Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
ShellShock, falla critica in Linux e Mac OS X
Nuovo argomento   Rispondi    Indice del forum -> Linux
Precedente :: Successivo  
Autore Messaggio
gvf
Comune mortale
Comune mortale


Registrato: 26/09/14 09:59
Messaggi: 2

MessaggioInviato: 26 Set 2014 10:13    Oggetto: Rispondi citando

Mi sembra ci siano due gravi leggerezze nel considerare questo bug devastante:
Per quanto riguarda le macchine che forniscono servizi su internet, per sfruttare questo bug bisognerebbe che in primo luogo fosse raggiungibile la shell bash (cosa di per se deprecabile) in secondo luogo che l'utente con cui viene eseguita la shell abbia possibilità di fare danni (altra cosa deprecabile).
Vengono poi indicate come possibili obiettivi le nas i router e altri dispositivi simili. Non so i vostri ma suoi miei non mi risulta sia presente bash, che oltretutto in quell'ambito sarebbe abbastanza inutile...
Top
Profilo Invia messaggio privato
caiosempronio
Mortale adepto
Mortale adepto


Registrato: 05/08/08 12:47
Messaggi: 38

MessaggioInviato: 26 Set 2014 10:30    Oggetto: Rispondi citando

Questione molto interessante, ma per un profano come me potenzialmente allarmante. Utilizzo Linux mint 16 petra e da terminale mi da la vulnerabilità. Siccome gli aggiornamenti mi vengono proposti dal sistema e li scarico ed installo regolarmente non so proprio come sistemare questo problema. Qualcuno mi aiuta?
Grazie e buona giornata. Embarassed
Top
Profilo Invia messaggio privato
caiosempronio
Mortale adepto
Mortale adepto


Registrato: 05/08/08 12:47
Messaggi: 38

MessaggioInviato: 26 Set 2014 10:33    Oggetto: Rispondi citando

errore Crying or Very sad
Top
Profilo Invia messaggio privato
{nando}
Ospite





MessaggioInviato: 26 Set 2014 10:43    Oggetto: Rispondi citando

Su ubuntu 14.4 la falla e' gia' corretta, mentre il mio macbook con macOS 19.9.5, appena aggiornato, e' ancora vulnerabile. Meditiamo su Open Source Vs. Proprietary...
Top
anabasi
Amministratore
Amministratore


Registrato: 21/10/05 00:58
Messaggi: 14404
Residenza: Tra Alpi e Tanaro

MessaggioInviato: 26 Set 2014 11:10    Oggetto: Rispondi citando

@caiosempronio

La tua Mint ha un programma di aggiornamento, chiamato (in italiano o in inglese) in modo da essere riconoscibile, per esempio "updater" o simili. Individualo nei menù della tua distribuzione e lancialo. Provvederà da solo a effettuare l'aggiornamento dell'elenco pacchetti e avvisarti che ci sono alcuni pacchetti aggiornabili, tra i quali il pacchetto "bash". Dagli l'ok e lascia che aggiorni il sistema.

In alternativa, apri il terminale e dà i seguenti comandi, prima l'uno e poi l'altro:
sudo apt-get update
sudo apt-get dist-upgrade

Ti verrà chiesta la tua password utente.
Il primo comando effettua l'aggiornamento dell'elenco pacchetti e il secondo effettua l'aggiornamento del sistema.
Alla fine, chiudi il terminale digitando exit e premendo "invio".
Top
Profilo Invia messaggio privato
dragonand
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 30/03/06 15:32
Messaggi: 179

MessaggioInviato: 26 Set 2014 14:08    Oggetto: Rispondi citando

Citazione:
sudo apt-get dist-upgrade

Che esagerato! Laughing
Basta:
Codice:
sudo apt-get upgrade

Ciao
Top
Profilo Invia messaggio privato
caiosempronio
Mortale adepto
Mortale adepto


