Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
ShellShock, falla critica in Linux e Mac OS X
Nuovo argomento   Rispondi    Indice del forum -> Linux
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 25 Set 2014 08:27    Oggetto: ShellShock, falla critica in Linux e Mac OS X Rispondi citando

Leggi l'articolo ShellShock, falla critica in Linux e Mac OS X
E altri sistemi operativi basati su Unix.
Top
{Nicola}
Ospite





MessaggioInviato: 25 Set 2014 08:47    Oggetto: Rispondi citando

Attenzione: il comando va inserito senza il '$' mostrato (che è il simbolo della shell bash). Altrimenti l'errore ci sarà di sicuro ma a causa di quello e non del bug.
Top
Zeus
Amministratore
Amministratore


Registrato: 21/10/00 01:01
Messaggi: 12676
Residenza: San Junipero

MessaggioInviato: 25 Set 2014 08:55    Oggetto: Rispondi citando

Giusta precisazione (anche se in genere chi usa la shell Unix dovrebbe saperlo)
Top
Profilo Invia messaggio privato HomePage
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 6833

MessaggioInviato: 25 Set 2014 10:37    Oggetto: Rispondi citando

Grazie della precisazione Nicola, io da brava utonta avrei fatto un bel copia e incolla...anche se leggendo i vari link si capisce che il $ non ci va.
Ma come mai alcuni non avrebbero tale bug? Dipende dalla distro che si utilizza?
Top
Profilo Invia messaggio privato
anabasi
Amministratore
Amministratore


Registrato: 21/10/05 00:58
Messaggi: 12057
Residenza: Tra Alpi e Tanaro

MessaggioInviato: 25 Set 2014 19:32    Oggetto: Rispondi citando

In realtà, l'inserimento del carattere "$" o del carattere "#" prima del comando è una convenzione utile per far capire a chi legge che dovrà dare il comando, rispettivamente, come utente normale o come root. (E sono gli stessi caratteri che avvisano chi opera al terminale che sta lavorando come utente o come root)

La falla, scoperta, è stata neutralizzata con le opportune modifiche al pacchetto "bash" che è stato man mano incluso nei repositories delle distribuzioni, pertanto dovrebbe essere sufficiente effettuare un aggiornamento al sistema operativo e, per conferma, effettuare da terminale la verifica proposta da Attivissimo. Per esempio, le distribuzioni che sto utilizzando (Debian, Ubuntu e loro derivate) hanno il pacchetto aggiornato.
Top
Profilo Invia messaggio privato
bandreabis
Eroe
Eroe


Registrato: 02/11/05 10:31
Messaggi: 49

MessaggioInviato: 25 Set 2014 22:27    Oggetto: Rispondi citando

E si sa quali versioni di bash sono vulnerabili?
Top
Profilo Invia messaggio privato
milux
Mortale adepto
Mortale adepto


Registrato: 22/04/08 06:09
Messaggi: 33

MessaggioInviato: 26 Set 2014 05:10    Oggetto: Rispondi citando

qui nuova iorch, vi parla Ruggero Orlando : nella debian settepuntosei ueezi, il comando ha dato esito negativo Laughing
Top
Profilo Invia messaggio privato
wallyweek
Mortale pio
Mortale pio


Registrato: 17/12/07 10:06
Messaggi: 28

MessaggioInviato: 26 Set 2014 07:44    Oggetto: Rispondi citando

Oh... che bello! era un po' che non vedevo un po' di sano FUD... Wink

A parte gli scherzi, nonostante Paolo Attivissimo sia sempre molto attento a documentarsi, in questo caso mi perdonerà se aggiungo qualche considerazione importante. Cool

La falla è potenzialmente devastante, a patto che si abbia accesso diretto alla macchina in ssh (il telnet non lo considero nemmeno, dato che nessuno sano di mente lo userebbe ancora su un server esposto, nel XXI secolo). Rolling Eyes

In considerazione di questo, come possono danneggiarmi tv, router, webcam ecc. ai quali non ho accesso diretto nemmeno come legittimo proprietario?! Confused

Citazione:
Secondo alcune indicazioni, giace indisturbata da circa vent'anni: un fatterello che non mancherà di riaprire il dibattito sui pro e contro dell'open source in termini di sicurezza.

Rivoltando il discorso, si può anche notare che se in vent'anni nessuno l'ha individuata, evidentemente non era così visibile, nemmeno ai malintenzionati. Aggiungo che le mie macchine Ubuntu 14.04 erano vulnerabili, ma ho letto l'articolo, fatta la prova, aggiornato i pacchetti ed ora non lo sono più: meno di 24 ore da quando mi è arrivato l'articolo, meno di 10 minuti da quando l'ho letto... vorrei vedere quanti SO proprietari godono di una simile celerità. Evil or Very Mad

Un'ultima cosa:
Citazione:
Uno strumento di verifica della vulnerabilità è disponibile presso Brandonpotter.com (il mio server Web è a posto, grazie del pensiero).

Anche il mio. Smile
Ma sulla bash del server il comando dà esito positivo (purtroppo non posso aggiornarlo perché è una vecchia Ubuntu 8.04, per cui il supporto è da tempo terminato).

quindi, delle due, o la frase
Citazione:
dato che consente di prendere il comando di un server Web non aggiornato semplicemente mandando un solo comando via Internet.

è un po' esagerata, oppure il test non funziona molto bene... Cool
Top
Profilo Invia messaggio privato
Gingus
Mortale devoto
Mortale devoto


Registrato: 11/03/08 14:08
Messaggi: 16

MessaggioInviato: 26 Set 2014 09:32    Oggetto: Rispondi citando

Ubuntu ha già corretto la falla con gli ultimi aggiornamenti
Top
Profilo Invia messaggio privato
{Jurij}
Ospite





MessaggioInviato: 26 Set 2014 09:41    Oggetto: Rispondi

Provato anche sul mio android rootato Cyanogen: vulnerabile.

...Chissà?
Top
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Linux Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2, 3  Successivo
Pagina 1 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi