Precedente :: Successivo |
Autore |
Messaggio |
gvf Comune mortale
Registrato: 26/09/14 09:59 Messaggi: 2
|
Inviato: 26 Set 2014 10:13 Oggetto: |
|
|
Mi sembra ci siano due gravi leggerezze nel considerare questo bug devastante:
Per quanto riguarda le macchine che forniscono servizi su internet, per sfruttare questo bug bisognerebbe che in primo luogo fosse raggiungibile la shell bash (cosa di per se deprecabile) in secondo luogo che l'utente con cui viene eseguita la shell abbia possibilità di fare danni (altra cosa deprecabile).
Vengono poi indicate come possibili obiettivi le nas i router e altri dispositivi simili. Non so i vostri ma suoi miei non mi risulta sia presente bash, che oltretutto in quell'ambito sarebbe abbastanza inutile... |
|
Top |
|
|
caiosempronio Mortale adepto
Registrato: 05/08/08 12:47 Messaggi: 38
|
Inviato: 26 Set 2014 10:30 Oggetto: |
|
|
Questione molto interessante, ma per un profano come me potenzialmente allarmante. Utilizzo Linux mint 16 petra e da terminale mi da la vulnerabilità. Siccome gli aggiornamenti mi vengono proposti dal sistema e li scarico ed installo regolarmente non so proprio come sistemare questo problema. Qualcuno mi aiuta?
Grazie e buona giornata. |
|
Top |
|
|
caiosempronio Mortale adepto
Registrato: 05/08/08 12:47 Messaggi: 38
|
Inviato: 26 Set 2014 10:33 Oggetto: |
|
|
errore |
|
Top |
|
|
{nando} Ospite
|
Inviato: 26 Set 2014 10:43 Oggetto: |
|
|
Su ubuntu 14.4 la falla e' gia' corretta, mentre il mio macbook con macOS 19.9.5, appena aggiornato, e' ancora vulnerabile. Meditiamo su Open Source Vs. Proprietary... |
|
Top |
|
|
anabasi Amministratore
Registrato: 21/10/05 00:58 Messaggi: 14404 Residenza: Tra Alpi e Tanaro
|
Inviato: 26 Set 2014 11:10 Oggetto: |
|
|
@caiosempronio
La tua Mint ha un programma di aggiornamento, chiamato (in italiano o in inglese) in modo da essere riconoscibile, per esempio "updater" o simili. Individualo nei menù della tua distribuzione e lancialo. Provvederà da solo a effettuare l'aggiornamento dell'elenco pacchetti e avvisarti che ci sono alcuni pacchetti aggiornabili, tra i quali il pacchetto "bash". Dagli l'ok e lascia che aggiorni il sistema.
In alternativa, apri il terminale e dà i seguenti comandi, prima l'uno e poi l'altro:
sudo apt-get update
sudo apt-get dist-upgrade
Ti verrà chiesta la tua password utente.
Il primo comando effettua l'aggiornamento dell'elenco pacchetti e il secondo effettua l'aggiornamento del sistema.
Alla fine, chiudi il terminale digitando exit e premendo "invio". |
|
Top |
|
|
dragonand Eroe in grazia degli dei
Registrato: 30/03/06 15:32 Messaggi: 179
|
Inviato: 26 Set 2014 14:08 Oggetto: |
|
|
Citazione: | sudo apt-get dist-upgrade |
Che esagerato!
Basta: Codice: | sudo apt-get upgrade |
Ciao |
|
Top |
|
|
caiosempronio Mortale adepto
Registrato: 05/08/08 12:47 Messaggi: 38
|
Inviato: 26 Set 2014 15:14 Oggetto: |
|
|
anabasi, nel menù ho "gestione aggiornamenti" e dopo averlo lanciato manualmente mi dà "aggiornato" comunque era il programma che avevo segnalato come aggiornamento automatico, per sicurezza ho aggiornato anche da terminale. Rifatto il test mi dà ancora vulnerabile |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12221
|
Inviato: 26 Set 2014 15:22 Oggetto: |
|
|
Ha ragione Anabasi, l'hanno già agito, ho provato prima e dopo l'aggiornamento, prima mi dava la scritta vulnerabile, prova.
Ora mi da l'errore, ma la scritta "prova" c'è comunque, per intenderci esce questo:
bash: attenzione: x: ignoring function definition attempt
bash: errore nell'importazione della definizione di funzione per "x"
prova
Ma io l'ho aggiornato da "aggiornamenti software" (ubuntu), non ho dato i 2 (o 3) comandi, per aggiornare da terminale.
Ne ho anche un altro di linux debian sul portatile vecchio, quello lo aggiorno da terminale, tra qualche giorno provo anche li. |
|
Top |
|
|
TUX_73 Mortale devoto
Registrato: 11/12/06 20:12 Messaggi: 15
|
Inviato: 26 Set 2014 16:09 Oggetto: |
|
|
Fatto la prova il mio pinguino è ok |
|
Top |
|
|
ilcoro Eroe
Registrato: 30/10/06 17:52 Messaggi: 43
|
Inviato: 26 Set 2014 16:49 Oggetto: |
|
|
aggiornamento importante
[soprattutto per chi ha osx -server o meno- e ha applicato il patch segnalato da attivissimo pensando così di essere a posto].
debian ha reso disponibile il nuovo patch da qualche ora.
immagino anche le altre distro si stiano allineando (io uso solo debian).
e: occhio, non occorre necessariamente l'accesso alla porta 22 per inviare comandi bash.
e: non è affatto vero, come ha scritto qualcuno, che "in 20 anni non è mai stata scovata". anzi, è stata (ed è tutt'ora) molto utlilizzata (link)
non sottovalutate questo bug. |
|
Top |
|
|
wallyweek Mortale adepto
Registrato: 17/12/07 10:06 Messaggi: 33
|
Inviato: 27 Set 2014 09:14 Oggetto: |
|
|
Citazione: | e: non è affatto vero, come ha scritto qualcuno, che "in 20 anni non è mai stata scovata". anzi, è stata (ed è tutt'ora) molto utlilizzata |
ho letto l'articolo del link, ma conferma che gli attacchi sono cominciati dopo la pubblicazione dello script che ha rivelato la presenza del problema.