Registrato: 05/08/08 12:47
Messaggi: 38

MessaggioInviato: 26 Set 2014 15:14    Oggetto: Rispondi citando

anabasi, nel menù ho "gestione aggiornamenti" e dopo averlo lanciato manualmente mi dà "aggiornato" comunque era il programma che avevo segnalato come aggiornamento automatico, per sicurezza ho aggiornato anche da terminale. Rifatto il test mi dà ancora vulnerabile Evil or Very Mad
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 12221

MessaggioInviato: 26 Set 2014 15:22    Oggetto: Rispondi citando

Ha ragione Anabasi, l'hanno già agito, ho provato prima e dopo l'aggiornamento, prima mi dava la scritta vulnerabile, prova.
Ora mi da l'errore, ma la scritta "prova" c'è comunque, per intenderci esce questo:

bash: attenzione: x: ignoring function definition attempt
bash: errore nell'importazione della definizione di funzione per "x"
prova

Ma io l'ho aggiornato da "aggiornamenti software" (ubuntu), non ho dato i 2 (o 3) comandi, per aggiornare da terminale.

Ne ho anche un altro di linux debian sul portatile vecchio, quello lo aggiorno da terminale, tra qualche giorno provo anche li.
Top
Profilo Invia messaggio privato
TUX_73
Mortale devoto
Mortale devoto


Registrato: 11/12/06 20:12
Messaggi: 15

MessaggioInviato: 26 Set 2014 16:09    Oggetto: Rispondi citando

Fatto la prova il mio pinguino è ok Laughing
Top
Profilo Invia messaggio privato
ilcoro
Eroe
Eroe


Registrato: 30/10/06 17:52
Messaggi: 43

MessaggioInviato: 26 Set 2014 16:49    Oggetto: Rispondi citando

aggiornamento importante
[soprattutto per chi ha osx -server o meno- e ha applicato il patch segnalato da attivissimo pensando così di essere a posto].

debian ha reso disponibile il nuovo patch da qualche ora.
immagino anche le altre distro si stiano allineando (io uso solo debian).

e: occhio, non occorre necessariamente l'accesso alla porta 22 per inviare comandi bash.

e: non è affatto vero, come ha scritto qualcuno, che "in 20 anni non è mai stata scovata". anzi, è stata (ed è tutt'ora) molto utlilizzata (link)

non sottovalutate questo bug.
Top
Profilo Invia messaggio privato
wallyweek
Mortale adepto
Mortale adepto


Registrato: 17/12/07 10:06
Messaggi: 33

MessaggioInviato: 27 Set 2014 09:14    Oggetto: Rispondi citando

Citazione:
e: non è affatto vero, come ha scritto qualcuno, che "in 20 anni non è mai stata scovata". anzi, è stata (ed è tutt'ora) molto utlilizzata


ho letto l'articolo del link, ma conferma che gli attacchi sono cominciati dopo la pubblicazione dello script che ha rivelato la presenza del problema.

Citazione:
occhio, non occorre necessariamente l'accesso alla porta 22 per inviare comandi bash.

qui effettivamente sono stato un po' troppo leggero nel valutare quanto ho letto e mi sono fermato alla superficie senza approfondire. Embarassed

Molto interessante l'articolo citato a sua volta in quello che hai riportato tu:
link
che spiega in dettaglio il problema: in sostanza sono vulnerabili i server che lancino script CGI (ma ne esistono ancora?!) o PHP (e potenzialmente altri linguaggi).

Sono invece immuni molti dei dispositivi embedded: tutti quelli che non hanno bash come shell, perché com'è noto bash non è l'unica disponibile anche se è la più diffusa in ambiente server/desktop.
Top
Profilo Invia messaggio privato
caiosempronio
Mortale adepto
Mortale adepto


Registrato: 05/08/08 12:47
Messaggi: 38

MessaggioInviato: 27 Set 2014 15:07    Oggetto: Rispondi citando

Mi rifaccio vivo perchè "sono ancora vulnerabile" nonostante aver seguito i consigli per rimediare al problema. Crying or Very sad . Ho verificato nei pacchetti installati e ho trovato installati bash e bash-complation e non bash-doc, può voler dire qualcosa?
ricordo che uso mint 16 petra.
Grazie x eventuali aiuti.
Laughing
Top
Profilo Invia messaggio privato
anabasi
Amministratore
Amministratore


