SHELLSHOCK!

[Jena Plisskin]

Ho googlato un poco, in effetti i più pronti sono stati debian e redhat. Cmq i consigli sono quella di non usare script in cgi per i server web e usare un'altra shell. La pagina del forum linkata parla della patch #026 fornita dagli sviluppatori di Bash

http://www.linuxquestions.org/questions ... page5.html

se te la senti puoi compilartela, ma io attiverei i minimi consigli di sicurezza ed attenderei l'rpm. Mi preoccupa android usa la bash ? perche c'è un baco anche su dhcp, sempre sullo stesso link.

[magooz]

Su Debian testing c'è stato l'update domenica.

Per quanto ne so, Android usa mksh...

[dobermann77]

Occhio debianari, controllate bene con questa stringa!

Codice: Seleziona tutto

cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo

Se mostra la data, il problema esiste ancora!
Anche OpenSUSE ha patchato da un bel pezzo, ma solo PARZIALMENTE!

Cyanogen usa bash.

[magooz]

Confermo che su Debian testing il problema è risolto, perché viene visualizzata la stringa "date" e non la data.

[dobermann77]

Il bug peggiore degli ultimi anni
http://www.zdnet.com/shellshock-makes-h ... 000034143/

[Jena Plisskin]

Per me Heartbleed è peggio. Il problema della bash è grave ma devi aver avuto già un accesso illegale. Facilita la vita ma in parte il guaio è già avvenuto. Il bug dell SSL ha messo in crisi i siti web, ovviamente tutti esposti quindi tutti raggiungibili. Di HB si hanno dei test positivi di aggressione simulata, del bug della Bash non ci sono test positivi, almeno io non li ho trovati.

Resta un problema grave, imho.