Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
{Nicola} Ospite
|
Inviato: 25 Set 2014 08:47 Oggetto: |
|
|
Attenzione: il comando va inserito senza il '$' mostrato (che è il simbolo della shell bash). Altrimenti l'errore ci sarà di sicuro ma a causa di quello e non del bug. |
|
Top |
|
|
Zeus Amministratore
Registrato: 21/10/00 01:01 Messaggi: 12777 Residenza: San Junipero
|
Inviato: 25 Set 2014 08:55 Oggetto: |
|
|
Giusta precisazione (anche se in genere chi usa la shell Unix dovrebbe saperlo) |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12235
|
Inviato: 25 Set 2014 10:37 Oggetto: |
|
|
Grazie della precisazione Nicola, io da brava utonta avrei fatto un bel copia e incolla...anche se leggendo i vari link si capisce che il $ non ci va.
Ma come mai alcuni non avrebbero tale bug? Dipende dalla distro che si utilizza? |
|
Top |
|
|
anabasi Amministratore
Registrato: 21/10/05 00:58 Messaggi: 14535 Residenza: Tra Alpi e Tanaro
|
Inviato: 25 Set 2014 19:32 Oggetto: |
|
|
In realtà, l'inserimento del carattere "$" o del carattere "#" prima del comando è una convenzione utile per far capire a chi legge che dovrà dare il comando, rispettivamente, come utente normale o come root. (E sono gli stessi caratteri che avvisano chi opera al terminale che sta lavorando come utente o come root)
La falla, scoperta, è stata neutralizzata con le opportune modifiche al pacchetto "bash" che è stato man mano incluso nei repositories delle distribuzioni, pertanto dovrebbe essere sufficiente effettuare un aggiornamento al sistema operativo e, per conferma, effettuare da terminale la verifica proposta da Attivissimo. Per esempio, le distribuzioni che sto utilizzando (Debian, Ubuntu e loro derivate) hanno il pacchetto aggiornato. |
|
Top |
|
|
bandreabis Eroe
Registrato: 02/11/05 10:31 Messaggi: 49
|
Inviato: 25 Set 2014 22:27 Oggetto: |
|
|
E si sa quali versioni di bash sono vulnerabili? |
|
Top |
|
|
milux Eroe
Registrato: 22/04/08 06:09 Messaggi: 70 Residenza: verso i Balcani
|
Inviato: 26 Set 2014 05:10 Oggetto: |
|
|
qui nuova iorch, vi parla Ruggero Orlando : nella debian settepuntosei ueezi, il comando ha dato esito negativo |
|
Top |
|
|
wallyweek Mortale adepto
Registrato: 17/12/07 10:06 Messaggi: 33
|
Inviato: 26 Set 2014 07:44 Oggetto: |
|
|
Oh... che bello! era un po' che non vedevo un po' di sano FUD...
A parte gli scherzi, nonostante Paolo Attivissimo sia sempre molto attento a documentarsi, in questo caso mi perdonerà se aggiungo qualche considerazione importante.
La falla è potenzialmente devastante, a patto che si abbia accesso diretto alla macchina in ssh (il telnet non lo considero nemmeno, dato che nessuno sano di mente lo userebbe ancora su un server esposto, nel XXI secolo).
In considerazione di questo, come possono danneggiarmi tv, router, webcam ecc. ai quali non ho accesso diretto nemmeno come legittimo proprietario?!
Citazione: | Secondo alcune indicazioni, giace indisturbata da circa vent'anni: un fatterello che non mancherà di riaprire il dibattito sui pro e contro dell'open source in termini di sicurezza. |
Rivoltando il discorso, si può anche notare che se in vent'anni nessuno l'ha individuata, evidentemente non era così visibile, nemmeno ai malintenzionati. Aggiungo che le mie macchine Ubuntu 14.04 erano vulnerabili, ma ho letto l'articolo, fatta la prova, aggiornato i pacchetti ed ora non lo sono più: meno di 24 ore da quando mi è arrivato l'articolo, meno di 10 minuti da quando l'ho letto... vorrei vedere quanti SO proprietari godono di una simile celerità.
Un'ultima cosa:
Citazione: | Uno strumento di verifica della vulnerabilità è disponibile presso Brandonpotter.com (il mio server Web è a posto, grazie del pensiero). |
Anche il mio.
Ma sulla bash del server il comando dà esito positivo (purtroppo non posso aggiornarlo perché è una vecchia Ubuntu 8.04, per cui il supporto è da tempo terminato).
quindi, delle due, o la frase
Citazione: | dato che consente di prendere il comando di un server Web non aggiornato semplicemente mandando un solo comando via Internet. |
è un po' esagerata, oppure il test non funziona molto bene... |
|
Top |
|
|
Gingus Mortale devoto
Registrato: 11/03/08 14:08 Messaggi: 16
|
Inviato: 26 Set 2014 09:32 Oggetto: |
|
|
Ubuntu ha già corretto la falla con gli ultimi aggiornamenti |
|
Top |
|
|
{Jurij} Ospite
|
Inviato: 26 Set 2014 09:41 Oggetto: |
|
|
Provato anche sul mio android rootato Cyanogen: vulnerabile.
...Chissà? |
|
Top |
|
|
gvf Comune mortale
Registrato: 26/09/14 09:59 Messaggi: 2
|
Inviato: 26 Set 2014 10:13 Oggetto: |
|
|
Mi sembra ci siano due gravi leggerezze nel considerare questo bug devastante:
Per quanto riguarda le macchine che forniscono servizi su internet, per sfruttare questo bug bisognerebbe che in primo luogo fosse raggiungibile la shell bash (cosa di per se deprecabile) in secondo luogo che l'utente con cui viene eseguita la shell abbia possibilità di fare danni (altra cosa deprecabile).
Vengono poi indicate come possibili obiettivi le nas i router e altri dispositivi simili. Non so i vostri ma suoi miei non mi risulta sia presente bash, che oltretutto in quell'ambito sarebbe abbastanza inutile... |
|
Top |
|
|
caiosempronio Mortale adepto
Registrato: 05/08/08 12:47 Messaggi: 38
|
Inviato: 26 Set 2014 10:30 Oggetto: |
|
|
Questione molto interessante, ma per un profano come me potenzialmente allarmante. Utilizzo Linux mint 16 petra e da terminale mi da la vulnerabilità. Siccome gli aggiornamenti mi vengono proposti dal sistema e li scarico ed installo regolarmente non so proprio come sistemare questo problema. Qualcuno mi aiuta?
Grazie e buona giornata. |
|
Top |
|
|
caiosempronio Mortale adepto
Registrato: 05/08/08 12:47 Messaggi: 38
|
Inviato: 26 Set 2014 10:33 Oggetto: |
|
|
errore |
|
Top |
|
|
{nando} Ospite
|
Inviato: 26 Set 2014 10:43 Oggetto: |
|
|
Su ubuntu 14.4 la falla e' gia' corretta, mentre il mio macbook con macOS 19.9.5, appena aggiornato, e' ancora vulnerabile. Meditiamo su Open Source Vs. Proprietary... |
|
Top |
|
|
anabasi Amministratore
Registrato: 21/10/05 00:58 Messaggi: 14535 Residenza: Tra Alpi e Tanaro
|
Inviato: 26 Set 2014 11:10 Oggetto: |
|
|
@caiosempronio
La tua Mint ha un programma di aggiornamento, chiamato (in italiano o in inglese) in modo da essere riconoscibile, per esempio "updater" o simili. Individualo nei menù della tua distribuzione e lancialo. Provvederà da solo a effettuare l'aggiornamento dell'elenco pacchetti e avvisarti che ci sono alcuni pacchetti aggiornabili, tra i quali il pacchetto "bash". Dagli l'ok e lascia che aggiorni il sistema.
In alternativa, apri il terminale e dà i seguenti comandi, prima l'uno e poi l'altro:
sudo apt-get update
sudo apt-get dist-upgrade
Ti verrà chiesta la tua password utente.
Il primo comando effettua l'aggiornamento dell'elenco pacchetti e il secondo effettua l'aggiornamento del sistema.
Alla fine, chiudi il terminale digitando exit e premendo "invio". |
|
Top |
|
|
dragonand Eroe in grazia degli dei
Registrato: 30/03/06 15:32 Messaggi: 179
|
Inviato: 26 Set 2014 14:08 Oggetto: |
|
|
Citazione: | sudo apt-get dist-upgrade |
Che esagerato!
Basta: Codice: | sudo apt-get upgrade |
Ciao |
|
Top |
|
|
caiosempronio Mortale adepto
Registrato: 05/08/08 12:47 Messaggi: 38
|
Inviato: 26 Set 2014 15:14 Oggetto: |
|
|
anabasi, nel menù ho "gestione aggiornamenti" e dopo averlo lanciato manualmente mi dà "aggiornato" comunque era il programma che avevo segnalato come aggiornamento automatico, per sicurezza ho aggiornato anche da terminale. Rifatto il test mi dà ancora vulnerabile |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12235
|
Inviato: 26 Set 2014 15:22 Oggetto: |
|
|
Ha ragione Anabasi, l'hanno già agito, ho provato prima e dopo l'aggiornamento, prima mi dava la scritta vulnerabile, prova.
Ora mi da l'errore, ma la scritta "prova" c'è comunque, per intenderci esce questo:
bash: attenzione: x: ignoring function definition attempt
bash: errore nell'importazione della definizione di funzione per "x"
prova
Ma io l'ho aggiornato da "aggiornamenti software" (ubuntu), non ho dato i 2 (o 3) comandi, per aggiornare da terminale.
Ne ho anche un altro di linux debian sul portatile vecchio, quello lo aggiorno da terminale, tra qualche giorno provo anche li. |
|
Top |
|
|
TUX_73 Mortale devoto
Registrato: 11/12/06 20:12 Messaggi: 15
|
Inviato: 26 Set 2014 16:09 Oggetto: |
|
|
Fatto la prova il mio pinguino è ok |
|
Top |
|
|
ilcoro Eroe
Registrato: 30/10/06 17:52 Messaggi: 43
|
Inviato: 26 Set 2014 16:49 Oggetto: |
|
|
aggiornamento importante
[soprattutto per chi ha osx -server o meno- e ha applicato il patch segnalato da attivissimo pensando così di essere a posto].
debian ha reso disponibile il nuovo patch da qualche ora.
immagino anche le altre distro si stiano allineando (io uso solo debian).
e: occhio, non occorre necessariamente l'accesso alla porta 22 per inviare comandi bash.
e: non è affatto vero, come ha scritto qualcuno, che "in 20 anni non è mai stata scovata". anzi, è stata (ed è tutt'ora) molto utlilizzata (link)
non sottovalutate questo bug. |
|
Top |
|
|
|