Forum

Amici linari che sta succedendo,
sono preoccupato,
sembra una cosa seria questo bug!

Adesso faccio tutti gli aggiornamenti alla mia openSUSE...

Diciamo che è un bug piuttosto inquietante, anche perchè bash è così da anni!
L'ho appena testato su debian 6,7 e ubuntu, e in tutti i casi l'exploit funziona!
Comunque, allo stato attuale, se non hai servizi esposti su internet (Apache, Ssh ,) e sei dietro ad un firewall, non dovresti avere problemi!

Gaz ha scritto:Diciamo che è un bug piuttosto inquietante, anche perchè bash è così da anni!
L'ho appena testato su debian 6,7 e ubuntu, e in tutti i casi l'exploit funziona!
Comunque, allo stato attuale, se non hai servizi esposti su internet (Apache, Ssh ,) e sei dietro ad un firewall, non dovresti avere problemi!

Ho roba importante su diversi server,
e ci accedo con ssh

Mi sto cagando sotto

Potresti provare a cambiare momentaneamente la shell di default a tutti gli utenti dei servizi esposti, con per esempio la C shell ! Essendo la sintassi diversa , un exploit scritto in bash non dovrebbe essere eseguito! Poi ovviamente corri a patchare!

Gaz ha scritto: L'ho appena testato su debian 6,7 e ubuntu, e in tutti i casi l'exploit funziona!

Ciao a tutti. Sì, lo so sono nuovo, ma seguo sia il sito che il forum da un casino di tempo, solo che ero troppo pigro per iscrivermi . Se c'era una sezione per presentarsi scusate in anticipo.

Ho una domanda per Gaz. Siccome hai detto che che l'exploit funziona su Debian e Ubuntu, ti volevo chiedere se avevi usato questo come test (o qualcosa di simile):

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Perché questo con gli aggiornamenti di ieri e oggi ho verificato che è a posto sia su Debian 7 che Ubuntu 14.04. Oppure c'è qualche altro test?
Grazie, scusa se ti rompo.

PS
Naturalmente, ho postato il codice sopra perché ormai è abbondantemente di pubblico dominio.

.CP ha scritto:

Gaz ha scritto:
Ho una domanda per Gaz. Siccome hai detto che che l'exploit funziona su Debian e Ubuntu, ti volevo chiedere se avevi usato questo come test (o qualcosa di simile):

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Perché questo con gli aggiornamenti di ieri e oggi ho verificato che è a posto sia su Debian 7 che Ubuntu 14.04. Oppure c'è qualche altro test?
Grazie, scusa se ti rompo.

PS
Naturalmente, ho postato il codice sopra perché ormai è abbondantemente di pubblico dominio.

Nessun problema!
Si ho usato proprio una stringa di codice simile a quella!
Mi ero spiegato male : io sto parlando solo di distribuzioni non aggiornate! La mia arch linux , per esempio non risente il problema, visto che l'aggiorno costantemente! Quelle di cui parlavo sono distro ad-hoc , che sono difficilmente aggiornabili a causa di dipendenze strane!

Ok, grazie mille

Mi stavo già a far venire un'accidente..

Ahaha , scusami !

Mi è appena arrivata una mail di Aruba,
per ricordarmi che se ho un server dedicato mi devo arrangiare

Gaz ha scritto:Ahaha , scusami !

eheh non ti preoccupare, era così per scherzare..

dobermann77 ha scritto:Mi è appena arrivata una mail di Aruba,
per ricordarmi che se ho un server dedicato mi devo arrangiare

Guarda, alla fine sembra che basti installare gli aggiornamenti di sicurezza. Per questo chiedevo a Gaz, perché da quello che è emerso finora, se non c'è qualcos'altro, non sembra tutta 'sta fine del mondo.