD ad essere vulnerabili.

Mica qualcuno ha qualche esempio su come sfruttarlo? C'è un dev in ufficio che usa OS X e Apache che è la vittima abituale di molti scherzi :D (aveva anche jailbreakato l'iPhone senza cambiare la password... poi si chiedeva come mai gli spariva la roba :asd: )

Android non usa l'userland GNU ergo no Bash inside!

sono i sistemi GNU/Linux, Mac OS X e BSD ad essere vulnerabili.

curioso allora mi spieghi perche se lancio la stringa:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

sul mio cellulare mi da "vulnerable"?
Inoltre se non ha Bash perche mi si apre la shell dei comandi?

E uso cyanomod che è molto piu android pulito di molte rom standard come quelle samsung che a parita di installazione mi occupa 1,2+ GB di spazio per app inutili.

Tanto per cambiare Apple tende a minimizzare i suoi problemi senza poi fornire nessuna spiegazione sul perchè i suoi utenti dovrebbero stare tranquilli.
Questi due articoli:

http://security.stackexchange.com/questions/68122/what-is-a-specific-example-of-how-the-shellshock-bash-bug-could-be-exploited

https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/

spiegano come basti collegarsi con un sistema vulnerabile ad una rete wi-fi e vedere il proprio file /etc/passwd recapitato al malintenzionato di turno...

Sono i sistemi GNU/Linux, Mac OS X e BSD ad essere vulnerabili.

FreeBSD ha come shell di default tcsh, NetBSD e OpenBSD ksh. Le distro linux basate su debian hanno uno softlink tra /bin/sh (la shell che andrebbe usata negli script) e dash (non la bash).

curioso allora mi spieghi perche se lancio la stringa:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

sul mio cellulare mi da "vulnerable"?
Inoltre se non ha Bash perche mi si apre la shell dei comandi?

E uso cyanomod che è molto piu android pulito di molte rom standard come quelle samsung che a parita di installazione mi occupa 1,2+ GB di spazio per app inutili.

Leggi qua http://attivissimo.blogspot.it/2014/09/shellshock-falla-critica-in-linux-mac.html?showComment=1411621091733

"Grazie della info. Lo ho provato anche con il mio cellulare aggiornato ad Android 4.4.4 (Cyanogenmod) e ne è affetto."

Io ho provato su un nexus s, un pad zenithink e uno onda, 2 minipc con rk3188 e il bug non c'è, o meglio è bash a non esserci.

Mi spiace, cyanogenmod è tra le poche rom android ad usare bash.

FreeBSD ha come shell di default tcsh, NetBSD e OpenBSD ksh. Le distro linux basate su debian hanno uno softlink tra /bin/sh (la shell che andrebbe usata negli script) e dash (non la bash).

Purtroppo c'è la brutta abitudine di settare bash come shell di default. Si salvano coloro che restano fedeli alle shell di default :D

"Un attacco ha anche portato all'apertura/chiusura di un drive CD/DVD di un server"

Provo inquietitudine =)

sempre a dare addosso a PHP, ma proprio in sto caso sono più vulnerabili le applicazioni su stack Python o Ruby.

i web server su stack LAMP di default non sono vulnerabili perché la configurazione più diffusa non usa la modalità CGI, quindi le variabili di ambiente non si propagano tramite gli header HTTP, e non vengono passate neanche nelle funzioni di sistema tipo 'system' o 'exec'.

Notizia sensazionalistica già abbondantemente ridimensionata.

C'è da tenere presente, come già detto in altri commenti, che sono exploitabili da remoto solo sistemi che usano CGI scritti in Bash ed eseguiti da un interprete bash afflitto dal bug (ne sono esclusi quelli in altri linguaggi, C, perl, python...).

E' vero che uno di questi è l'abbastanza diffuso cPanel.

FastCGI e i vari mod_* sono anch'essi esclusi. Per quanto riguarda i dispositivi embedded un po' di allarmismo ci sta, ma la maggior parte sono basati su busybox, quindi non sono vulnerabili (a cominciare da dd-wrt e open-wrt).

Comunque aggiornare bash su un sistema Linux richiede 1 minuto e mezzo, niente riavvii. Se poi uno usa un sistema fuori dal periodo di supporto... beh, deve mettere in conto problemi simili.

ma se uno sul mac ci mette un webserver per fare test delle pagine html e php il computer diventa vulnerabile a questo bug ?

C'è da tenere presente, come già detto in altri commenti, che sono exploitabili da remoto solo sistemi che usano CGI scritti in Bash ed eseguiti da un interprete bash afflitto dal bug (ne sono esclusi quelli in altri linguaggi, C, perl, python...).Hanno fatto anche vedere che si poteva entrare nel sistema tramite DHCP (https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/).
Peccato però che la shell in cui sia entrato il tizio era quella di un utente normale, e non di root.
Quindi a conti fatti, può fare ben poco, senza una vulnerabilità terza che gli possa far scalare i privilegi fino a root. Per come la vedo io, si tratta più di un Proof of Concept che di una vulnerabilità davvero sfruttabile.

Il problema e' una bella rogna, ma si tenga conto che da tempo molti sistemi tra cui sopratutto i tanto citati devices dedicati (ma anche le distro basate su debian) non usano bash ma soluzioni minori come dash come shell di default per gli scripts.
A parte quelli che usano busybox o ambienti ridotti / customizzati.

Che ovviamente non e' sensibile a questo bug.

Description-en: POSIX-compliant shell
The Debian Almquist Shell (dash) is a POSIX-compliant shell derived
from ash.
.
Since it executes scripts faster than bash, and has fewer library
dependencies (making it more robust against software or hardware
failures), it is used as the default system shell on Debian systems.

Cmq è confermato che per le CM il terminale bash è presente di default... ma alla fine è risolvibile eliminando il problema alla radice :D

piuttosto... io ho il debug USB sempre abilitato... in qualche modo è possibile exploitare questo protocollo per inviare comandi dalla rete piuttosto che da USB?

tra l'altro tra le opzioni sviluppatore è possibile impostare ADB anche tramite rete... quindi in un qualche modo le CM sono vulnerabili se tale impostazione è abilitata.

e basterebbe disabilitare la funzionalità ad evitare un potenziale attacco?

Io per sicurezza ho disabilitato il debug USB e impostato l'accesso Root solo alle app ma non ad ADB

Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.
se hai installato la bach sullo smartphone allora anche android è vulnerabile come anche IOS se hai fatto la modifica.
Aggiornare i sistemi operativi sara facile ma aggiornare miliardi di urouter, webcam, termostati, smart TV, stampanti, NAS e molto altro è praticamente impossibile e questo bug resterà in giro per molti anni a venire.
Android non usa l'userland GNU ergo no Bash inside!
Non bisogna aggiornare niente, perchè il 99% dei dispositivi che hai citato usa Busybox ( che non è vulnerabile ).
Sono i sistemi GNU/Linux, Mac OS X e BSD ad essere vulnerabili.
curioso allora mi spieghi perche se lancio la stringa:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
sul mio cellulare mi da "vulnerable"?
Inoltre se non ha Bash perche mi si apre la shell dei comandi?
E uso cyanomod che è molto piu android pulito di molte rom standard come quelle samsung che a parita di installazione mi occupa 1,2+ GB di spazio per app inutili.
http://review.cyanogenmod.org/#/c/74013/

com'era la storia che windows era un colabrodo metre linux sicuro...?

ma lol:oink:

com'era la storia che windows era un colabrodo metre linux sicuro...?

ma lol:oink:

Unix/Linux è un sistema come un altro. In rete niente è sicuro al 100% . L' unico pc sicuro è quello OFFLINE senza usb nè periferiche ottiche , per scriverci le tue ricette di cucina o i tuoi dati di ricerca.Anche in quel caso il pc non è al sicuro da incidenti dovuti a sovraccarichi di tensione, guasti meccanici etc etc.

