BASH Security FIX: ShellShock BUG

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
lennynero
Linux 3.x
Linux 3.x
Messaggi: 641
Iscritto il: lun 3 mag 2004, 0:00
Nome Cognome: Luigi Picaro
Slackware: 15.0-x64
Kernel: 6.1
Desktop: Xfce-4.16
Località: Salerno

BASH Security FIX: ShellShock BUG

Messaggio da lennynero »

Salve a tutti,
mi preme segnalarvi il bugfix rilasciato ieri(sia per il ramo current che per la stable) per la Shell BASH.
Il problema riguarda gli attacchi da parte di script CGI malevoli che sfruttando la porta 80 per avere accesso alla shell del sistema.
Maggiori dettagli possono essere reperiti qui: http://cve.mitre.org/cgi-bin/cvename.cg ... -2014-7169. Il link e' indicato anche nel changelog di PAT;)
Ultima modifica di lennynero il lun 29 set 2014, 11:13, modificato 1 volta in totale.

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6629
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: BASH Security FIX: ShellShock BUG

Messaggio da targzeta »

Il nostro server è già aggiornato. La patch è uscita subito su tutte le Slackware supportate.

Emanuele
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggio da ilmich »

Dato che alcuni bug di sicurezza, mi pare non siano stati ancora fixati sto sperimentando la via drastica.. ovvero rimuovere totalmente la bash sostituendola con la tcsh.
Al momento il serverino su cui sto provando si avvia normalmente e non ho notato alcune stranezze in tal senso. A quanto pare gli script di avvio slackware sono compatibili con altre shell :)
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

Avatar utente
Ansa89
Iper Master
Iper Master
Messaggi: 2703
Iscritto il: mer 29 ago 2007, 17:57
Nome Cognome: Stefano Ansaloni
Slackware: 14.2 64bit
Kernel: 4.9.61
Desktop: XFCE 4.12
Località: Modena

Re: BASH Security FIX: ShellShock BUG

Messaggio da Ansa89 »

miklos ha scritto:A quanto pare gli script di avvio slackware sono compatibili con altre shell :)
Da quello che mi ricordo, tutti gli script di avvio di slackware vengono interpretati da "/bin/sh", quindi teoricamente qualsiasi shell basata su sh non dovrebbe dare problemi.
Tratto da wikipedia:
wikipedia ha scritto:La TENEX C Shell, o tcsh (pronunciato "T-shell") è una shell per sistemi Unix-like basata e compatibile con C shell (csh).
Stando a queste informazioni, tcsh deriva da csh, che a sua volta è compatibile con sh; pertanto tcsh dovrebbe interpretare senza problemi ogni script compatibile con sh.

Tuttavia è anche vero che tra il dire e il fare c'è di mezzo il mare e può capitare che qualche caratteristica di sh sia stata tralasciata e/o implementata male in tcsh; quindi la segnalazione è sicuramente un punto a favore di slackware.

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggio da ilmich »

Ansa89 ha scritto:quindi la segnalazione è sicuramente un punto a favore di slackware.
si.. tra l'altro il serverino è up da allora e si è avviato tutto tranquillamente :)
ci sono alcune differenze di 'stile' piu' che altro, tipo il completamento automatico dei comandi che premendo tab di appare sotto il prompt invece di apparire eppoi ripresentare il prompt nuovamente, pero' slackware sembra essere 99% compatibile.. ammetto di non aver provato slackpkg ancora, ma conoscendo Pat immagino non ci siano problemi di sorta
tra l'altro il passaggio è molto semplice, dato che come dicevi tu, gli script sono eseguiti da /bin/sh.
io sostanzialmente ho dovuto cambiare la shell con chsh ai vari utenti.. ricreare il link simbolico a /bin/sh facendolo puntare a tcsh e rimosso il pacchetto della bash.
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: BASH Security FIX: ShellShock BUG

Messaggio da ponce »

occhio che, a quel che ricordo da una chiaccherata fatta al riguardo con Robby Workman (non rammento dove, LQ o IRC), sia gli script d'avvio che quelli di amministrazione che gli SlackBuild contengono delle istruzioni specifiche di bash, quindi e' possibile che qualcosa non funzioni: la frase esatta di Robby che ricordo e' che far puntare un'altra shell diversa da bash al link /bin/sh era UNSUPPORTED.
detto questo, niente vieta di vivere pericolosamente... ;)