Registrato: 21/10/05 00:58
Messaggi: 14404
Residenza: Tra Alpi e Tanaro

MessaggioInviato: 29 Set 2014 09:19    Oggetto: Rispondi citando

@caiosempronio

Essendo una falla critica, tutte le distribuzioni stanno aggiornando i propri repositories con il pacchetto corretto. Può essere che Mint, per la sua Petra, non abbia ancora provveduto; se è così, lo farà in tempi rapidi, o magari lo ha già fatto. Ripeti l'aggiornamento, controllando in Mint Update che tra i pacchetti che vengono proposti per l'aggiornamento ci sia anche il pacchetto "bash" e che sia selezionato per l'aggiornamento. Oppure, da terminale ripeti l'installazione di "bash", dando i due comandi uno dopo l'altro:
sudo apt-get update
sudo apt-get install bash
Top
Profilo Invia messaggio privato
anabasi
Amministratore
Amministratore


Registrato: 21/10/05 00:58
Messaggi: 14404
Residenza: Tra Alpi e Tanaro

MessaggioInviato: 29 Set 2014 09:26    Oggetto: Rispondi citando

@dragonand

E' vero, un semplice "upgrade" sarebbe sufficiente per l'aggiornamento del pacchetto "bash".
Visto che caiosempronio è abituato a effettuare gli aggiornamenti usando Mint Update, e ricordando che la Mint installata da caiosempronio è una derivata di Ubuntu e che il gestore grafico degli aggiornamenti di Ubuntu è di solito configurato per eseguire un "dist-upgrade", gli ho proposto la stessa operazione.
Top
Profilo Invia messaggio privato
MK66
Moderatore Sistemi Operativi
Moderatore Sistemi Operativi


Registrato: 17/10/06 22:24
Messaggi: 8616
Residenza: dentro una cassa sotto 3 metri di terra...

MessaggioInviato: 29 Set 2014 14:55    Oggetto: Rispondi citando

Mint ha un sistema di aggiornamenti particolare, visto che divide in fasce di priorità, ma questo particolare aggiornamento dovrebbe averlo già fatto come ha già fatto anche Ubuntu.
Molto probabilmente, il vero problema è che:
caiosempronio ha scritto:
ricordo che uso mint 16 petra

mi sa che difficilmente otterrai un aggiornamento da parte di Mint: Petra era basata su Ubuntu 13.10, che non è più supportata (il supporto era di 9 mesi, quindi da ottobre 2013 a luglio 2014)
Top
Profilo Invia messaggio privato HomePage
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1758
Residenza: EU

MessaggioInviato: 29 Set 2014 21:02    Oggetto: Rispondi citando

Una domanda agli esperti dell'argomento
Come fare per capire se gli apparecchi non pc linux-based (p.es. router, nas, ecc.) sono vulnerabili?
Top
Profilo Invia messaggio privato
Luko
Dio maturo
Dio maturo


Registrato: 07/05/09 11:35
Messaggi: 1001

MessaggioInviato: 30 Set 2014 08:09    Oggetto: Rispondi

dragonand ha scritto:
Citazione:
sudo apt-get dist-upgrade

Che esagerato! Laughing
Basta:
Codice:
sudo apt-get upgrade

Ciao

A livello teorico dist-upgrade a differenza del semplice comando upgrade permette di rimuovere ed installare nuove dipendenze (se il pacchette ne necessita ovviamente).
A livello pratico con il solo upgrade, se ci sono dipendenze, il sistema vi chiederà se volete installare/rimuovere le dipendenze ed a questo punto darà per voi il comando dist-upgrade (almeno da quel che so io Razz).
Top
Profilo Invia messaggio privato MSN
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Linux Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi