nei giorni scorsi e' stato scoperto un bug estremamente
pericoloso in grado di compromettere seriamente la
sicurezza informatica di qualsiasi sistema Linux/Unix;
anche MacOsX e' ugualmente vulnerabile.
Il problema e' sicuramente presente in tutte quante le
distro ed interessa tutte le versioni indifferentemente.
la vulnerabilita' e' nota come BASHSHELL oppure SHELLSHOCK;
e' emerso che e' possibile passare alla Bash delle variabili
di ambiente "taroccate", ed in questo modo poi l'hacker
riesce ad ottenere un accesso illimitato con poteri di root
sono particolarmente vulnerabili ad attacchi esterni i web
servers Apache che usano CGI basate su Bash
le principali distro hanno gia' rilasciato le patches che
chiudono la falla
nei giorni scorsi e’ stato scoperto un bug estremamente
pericoloso in grado di compromettere seriamente la
sicurezza informatica di qualsiasi sistema Linux/Unix;
anche MacOsX e’ ugualmente vulnerabile.
On Fri, Sep 26, 2014 at 11:13:37AM +0200, a.furieri@lqt.it wrote:
sono particolarmente vulnerabili ad attacchi esterni i web
servers Apache che usano CGI basate su Bash
In realtà è molto peggio, è sufficiente eseguire una system() (anche se la shell di default
non fosse bash) sotto qualsiasi webapp 'canonica' per esempio in PHP per usare
tale vulnerabilità. Per evitare questo tipo di problemi il server andrebbe eseguito per esempio sotto una
root priva di bash o dovrebbe utilizzare altri metodi di hardening (cosa che
andrebbe comunque fatta in caso di usi 'promiscui' del server)
Anche quello è un sistema, ma a parte il fatto che mischiare le carte non è
mai buona policy, ci sono varie altre vulnerabilità corrette in LTS che
andrebbero comunque considerate.
An unaffected (or patched) system will output:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
ma io ottengo solo "this is a test" dopo aptitude update && aptitude
install bash && reboot,
nessun warning, mi chiedo il sistema è ancora vulnerabile?
La versione aggiornata ed installata è la 4.1-3+deb6u2,
Verifichero',
ma comunque i nostri servers della infrastruttura sono tutti su tomcat
non usano apache
per cui se anche ci sta il bacone, muore di inedia.
(hi hi hi)
Invece sono piu' preoccupato per un mio serverino di lavoro debian 7
che uso per testare le varie soluzioni su internet.
Ci sta che a questa ora parli gia' in cinese mandarino.
Ma se faccio un
apt-get update / upgrade
basta o si deve puntare delle patch particolari che non fanno parte
del repository usuale ?
A.
Il 26 settembre 2014 11:13, <a.furieri@lqt.it> ha scritto:
nei giorni scorsi e' stato scoperto un bug estremamente
pericoloso in grado di compromettere seriamente la
sicurezza informatica di qualsiasi sistema Linux/Unix;
anche MacOsX e' ugualmente vulnerabile.
Il problema e' sicuramente presente in tutte quante le
distro ed interessa tutte le versioni indifferentemente.
la vulnerabilita' e' nota come BASHSHELL oppure SHELLSHOCK;
e' emerso che e' possibile passare alla Bash delle variabili
di ambiente "taroccate", ed in questo modo poi l'hacker
riesce ad ottenere un accesso illimitato con poteri di root
sono particolarmente vulnerabili ad attacchi esterni i web
servers Apache che usano CGI basate su Bash
le principali distro hanno gia' rilasciato le patches che
chiudono la falla
_______________________________________________
Gfoss@lists.gfoss.it http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss
Questa e' una lista di discussione pubblica aperta a tutti.
I messaggi di questa lista non hanno relazione diretta con le posizioni
dell'Associazione GFOSS.it.
666+40 iscritti al 5.6.2014
--
-----------------
Andrea Peri
. . . . . . . . .
qwerty àèìòù
-----------------
On Fri, 26 Sep 2014 15:54:03 +0200, Andrea Peri wrote:
Verifichero',
ma comunque i nostri servers della infrastruttura sono tutti su tomcat
non usano apache per cui se anche ci sta il bacone, muore di inedia.
(hi hi hi)
mah ... il bug e' nella Bash ... non conosco esattamente come lavori
Tomcat per le CGI, ma se si appoggia alla Bash e' fritto anche lui
Invece sono piu' preoccupato per un mio serverino di lavoro debian 7
che uso per testare le varie soluzioni su internet.
Ci sta che a questa ora parli gia' in cinese mandarino.
Ma se faccio un
apt-get update / upgrade
basta o si deve puntare delle patch particolari che non fanno parte
del repository usuale ?
non ti do dire per Debian; comunque la mia VM XUbuntu 14.4 si e'
scaricata da sola la patch per Bash non appena ho lanciato gli
aggiornamenti automatici.
quindi immagino proprio che basti apt-get update
Infatti, ho provato il test e mi dava vulnerable.
dopo l'apt-get upgrade non da' piu' vulnerable.
Pero' l'articolo diceva che avrebbe dato un errore, la cosa non avviene.
Dopo la patch non d'a nessun errore eseguendo lo script, pero' non
compare piu' la frase "vulnerable".
Immagino che sia un buon segno.
A.
Il 26 settembre 2014 16:25, <a.furieri@lqt.it> ha scritto:
On Fri, 26 Sep 2014 15:54:03 +0200, Andrea Peri wrote:
Verifichero',
ma comunque i nostri servers della infrastruttura sono tutti su tomcat
non usano apache per cui se anche ci sta il bacone, muore di inedia.
(hi hi hi)
mah ... il bug e' nella Bash ... non conosco esattamente come lavori
Tomcat per le CGI, ma se si appoggia alla Bash e' fritto anche lui
Invece sono piu' preoccupato per un mio serverino di lavoro debian 7
che uso per testare le varie soluzioni su internet.
Ci sta che a questa ora parli gia' in cinese mandarino.
Ma se faccio un
apt-get update / upgrade
basta o si deve puntare delle patch particolari che non fanno parte
del repository usuale ?
non ti do dire per Debian; comunque la mia VM XUbuntu 14.4 si e'
scaricata da sola la patch per Bash non appena ho lanciato gli
aggiornamenti automatici.
quindi immagino proprio che basti apt-get update
ciao Sandro
--
-----------------
Andrea Peri
. . . . . . . . .
qwerty àèìòù
-----------------
infatti ho verificato poco fa' che con apt-get il vulnerable è scomparso.
Il 26 settembre 2014 16:30, Paolo Cavallini <cavallini@faunalia.it> ha scritto:
Il 26/09/2014 15:54, Andrea Peri ha scritto:
apt-get update / upgrade
basta o si deve puntare delle patch particolari che non fanno parte
del repository usuale ?
se hai una debian recente (da stable in qua), basta.
saluti.
--
Paolo Cavallini - www.faunalia.eu
Corsi QGIS e PostGIS: http://www.faunalia.eu/training.html
_______________________________________________
Gfoss@lists.gfoss.it http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss
Questa e' una lista di discussione pubblica aperta a tutti.
I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it.
666+40 iscritti al 5.6.2014
--
-----------------
Andrea Peri
. . . . . . . . .
qwerty àèìòù
-----------------
On Fri, Sep 26, 2014 at 04:31:43PM +0200, Andrea Peri wrote:
Pero' l'articolo diceva che avrebbe dato un errore, la cosa non avviene.
Dopo la patch non d'a nessun errore eseguendo lo script, pero' non
compare piu' la frase "vulnerable".
Immagino che sia un buon segno.
La diagnostica dipende dalla versione di bash. Considerato che il giochino
è in giro dal 2005, le varie versioni hanno comportamenti vari, una volta
introdotto il fix AFAIK.
An unaffected (or patched) system will output:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
ma io ottengo solo "this is a test" dopo aptitude update && aptitude
install bash && reboot,
nessun warning, mi chiedo il sistema è ancora vulnerabile?
La versione aggiornata ed installata è la 4.1-3+deb6u2,
Saluti!
--
Salvatore Larosa
linkedIn: http://linkedin.com/in/larosasalvatore
twitter: @lrssvt
skype: s.larosa
IRC: lrssvt on freenode
_______________________________________________
Gfoss@lists.gfoss.it http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss
Questa e' una lista di discussione pubblica aperta a tutti.
I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it.
666+40 iscritti al 5.6.2014
