Shellshock, un bug peggiore di Heartbleed

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...eed_54207.html

Red Hat scopre un bug che affligge la shell Bash e potrebbe interessare un numero sterminato di sistemi e dispositivi connessi

Click sul link per visualizzare la notizia.

[koni]

chissà quanto ci avrà mangiato sopra l'nsa con questo bug

per risolverlo basta disabilitare la bash ?

[Axios2006]

Quote:

Originariamente inviato da koni

chissà quanto ci avrà mangiato sopra l'nsa con questo bug

per risolverlo basta disabilitare la bash ?

Eh già è la Nsa l'unico pericolo in rete..... virus, mandare, hacker, stalker sono marginali....

[koni]

Quote:

Originariamente inviato da Axios2006

Eh già è la Nsa l'unico pericolo in rete..... virus, mandare, hacker, stalker sono marginali....

sono gli ammmericccannni che ti rubano i soldi e ti invadono

cmq lanciato prima un upgrade con apt-get e mi ha aggiornato la bash con questo aggiornamento sono apposto ?
io ho ubuntu 14

[mik91]

Quote:

Originariamente inviato da koni

sono gli ammmericccannni che ti rubano i soldi e ti invadono

cmq lanciato prima un upgrade con apt-get e mi ha aggiornato la bash con questo aggiornamento sono apposto ?
io ho ubuntu 14

Prova questo nella shell:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
se printa questo dovrebbe essere tutto ok:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

[fukka75]

Quote:

Originariamente inviato da koni

chissà quanto ci avrà mangiato sopra l'nsa con questo bug

Stai attento: la prossima volta che ti bussano alla porta, potrebbe essere LORO

Ah già, LORO non bussano

[r1348]

Quote:

Originariamente inviato da LucaNoize

appena aggiornato ubuntu 14.04
il comando mi restituisce quello che hai scritto, grazie per l'info

La patch rilasciata corregge solo parzialmente il problema, il comando

Codice:

env X='() { (a)=>\' sh -c "echo date"; cat echo

infatti scrive comunque un file.

[Spectrum7glr]

Quote:

Originariamente inviato da LucaNoize

@r1348

ok, aspettiamo la patch definitiva
...quello che mi preoccupa di più è però il discorso che leggevo su router
o altri dispositivi che potrebbero essere bacati, e con l'impossibilità
di ricevere aggiornamenti (perchè magari vecchi o non più supportati)

sì questo è decisamente TERRIBILE.

[san80d]

l'unica soluzione e' una vita senza connessioni

[pabloski]

Quote:

Originariamente inviato da san80d

l'unica soluzione e' una vita senza connessioni

In passato forse http://www.techspot.com/news/41643-i...ll-switch.html

[Balthasar85]

Quote:

Originariamente inviato da koni

sono gli ammmericccannni che ti rubano i soldi e ti invadono
[..]

Veramente i più attivi li trovi in Asia ed Europa dell'est.. sai, negli USA son un tantinello più attenti quando si parla di frodi digitali et simila.


CIAWA

[Totix92]

è già uscito l'update che tappa la falla credo... poco fa il mio raspberry pi mi ha segnalato un'aggiornamento per la shell bash che ovviamente ho installato

[koni]

Quote:

Originariamente inviato da r1348

La patch rilasciata corregge solo parzialmente il problema, il comando

Codice:

env X='() { (a)=>\' sh -c "echo date"; cat echo

infatti scrive comunque un file.

Quote:

user@ubuntu:~$ env X='() { (a)=>\' sh -c "echo date"; cat echo
date
cat: echo: No such file or directory

c'e' ancora il bug ?

[Cfranco]

Quote:

Originariamente inviato da koni

per risolverlo basta disabilitare la bash ?

Tanto vale che spegni il pc

[Balthasar85]

Quote:

Originariamente inviato da Cfranco

Tanto vale che spegni il pc

CIAWA

[jventure]

Aggiornato
Debian da security.debian.org aggiorna bash a 4.2+dfsg-0.1+deb7u1

i test ora falliscono entrambi

Codice:

ivy-srv03:~# /bin/bash --version
GNU bash, version 4.2.37(1)-release (x86_64-pc-linux-gnu)
....
ivy-srv03:~# env x='() { :;}; echo vulnerable' bash -c 'echo hello'
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello
ivy-srv03:~# env X='() { (a)=>\' sh -c "echo date"; cat echo
date
cat: echo: File o directory non esistente

ArchLinux aggiorna bash a 4.3.024
fallisce il primo test ma il secondo continua a passare

Codice:

[sandro@XaBook ~]$ /bin/bash --version
GNU bash, versione 4.3.24(1)-release (x86_64-unknown-linux-gnu)
....
[sandro@XaBook ~]$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
bash: attenzione: x: ignoring function definition attempt
bash: errore nell'importazione della definizione di funzione per "x"
hello
[sandro@XaBook ~]$ env X='() { (a)=>\' sh -c "echo date"; cat echo
sh: X: riga 1: errore di sintassi vicino al token non atteso "="
sh: X: riga 1: `'
sh: errore nell'importazione della definizione di funzione per "X"
gio 25 set 2014, 13.11.10, CEST

https://bugs.archlinux.org/task/4211...31&string=bash

[recoil]

Quote:

Originariamente inviato da san80d

l'unica soluzione e' una vita senza connessioni

allora aspetto il prossimo aggiornamento di iOS e sono a posto

Mavericks 10.9.5 è vulnerabile ho appena controllato

[RAMsterdam]

Ma a questo bug non sono vulnerabili anche i sistemi android? La shell ha molte carattristiche in comune con quella linux, poi non so perchè non sono espertissimo su queste cose

[DOCXP]

Provato ora su due server dopo update:

CentOs 6.5, parzialmente patchato
Debian 6.0.10, totalmente vulnerabile

Quote:

Originariamente inviato da RAMsterdam

Ma a questo bug non sono vulnerabili anche i sistemi android? La shell ha molte carattristiche in comune con quella linux, poi non so perchè non sono espertissimo su queste cose

Android non usa la shell bash, e comunque difficilmente si usa il terminale su android

[jventure]

Quote:

Originariamente inviato da DOCXP

Provato ora su due server dopo update:

Debian 6.0.10, totalmente vulnerabile

Hai provato ad includere i repo

Codice:

 deb security.debian.org oldstable/updates main contrib non-free