Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
ShellShock, falla critica in Linux e Mac OS X
Nuovo argomento   Rispondi    Indice del forum -> Linux
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 25 Set 2014 08:27    Oggetto: ShellShock, falla critica in Linux e Mac OS X Rispondi citando

Leggi l'articolo ShellShock, falla critica in Linux e Mac OS X
E altri sistemi operativi basati su Unix.
Top
{Nicola}
Ospite





MessaggioInviato: 25 Set 2014 08:47    Oggetto: Rispondi citando

Attenzione: il comando va inserito senza il '$' mostrato (che è il simbolo della shell bash). Altrimenti l'errore ci sarà di sicuro ma a causa di quello e non del bug.
Top
Zeus
Amministratore
Amministratore


Registrato: 21/10/00 01:01
Messaggi: 12741
Residenza: San Junipero

MessaggioInviato: 25 Set 2014 08:55    Oggetto: Rispondi citando

Giusta precisazione (anche se in genere chi usa la shell Unix dovrebbe saperlo)
Top
Profilo Invia messaggio privato HomePage
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 12221

MessaggioInviato: 25 Set 2014 10:37    Oggetto: Rispondi citando

Grazie della precisazione Nicola, io da brava utonta avrei fatto un bel copia e incolla...anche se leggendo i vari link si capisce che il $ non ci va.
Ma come mai alcuni non avrebbero tale bug? Dipende dalla distro che si utilizza?
Top
Profilo Invia messaggio privato
anabasi
Amministratore
Amministratore


Registrato: 21/10/05 00:58
Messaggi: 14404
Residenza: Tra Alpi e Tanaro

MessaggioInviato: 25 Set 2014 19:32    Oggetto: Rispondi citando

In realtà, l'inserimento del carattere "$" o del carattere "#" prima del comando è una convenzione utile per far capire a chi legge che dovrà dare il comando, rispettivamente, come utente normale o come root. (E sono gli stessi caratteri che avvisano chi opera al terminale che sta lavorando come utente o come root)

La falla, scoperta, è stata neutralizzata con le opportune modifiche al pacchetto "bash" che è stato man mano incluso nei repositories delle distribuzioni, pertanto dovrebbe essere sufficiente effettuare un aggiornamento al sistema operativo e, per conferma, effettuare da terminale la verifica proposta da Attivissimo. Per esempio, le distribuzioni che sto utilizzando (Debian, Ubuntu e loro derivate) hanno il pacchetto aggiornato.
Top
Profilo Invia messaggio privato
bandreabis
Eroe
Eroe


Registrato: 02/11/05 10:31
Messaggi: 49

MessaggioInviato: 25 Set 2014 22:27    Oggetto: Rispondi citando

E si sa quali versioni di bash sono vulnerabili?
Top
Profilo Invia messaggio privato
milux
Eroe
Eroe


Registrato: 22/04/08 06:09
Messaggi: 70
Residenza: verso i Balcani

MessaggioInviato: 26 Set 2014 05:10    Oggetto: Rispondi citando

qui nuova iorch, vi parla Ruggero Orlando : nella debian settepuntosei ueezi, il comando ha dato esito negativo Laughing
Top
Profilo Invia messaggio privato
wallyweek
Mortale adepto
Mortale adepto


Registrato: 17/12/07 10:06
Messaggi: 33

MessaggioInviato: 26 Set 2014 07:44    Oggetto: Rispondi citando

Oh... che bello! era un po' che non vedevo un po' di sano FUD... Wink

A parte gli scherzi, nonostante Paolo Attivissimo sia sempre molto attento a documentarsi, in questo caso mi perdonerà se aggiungo qualche considerazione importante. Cool

La falla è potenzialmente devastante, a patto che si abbia accesso diretto alla macchina in ssh (il telnet non lo considero nemmeno, dato che nessuno sano di mente lo userebbe ancora su un server esposto, nel XXI secolo). Rolling Eyes

In considerazione di questo, come possono danneggiarmi tv, router, webcam ecc. ai quali non ho accesso diretto nemmeno come legittimo proprietario?! Confused

Citazione:
Secondo alcune indicazioni, giace indisturbata da circa vent'anni: un fatterello che non mancherà di riaprire il dibattito sui pro e contro dell'open source in termini di sicurezza.

Rivoltando il discorso, si può anche notare che se in vent'anni nessuno l'ha individuata, evidentemente non era così visibile, nemmeno ai malintenzionati. Aggiungo che le mie macchine Ubuntu 14.04 erano vulnerabili, ma ho letto l'articolo, fatta la prova, aggiornato i pacchetti ed ora non lo sono più: meno di 24 ore da quando mi è arrivato l'articolo, meno di 10 minuti da quando l'ho letto... vorrei vedere quanti SO proprietari godono di una simile celerità. Evil or Very Mad

Un'ultima cosa:
Citazione:
Uno strumento di verifica della vulnerabilità è disponibile presso Brandonpotter.com (il mio server Web è a posto, grazie del pensiero).

Anche il mio. Smile
Ma sulla bash del server il comando dà esito positivo (purtroppo non posso aggiornarlo perché è una vecchia Ubuntu 8.04, per cui il supporto è da tempo terminato).

quindi, delle due, o la frase
Citazione:
dato che consente di prendere il comando di un server Web non aggiornato semplicemente mandando un solo comando via Internet.

è un po' esagerata, oppure il test non funziona molto bene... Cool
Top
Profilo Invia messaggio privato
Gingus
Mortale devoto
Mortale devoto


Registrato: 11/03/08 14:08
Messaggi: 16

MessaggioInviato: 26 Set 2014 09:32    Oggetto: Rispondi citando

Ubuntu ha già corretto la falla con gli ultimi aggiornamenti
Top
Profilo Invia messaggio privato
{Jurij}
Ospite





MessaggioInviato: 26 Set 2014 09:41    Oggetto: Rispondi citando

Provato anche sul mio android rootato Cyanogen: vulnerabile.

...Chissà?
Top
gvf
Comune mortale
Comune mortale


Registrato: 26/09/14 09:59
Messaggi: 2

MessaggioInviato: 26 Set 2014 10:13    Oggetto: Rispondi citando

Mi sembra ci siano due gravi leggerezze nel considerare questo bug devastante:
Per quanto riguarda le macchine che forniscono servizi su internet, per sfruttare questo bug bisognerebbe che in primo luogo fosse raggiungibile la shell bash (cosa di per se deprecabile) in secondo luogo che l'utente con cui viene eseguita la shell abbia possibilità di fare danni (altra cosa deprecabile).
Vengono poi indicate come possibili obiettivi le nas i router e altri dispositivi simili. Non so i vostri ma suoi miei non mi risulta sia presente bash, che oltretutto in quell'ambito sarebbe abbastanza inutile...
Top
Profilo Invia messaggio privato
caiosempronio
Mortale adepto
Mortale adepto


Registrato: 05/08/08 12:47
Messaggi: 38

MessaggioInviato: 26 Set 2014 10:30    Oggetto: Rispondi citando

Questione molto interessante, ma per un profano come me potenzialmente allarmante. Utilizzo Linux mint 16 petra e da terminale mi da la vulnerabilità. Siccome gli aggiornamenti mi vengono proposti dal sistema e li scarico ed installo regolarmente non so proprio come sistemare questo problema. Qualcuno mi aiuta?
Grazie e buona giornata. Embarassed
Top
Profilo Invia messaggio privato
caiosempronio
Mortale adepto
Mortale adepto


Registrato: 05/08/08 12:47
Messaggi: 38

MessaggioInviato: 26 Set 2014 10:33    Oggetto: Rispondi citando

errore Crying or Very sad
Top
Profilo Invia messaggio privato
{nando}
Ospite





MessaggioInviato: 26 Set 2014 10:43    Oggetto: Rispondi citando

Su ubuntu 14.4 la falla e' gia' corretta, mentre il mio macbook con macOS 19.9.5, appena aggiornato, e' ancora vulnerabile. Meditiamo su Open Source Vs. Proprietary...
Top
anabasi
Amministratore
Amministratore