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggio da ilmich »

al momento nulla di grave all'orizzonte.. certo che se è UNSUPPORTED potrebbero pure togliere /bin/sh dagli script allora, perchè a me l'idea mi è venuta proprio per questo motivo, ovvero che non c'e' un riferimento preciso alla bash
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggio da ilmich »

a meno che ci siano cosi' pochi folli al mondo da sostituire la bash che magari un test del genere potrebbe essere utile a migliorare ulteriormente gli script e rendere slackware indipendente dalla shell (relativamente agli script di avvio/amministrazione) e in quel caso mi offro volontario :)
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: BASH Security FIX: ShellShock BUG

Messaggio da ponce »

premetto che non e' mia intenzione scoraggiare nessuno, pero'...

mi sembra, se ricordo bene, che qualche tempo fa una moderatrice di LinuxQuestions, Grapefruit Girl, si mise di buzzo buono e fece un lavorone incredibile cercando di trasformare tutti gli script specifici di Slackware in posix-compliant, pero' Pat non li modifico' con le sue correzioni: probabilmente penso' che, riguardando aspetti delicati del sistema, avrebbero dovuto essere testati per degli anni e da molte persone (come quelli che ci sono gia') con le modifiche suggerite prima di poter essere considerati privi di casini e poi forse anche perche' non ha senso supportare tutte le shell esistenti con cosi pochi maintainer (nel caso di Slackware, uno).
non so perche' ma e' qualche anno che Grapefruit Girl non si vede piu' sul forum.

questo trascorso comunque secondo me comporta che chi eventualmente si mettesse a fare un lavoro del genere, dovrebbe molto probabilmente mantenere le modifiche per qualche anno con diversa gente che gliele testa con csh, ksh, dash, ecc. prima di vederle entrare in Slackware (se mai ci entreranno...).

qualche tempo fa venne anche a me lo sghiribizzo di fare qualcosa del genere con gli script di SBo, ma gli altri amministratori mi invitarono a lasciar perdere (per il solito motivo)...

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggio da ilmich »

ponce ha scritto:premetto che non e' mia intenzione scoraggiare nessuno, pero'...
tranquillo... non mi scoraggio per cosi' poco :)
comunque qui non si tratta di fare un lavorone come quelli che hai citato.. ma eventualmente di ritoccare qualcosa anche perchè io slackware con tcsh l'ho avviata... non ha fatto una piega..
certo.. mo a provare lo script che ti cambia la tastiera.. o lo stesso slackpkg è sicuramente diverso.. pero' che slackware si avvia non è in discussione perchè sono la prova vivente che funziona :)
ora provo su un vecchio picci ad uso desktop e se anche l'90% degli script va senza intoppi sarei contento.. fermo restando che il mio tentativo riguarda un server che ha sicuramente software e problematiche di sicurezza ben diverse di un desktop (networkmanager o un server x non sono nemmeno installati) quindi oltre ad essere stato sicuramente fortunato, non ho la reale esigenza di eliminare la bash su un sistema ad uso 'casalingo'
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggio da ilmich »

aggiungo pure pero'... che per come stanno adesso le cose non ha senso avere tutte queste shell, se poi slackware non è totalmente compatibile perchè se decido di cambiarla per un qualsiasi motivo diverso dal mio eppoi non riesco ad installare i pacchetti trovo che una distribuzione che mira all'essenziale come slackware c'abbia un qualcosa di cui non ne capisco l'utilità (e sarebbe una delle prime volte)
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggio da ilmich »

ragazzi... cospargo il capo di cenere
miklos ha scritto:ovvero rimuovere totalmente la bash sostituendola con la tcsh.
difatti non ho utilizzato la tcsh, ma una shell chiamata zsh. replicando la storia su un altro picci con la tcsh non va proprio.
con la zsh invece va tutto persino slackpkg.. l'unica cosa che non va al momento è lo script che monta i device criptati (l'rc.S va in errore in quei punti)
provo a vedere di che si tratta, ma probabilmente come diceva ponce potrebbe aprirsi un vaso di pandora troppo grosso :(
peccato pero' :)
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggio da ilmich »

che poi pure questa c'ha i suoi bei shellshock problemi :)
ok come non detto.. sostituire la bash non ha senso se non per puro apprendimento
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

Avatar utente
marlavo
Linux 1.x
Linux 1.x
Messaggi: 180
Iscritto il: ven 2 lug 2010, 16:38
Nome Cognome: Marco Lavorini
Slackware: 15.0 x86_x64
Kernel: 6.6.21
Desktop: XFCE 4.18

Re: BASH Security FIX: ShellShock BUG

Messaggio da marlavo »

Offtopic: https://plus.google.com/+SamiLehtinen/posts/fJnqnzLjaTT
Provato di persona, funziona, se così si può dire :roll:
Mal comune...

Rispondi