PROBLEMA Vulnerabilità Bash

[davethecipo]

Occhio ragazzi che è stata scoperta una vulnerabilità su Bash (a me colpisce anche zsh) detta "Shellshock".

Verificate gli aggiornamenti di sistema, c'è già una patch che risolve parzialmente il problema nelle distribuzioni più importanti.

Da quanto ho capito sono affetti quei sistemi in cui ad esempio gli script CGI interagiscono con Bash. Io per sicurezza ho aggiornato anche i PC casalinghi.

Potete verificare la presenza della vulnerabilità eseguendo il seguente codice da terminale

env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
env X="() { :;} ; echo busted" `which bash` -c "echo completed"

Se leggete "busted", il bug è presente, se leggete cose tipo "/usr/bin/bash: attenzione: X: ignoring function definition attempt
/usr/bin/bash: errore nell'importazione della definizione di funzione per "X"" il problema non è presente (ma ripeto, la patch non è perfetta).

 

[Ico Bellungi]

Alla faccia della vulnerabilità
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
[url]http://www.tomshw.it/cont/news/bash-bug-in-linux-e-peggio-di-hearthbleed-allarme-generale/59356/1.html
[/URL]

 

[Dario Salvati]

Ho installato ieri OpenSuse Gnome sul mio portatile e sono busted :C

Un tl;dr per chi non ha capito cosa sia? x)

 

[EmanueleC]

Su debian è gia stato risolto:
https://www.debian.org/security/2014/dsa-3032

 

[Pierro]

Su debian è gia stato risolto:
https://www.debian.org/security/2014/dsa-3032

Ma quindi vale anche per le derivate?

 

[davethecipo]

Ma quindi vale anche per le derivate?

Ogni derivata deve risolvere da sola il bug

 

[signore del tempo]

Pazzesco. Capirei uno di quei meccanismi di exploit controversi, ma questo è veramente banale! Certo, manco l'Heartbleed scherzava.

 

[Pierro]

Ogni derivata deve risolvere da sola il bug

Quello che temevo :oogle:

 

[Dario Salvati]

Su Opensuse a me si è fixato con la patch :C

 

[Antonuccio]

praticamente già ora le maggiori distribuzioni sono già state patchate
Ad esempio tutte le derivate di ubuntu prendono la patch dal repo security, no?
trusty-security... precise-security

http://changelogs.ubuntu.com/changelogs/pool/main/b/bash/bash_4.3-7ubuntu1.1/changelog

 

[EmanueleC]

praticamente già ora le maggiori distribuzioni sono già state patchate
Ad esempio tutte le derivate di ubuntu prendono la patch dal repo security, no?
trusty-security... precise-security

http://changelogs.ubuntu.com/changelogs/pool/main/b/bash/bash_4.3-7ubuntu1.1/changelog

Debian -> Ubuntu-> derivate :asd:

 

[Antonuccio]

Debian -> Ubuntu-> derivate :asd:

bash (4.3-7ubuntu1.1) trusty-security; urgency=medium

  * SECURITY UPDATE: incorrect function parsing
    - debian/patches/CVE-2014-6271.diff: fix function parsing in
      builtins/common.h, builtins/evalstring.c, subst.c, variables.c.
    - [COLOR="#0000CD"]CVE-2014-6271[/COLOR]

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  [COLOR="#0000CD"]Mon, 22 Sep 2014[/COLOR] 15:26:16 -0400

bash (4.2+dfsg-0.1+deb7u1) wheezy-security; urgency=high

  * Apply patch from Chet Ramey to fix [COLOR="#0000CD"]CVE-2014-6271[/COLOR].

 -- Florian Weimer <fw@deneb.enyo.de>  Tue, [COLOR="#0000CD"]16 Sep 2014 [/COLOR]21:28:27 +0200

:ok:
quindi di corsa ad aggiornare, su...

 

[loopback127]

bisogna scriptare qualcosa da terminale per le derivate di ubuntu io ho mint

 

[Leonheart]

bisogna scriptare qualcosa da terminale per le derivate di ubuntu io ho mint

Ciao loopback! Da quando tempo che non ti vedevo sul forum :D
Comunque anche io ho Mint. Proprio ieri mi pare ci fosse un aggiornamento su bash. Controlla gli aggiornamenti.

Ho controllato proprio ora, e non sono affetto da bug :D

 

[loopback127]

Ciao loopback! Da quando tempo che non ti vedevo sul forum :D
Comunque anche io ho Mint. Proprio ieri mi pare ci fosse un aggiornamento su bash. Controlla gli aggiornamenti.

Ho controllato proprio ora, e non sono affetto da bug :D

grande come va lo studio anche tu non è che ti sia visto così tanto