Da un punto di vista statistico, a causa della maggiore diffusione dei sistemi windows based, puoi dire che circola più spazzatura destinata a colpire le falle di Winzozz; tuttavia e questa ne è l conferma , se criminali vari hanno interesse a colpire un dato obiettivo anche linux/unix e mac cado

Unix/Linux è un sistema come un altro. In rete niente è sicuro al 100% . L' unico pc sicuro è quello OFFLINE senza usb nè periferiche ottiche , per scriverci le tue ricette di cucina o i tuoi dati di ricerca.Anche in quel caso il pc non è al sicuro da incidenti dovuti a sovraccarichi di tensione, guasti meccanici etc etc.

Da un punto di vista statistico, a causa della maggiore diffusione dei sistemi windows based, puoi dire che circola più spazzatura destinata a colpire le falle di Winzozz; tuttavia e questa ne è l conferma , se criminali vari hanno interesse a colpire un dato obiettivo anche linux/unix e mac cado

Quoto, oltre al fatto che mi pare di capire che i server basati su linux/unix siano una bella parte di tutti quelli che ci sono, quindi se voglio colpire "in grande" colpisco i server; e di questi ben pochi utilizzano windows. Corregetemi se sbaglio.

com'era la storia che windows era un colabrodo metre linux sicuro...?

ma lol:oink:

La storia è che il bug non sta in linux ma in bash :doh:

@pabloski..

http://it.wikipedia.org/wiki/Bash

scusa ma pare che ti arrampichi sugli specchi.. bash è in Linux.. o è relazionabile a Linux.. dire che il problema è in bash non in Linux è come dire che Windows è sicuro al 100% perché non è Windows ad avere problemi ma le sue componenti ... su su.. non facciamo figure barbine..

Linux è scritto da esseri umani come Windows.. gli esseri umani sbagliano.. fine della storia..

@pabloski..

http://it.wikipedia.org/wiki/Bash

scusa ma pare che ti arrampichi sugli specchi.. bash è in Linux.. o è relazionabile a Linux.. dire che il problema è in bash non in Linux è come dire che Windows è sicuro al 100% perché non è Windows ad avere problemi ma le sue componenti ... su su.. non facciamo figure barbine..

Linux è scritto da esseri umani come Windows.. gli esseri umani sbagliano.. fine della storia..

1) la bash è una delle shell di linux; ce ne sono molte altre tipo tcsh, ksh ecc

2) debian e derivate utilizzano la dash (e non la bash) come shell di default per gli script.

3) la bash la puoi installare anche su sistemi unix (di solito non è la shell di default ma è sempre inclusa nei repository).

@pabloski..

http://it.wikipedia.org/wiki/Bash

scusa ma pare che ti arrampichi sugli specchi.. bash è in Linux.. o è relazionabile a Linux.. dire che il problema è in bash non in Linux è come dire che Windows è sicuro al 100% perché non è Windows ad avere problemi ma le sue componenti ... su su.. non facciamo figure barbine..

Linux è scritto da esseri umani come Windows.. gli esseri umani sbagliano.. fine della storia..

qui chi si arrampica sugli specchi sei tu, poi con la storia degli "esseri umani che sbagliano" raggiungi l'apice...

ha ragione lui, bash è uno dei 10000 interpreti di script, puoi installarlo oppure no, io per es lo uso ma sui server preferisco sh liscio...

se le cose le ignori cambia argomento, fidati
ci sta il calcio, le donne, il gossip...
lo shopping... roba buona per chi fa demagogia spicciola

@pabloski..

http://it.wikipedia.org/wiki/Bash

scusa ma pare che ti arrampichi sugli specchi.. bash è in Linux.. o è relazionabile a Linux.. dire che il problema è in bash non in Linux è come dire che Windows è sicuro al 100% perché non è Windows ad avere problemi ma le sue componenti ... su su.. non facciamo figure barbine..

Linux è scritto da esseri umani come Windows.. gli esseri umani sbagliano.. fine della storia..

Bash è usato pure in Mac OS X. Quindi? E pure in Cygwin. E ovviamente è presente nei BSD.

E in Linux non è di default in Debian ( ad esempio ).

Hai un modo di ragionare troppo Windows-centrico.

com'era la storia che windows era un colabrodo metre linux sicuro...?

ma lol:oink:

Imsims si riferisce al fatto che quando si parlava di Windows c'erano sempre miriade di fan Boys Linux a sparare le sole caxxate, che Windows è un colabrodo, che il kernel di Linux e tutto ciò che li gira intorno è piu' sicuro e quasi inattaccabile ecc.. Questa invece è proprio la dimostrazione che non è cosi e che prima semplicemente non vi era alcun interesse nel cercare falle su altri OS per eventuali attacchi.

Non possono entrare le sistema del ministero delle finanze e divulgare il codice dei gratta e vinci vincenti e dove sono stati distribuiti? :D

Imsims si riferisce al fatto che quando si parlava di Windows c'erano sempre miriade di fan Boys Linux a sparare le sole caxxate, che Windows è un colabrodo, che il kernel di Linux e tutto ciò che li gira intorno è piu' sicuro e quasi inattaccabile ecc.. Questa invece è proprio la dimostrazione che non è cosi e che prima semplicemente non vi era alcun interesse nel cercare falle su altri OS per eventuali attacchi.

Non possono entrare le sistema del ministero delle finanze e divulgare il codice dei gratta e vinci vincenti e dove sono stati distribuiti? :D

non è na questione di fan boy, questo è un bug che riguarda un'interprete dei comandi shell, è un'applicativo user-space come ce ne sono tanti...
puoi metterla, puoi non metterla, NON è un bug di gnu/linux nè di Mac OS nè di BSD,
è un bug di un'APP comune come ce ne sono tante..

wow.. vedo che i fan boy Linux si scatenano nel difendere la cosa..
è solo una delle 10 mila shell etc etc..

rotfl.. ok Linux è salvo.. il suo kernel è inviolabile ed è stato creato da essere sovrannaturali che non sbagliano.. per cui la bash è stata creata da un umano screditato da Linux..

suvvia.. anche quando nell'ambiente Linux ci sono falle lo si puo' ammettere.. non è che diventate impotenti se anche Linux ha difetti.. e per Linux intendo l'intero sistema Linux.. non per forza un kernel in particolare..

su su.. potete essere onesti.. non perderete punti perché un OS che non vi sta stipendiando ha qualche potenziale problema..

io non muoio se Windows diventa il migliore o il peggiore.. è uno strumento di lavoro.. non una fede :-D non so nel caso di un kernel Linux.. ma per me Windows resta un aggeggio per lavorare e fare soldi.. non un OS da proteggere contro gli invasori pinguini :-D

wow.. vedo che i fan boy Linux si scatenano nel difendere la cosa..
è solo una delle 10 mila shell etc etc..

rotfl.. ok Linux è salvo.. il suo kernel è inviolabile ed è stato creato da essere sovrannaturali che non sbagliano.. per cui la bash è stata creata da un umano screditato da Linux..

suvvia.. anche quando nell'ambiente Linux ci sono falle lo si puo' ammettere.. non è che diventate impotenti se anche Linux ha difetti.. e per Linux intendo l'intero sistema Linux.. non per forza un kernel in particolare..

su su.. potete essere onesti.. non perderete punti perché un OS che non vi sta stipendiando ha qualche potenziale problema..

io non muoio se Windows diventa il migliore o il peggiore.. è uno strumento di lavoro.. non una fede :-D non so nel caso di un kernel Linux.. ma per me Windows resta un aggeggio per lavorare e fare soldi.. non un OS da proteggere contro gli invasori pinguini :-D
non è neanche una questione di "fede", come vedi in firma riporto entrambi i sistemi e sto scrivendo da win 7 x64 che gira alla grande...

se fosse uscito un bug clamoroso del kernel (e quello è linux) allora ok ma non è questo il caso; il problema è che ci vuole onestà intellettuale,
e di questa sono fiero portavoce :D

vediamo di riassumere la questione da un punto di vista più nabbo:
io installo linux e posso scegliere quale parser interpreterà i miei comandi, questi parser sono molto numerosi e diversi, e per il fatto che nessuno è installato di default MA deve essere l'utente a scieglierlo, egli può tranquillamente installarne un altro, oppure rimuovero in un secondo momento e sostituirlo, ed è grazie a questa estrema modularità nelle applicazioni la differenza con windows;
se esce un bug su IE, per es., che è un'app user-space, lo posso disinstallare?
ma certo, peccato che le dll di parsing dell'html rimangono lì appese, pronte ad essere invocate e exploitate; la differenza quindi, è questa, windows è kernel + IE + dll + servizi microsoft + bloatware e servizi non MS inossidabili;

Linux è il kernel e.... quello che TU decidi, a priori, di metere e nulla ti viene imposto, quindi se esce un bug su KDE o amarok o BASH, tu li levi e linux resta linux...

com'era la storia che windows era un colabrodo metre linux sicuro...?

ma lol:oink:

Ms ha da poco messo in pensione un sistema che ti proponeva administrator come account di default, lasciamo perdere va

Ms ha da poco messo in pensione un sistema che ti proponeva administrator come account di default, lasciamo perdere va

vabbè dai non spariamo sulla croce rossa...
se cominciamo a scendere negli anni e se ripensiamo a cosa fosse windows prima di XP sp2 mi sento male

Allora

La falla è della shell che però sotto unix fa anche l'ambiente.

Io posso lavorare in ksh, sh, csh e bash... cambiando di fatto il modo in cui il sistema accede alle variabili di ambiente o meglio il modo in cui ne fa l'evaluate. Per cui è vero che la falla di una shell, diventa una falla di sistema.

Mi pare di capire che è stata pure quasi risolta, impedendo l'export di env con dicitura (){;:}

Tipo le patch rilasciate in Fedora.

I sistemi unix based, restano ovviamente i sistemi più sicuri nel mondo open imho

wow.. vedo che i fan boy Linux si scatenano nel difendere la cosa..
è solo una delle 10 mila shell etc etc..


magari perchè è vero? ti ho già fatto notare che quella shell ce l'ha pure Mac OS X e ce l'hanno pure i BSD

semplicemente "i fanboy" stanno chiamando le cose col loro nome

se scrivi "Linux è fallato" in riferimento al bug della shell, allora stai sbagliando

Android è basato su Linux eppure non è fallato ( tranne alcune rom custom che invece usano l'userland gnu )

quindi? come se ne esce? semplicemente chiamando le cose col loro nome


rotfl.. ok Linux è salvo.. il suo kernel è inviolabile ed è stato creato da essere sovrannaturali che non sbagliano.. per cui la bash è stata creata da un umano screditato da Linux..


ecco, questo è un tipico commento da hater

hai presente vero che bash esiste da molto molto prima di linux? e che bash è figlia diretta di Stallman e del progetto gnu, mentre linux non lo è?


e per Linux intendo l'intero sistema Linux.. non per forza un kernel in particolare..


rifaccio l'esempio

Android è basato su Linux, va dunque inteso anche lui come "intero sistema Linux"? ma la falla non riguarda Android, quindi!?!


io non muoio se Windows diventa il migliore o il peggiore.. è uno strumento di lavoro.. non una fede :-D


purtroppo il fatto che tu abbia citato proprio Windows fa capire dove vuoi andare a parare


non so nel caso di un kernel Linux.. ma per me Windows resta un aggeggio per lavorare e fare soldi.. non un OS da proteggere contro gli invasori pinguini :-D

magari sei tu che vedi cose che non esistono, dato che il 90% degli utenti Linux vive felice nel proprio mondo e di Windows semplicemente non gliene può fregar di meno

https://www.google.com/#q=android+falla

E poi ti lamenti che ti diamo del troll. Ovviamente mi riferivo alla vulnerabilità di bash, mica allo stato generale di Android.

Trolliamo? Ok http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4074

ok... wow trovata una falla nell'OS con maggior market share sul mercato ... strano

wow Android c'ha il maggior market share in ambito mobile, quindi vale la stessa logica? O no!?! :rolleyes:

esatto ... l'avete capito

Affermazione decisamente opinabile ed in entrambi i casi.