Citazione: | occhio, non occorre necessariamente l'accesso alla porta 22 per inviare comandi bash. |
qui effettivamente sono stato un po' troppo leggero nel valutare quanto ho letto e mi sono fermato alla superficie senza approfondire.
Molto interessante l'articolo citato a sua volta in quello che hai riportato tu:
link
che spiega in dettaglio il problema: in sostanza sono vulnerabili i server che lancino script CGI (ma ne esistono ancora?!) o PHP (e potenzialmente altri linguaggi).
Sono invece immuni molti dei dispositivi embedded: tutti quelli che non hanno bash come shell, perché com'è noto bash non è l'unica disponibile anche se è la più diffusa in ambiente server/desktop. |
|
Top |
|
|
caiosempronio Mortale adepto
Registrato: 05/08/08 12:47 Messaggi: 38
|
Inviato: 27 Set 2014 15:07 Oggetto: |
|
|
Mi rifaccio vivo perchè "sono ancora vulnerabile" nonostante aver seguito i consigli per rimediare al problema. . Ho verificato nei pacchetti installati e ho trovato installati bash e bash-complation e non bash-doc, può voler dire qualcosa?
ricordo che uso mint 16 petra.
Grazie x eventuali aiuti.
|
|
Top |
|
|
anabasi Amministratore
Registrato: 21/10/05 00:58 Messaggi: 14404 Residenza: Tra Alpi e Tanaro
|
Inviato: 29 Set 2014 09:19 Oggetto: |
|
|
@caiosempronio
Essendo una falla critica, tutte le distribuzioni stanno aggiornando i propri repositories con il pacchetto corretto. Può essere che Mint, per la sua Petra, non abbia ancora provveduto; se è così, lo farà in tempi rapidi, o magari lo ha già fatto. Ripeti l'aggiornamento, controllando in Mint Update che tra i pacchetti che vengono proposti per l'aggiornamento ci sia anche il pacchetto "bash" e che sia selezionato per l'aggiornamento. Oppure, da terminale ripeti l'installazione di "bash", dando i due comandi uno dopo l'altro:
sudo apt-get update
sudo apt-get install bash |
|
Top |
|
|
anabasi Amministratore
Registrato: 21/10/05 00:58 Messaggi: 14404 Residenza: Tra Alpi e Tanaro
|
Inviato: 29 Set 2014 09:26 Oggetto: |
|
|
@dragonand
E' vero, un semplice "upgrade" sarebbe sufficiente per l'aggiornamento del pacchetto "bash".
Visto che caiosempronio è abituato a effettuare gli aggiornamenti usando Mint Update, e ricordando che la Mint installata da caiosempronio è una derivata di Ubuntu e che il gestore grafico degli aggiornamenti di Ubuntu è di solito configurato per eseguire un "dist-upgrade", gli ho proposto la stessa operazione. |
|
Top |
|
|
MK66 Moderatore Sistemi Operativi
Registrato: 17/10/06 22:24 Messaggi: 8616 Residenza: dentro una cassa sotto 3 metri di terra...
|
Inviato: 29 Set 2014 14:55 Oggetto: |
|
|
Mint ha un sistema di aggiornamenti particolare, visto che divide in fasce di priorità, ma questo particolare aggiornamento dovrebbe averlo già fatto come ha già fatto anche Ubuntu.
Molto probabilmente, il vero problema è che:
caiosempronio ha scritto: | ricordo che uso mint 16 petra |
mi sa che difficilmente otterrai un aggiornamento da parte di Mint: Petra era basata su Ubuntu 13.10, che non è più supportata (il supporto era di 9 mesi, quindi da ottobre 2013 a luglio 2014) |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 29 Set 2014 21:02 Oggetto: |
|
|
Una domanda agli esperti dell'argomento
Come fare per capire se gli apparecchi non pc linux-based (p.es. router, nas, ecc.) sono vulnerabili? |
|
Top |
|
|
Luko Dio maturo
Registrato: 07/05/09 11:35 Messaggi: 1001
|
Inviato: 30 Set 2014 08:09 Oggetto: |
|
|
dragonand ha scritto: | Citazione: | sudo apt-get dist-upgrade |
Che esagerato!
Basta: Codice: | sudo apt-get upgrade |
Ciao |
A livello teorico dist-upgrade a differenza del semplice comando upgrade permette di rimuovere ed installare nuove dipendenze (se il pacchette ne necessita ovviamente).
A livello pratico con il solo upgrade, se ci sono dipendenze, il sistema vi chiederà se volete installare/rimuovere le dipendenze ed a questo punto darà per voi il comando dist-upgrade (almeno da quel che so io ). |
|
Top |
|
|
|