Registrato: 21/10/05 00:58
Messaggi: 14404
Residenza: Tra Alpi e Tanaro

MessaggioInviato: 26 Set 2014 11:10    Oggetto: Rispondi citando

@caiosempronio

La tua Mint ha un programma di aggiornamento, chiamato (in italiano o in inglese) in modo da essere riconoscibile, per esempio "updater" o simili. Individualo nei menù della tua distribuzione e lancialo. Provvederà da solo a effettuare l'aggiornamento dell'elenco pacchetti e avvisarti che ci sono alcuni pacchetti aggiornabili, tra i quali il pacchetto "bash". Dagli l'ok e lascia che aggiorni il sistema.

In alternativa, apri il terminale e dà i seguenti comandi, prima l'uno e poi l'altro:
sudo apt-get update
sudo apt-get dist-upgrade

Ti verrà chiesta la tua password utente.
Il primo comando effettua l'aggiornamento dell'elenco pacchetti e il secondo effettua l'aggiornamento del sistema.
Alla fine, chiudi il terminale digitando exit e premendo "invio".
Top
Profilo Invia messaggio privato
dragonand
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 30/03/06 15:32
Messaggi: 179

MessaggioInviato: 26 Set 2014 14:08    Oggetto: Rispondi citando

Citazione:
sudo apt-get dist-upgrade

Che esagerato! Laughing
Basta:
Codice:
sudo apt-get upgrade

Ciao
Top
Profilo Invia messaggio privato
caiosempronio
Mortale adepto
Mortale adepto


Registrato: 05/08/08 12:47
Messaggi: 38

MessaggioInviato: 26 Set 2014 15:14    Oggetto: Rispondi citando

anabasi, nel menù ho "gestione aggiornamenti" e dopo averlo lanciato manualmente mi dà "aggiornato" comunque era il programma che avevo segnalato come aggiornamento automatico, per sicurezza ho aggiornato anche da terminale. Rifatto il test mi dà ancora vulnerabile Evil or Very Mad
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 12221

MessaggioInviato: 26 Set 2014 15:22    Oggetto: Rispondi citando

Ha ragione Anabasi, l'hanno già agito, ho provato prima e dopo l'aggiornamento, prima mi dava la scritta vulnerabile, prova.
Ora mi da l'errore, ma la scritta "prova" c'è comunque, per intenderci esce questo:

bash: attenzione: x: ignoring function definition attempt
bash: errore nell'importazione della definizione di funzione per "x"
prova

Ma io l'ho aggiornato da "aggiornamenti software" (ubuntu), non ho dato i 2 (o 3) comandi, per aggiornare da terminale.

Ne ho anche un altro di linux debian sul portatile vecchio, quello lo aggiorno da terminale, tra qualche giorno provo anche li.
Top
Profilo Invia messaggio privato
TUX_73
Mortale devoto
Mortale devoto


Registrato: 11/12/06 20:12
Messaggi: 15

MessaggioInviato: 26 Set 2014 16:09    Oggetto: Rispondi citando

Fatto la prova il mio pinguino è ok Laughing
Top
Profilo Invia messaggio privato
ilcoro
Eroe
Eroe


Registrato: 30/10/06 17:52
Messaggi: 43

MessaggioInviato: 26 Set 2014 16:49    Oggetto: Rispondi

aggiornamento importante
[soprattutto per chi ha osx -server o meno- e ha applicato il patch segnalato da attivissimo pensando così di essere a posto].

debian ha reso disponibile il nuovo patch da qualche ora.
immagino anche le altre distro si stiano allineando (io uso solo debian).

e: occhio, non occorre necessariamente l'accesso alla porta 22 per inviare comandi bash.

e: non è affatto vero, come ha scritto qualcuno, che "in 20 anni non è mai stata scovata". anzi, è stata (ed è tutt'ora) molto utlilizzata (link)

non sottovalutate questo bug.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Linux Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi