BASH Security FIX: ShellShock BUG
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- lennynero
- Linux 3.x
- Messaggi: 641
- Iscritto il: lun 3 mag 2004, 0:00
- Nome Cognome: Luigi Picaro
- Slackware: 15.0-x64
- Kernel: 6.1
- Desktop: Xfce-4.16
- Località: Salerno
BASH Security FIX: ShellShock BUG
Salve a tutti,
mi preme segnalarvi il bugfix rilasciato ieri(sia per il ramo current che per la stable) per la Shell BASH.
Il problema riguarda gli attacchi da parte di script CGI malevoli che sfruttando la porta 80 per avere accesso alla shell del sistema.
Maggiori dettagli possono essere reperiti qui: http://cve.mitre.org/cgi-bin/cvename.cg ... -2014-7169. Il link e' indicato anche nel changelog di PAT;)
mi preme segnalarvi il bugfix rilasciato ieri(sia per il ramo current che per la stable) per la Shell BASH.
Il problema riguarda gli attacchi da parte di script CGI malevoli che sfruttando la porta 80 per avere accesso alla shell del sistema.
Maggiori dettagli possono essere reperiti qui: http://cve.mitre.org/cgi-bin/cvename.cg ... -2014-7169. Il link e' indicato anche nel changelog di PAT;)
Ultima modifica di lennynero il lun 29 set 2014, 11:13, modificato 1 volta in totale.
- targzeta
- Iper Master
- Messaggi: 6631
- Iscritto il: gio 3 nov 2005, 14:05
- Nome Cognome: Emanuele Tomasi
- Slackware: 64-current
- Kernel: latest stable
- Desktop: IceWM
- Località: Carpignano Sal. (LE) <-> Pisa
Re: BASH Security FIX: ShellShock BUG
Il nostro server è già aggiornato. La patch è uscita subito su tutte le Slackware supportate.
Emanuele
Emanuele
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: BASH Security FIX: ShellShock BUG
Dato che alcuni bug di sicurezza, mi pare non siano stati ancora fixati sto sperimentando la via drastica.. ovvero rimuovere totalmente la bash sostituendola con la tcsh.
Al momento il serverino su cui sto provando si avvia normalmente e non ho notato alcune stranezze in tal senso. A quanto pare gli script di avvio slackware sono compatibili con altre shell
Al momento il serverino su cui sto provando si avvia normalmente e non ho notato alcune stranezze in tal senso. A quanto pare gli script di avvio slackware sono compatibili con altre shell
- Ansa89
- Iper Master
- Messaggi: 2703
- Iscritto il: mer 29 ago 2007, 17:57
- Nome Cognome: Stefano Ansaloni
- Slackware: 14.2 64bit
- Kernel: 4.9.61
- Desktop: XFCE 4.12
- Località: Modena
Re: BASH Security FIX: ShellShock BUG
Da quello che mi ricordo, tutti gli script di avvio di slackware vengono interpretati da "/bin/sh", quindi teoricamente qualsiasi shell basata su sh non dovrebbe dare problemi.miklos ha scritto:A quanto pare gli script di avvio slackware sono compatibili con altre shell
Tratto da wikipedia:
Stando a queste informazioni, tcsh deriva da csh, che a sua volta è compatibile con sh; pertanto tcsh dovrebbe interpretare senza problemi ogni script compatibile con sh.wikipedia ha scritto:La TENEX C Shell, o tcsh (pronunciato "T-shell") è una shell per sistemi Unix-like basata e compatibile con C shell (csh).
Tuttavia è anche vero che tra il dire e il fare c'è di mezzo il mare e può capitare che qualche caratteristica di sh sia stata tralasciata e/o implementata male in tcsh; quindi la segnalazione è sicuramente un punto a favore di slackware.
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: BASH Security FIX: ShellShock BUG
si.. tra l'altro il serverino è up da allora e si è avviato tutto tranquillamenteAnsa89 ha scritto:quindi la segnalazione è sicuramente un punto a favore di slackware.
ci sono alcune differenze di 'stile' piu' che altro, tipo il completamento automatico dei comandi che premendo tab di appare sotto il prompt invece di apparire eppoi ripresentare il prompt nuovamente, pero' slackware sembra essere 99% compatibile.. ammetto di non aver provato slackpkg ancora, ma conoscendo Pat immagino non ci siano problemi di sorta
tra l'altro il passaggio è molto semplice, dato che come dicevi tu, gli script sono eseguiti da /bin/sh.
io sostanzialmente ho dovuto cambiare la shell con chsh ai vari utenti.. ricreare il link simbolico a /bin/sh facendolo puntare a tcsh e rimosso il pacchetto della bash.
- ponce
- Iper Master
- Messaggi: 3033
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: BASH Security FIX: ShellShock BUG
occhio che, a quel che ricordo da una chiaccherata fatta al riguardo con Robby Workman (non rammento dove, LQ o IRC), sia gli script d'avvio che quelli di amministrazione che gli SlackBuild contengono delle istruzioni specifiche di bash, quindi e' possibile che qualcosa non funzioni: la frase esatta di Robby che ricordo e' che far puntare un'altra shell diversa da bash al link /bin/sh era UNSUPPORTED.
detto questo, niente vieta di vivere pericolosamente...
detto questo, niente vieta di vivere pericolosamente...
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: BASH Security FIX: ShellShock BUG
al momento nulla di grave all'orizzonte.. certo che se è UNSUPPORTED potrebbero pure togliere /bin/sh dagli script allora, perchè a me l'idea mi è venuta proprio per questo motivo, ovvero che non c'e' un riferimento preciso alla bash
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: BASH Security FIX: ShellShock BUG
a meno che ci siano cosi' pochi folli al mondo da sostituire la bash che magari un test del genere potrebbe essere utile a migliorare ulteriormente gli script e rendere slackware indipendente dalla shell (relativamente agli script di avvio/amministrazione) e in quel caso mi offro volontario
- ponce
- Iper Master
- Messaggi: 3033
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: BASH Security FIX: ShellShock BUG
premetto che non e' mia intenzione scoraggiare nessuno, pero'...
mi sembra, se ricordo bene, che qualche tempo fa una moderatrice di LinuxQuestions, Grapefruit Girl, si mise di buzzo buono e fece un lavorone incredibile cercando di trasformare tutti gli script specifici di Slackware in posix-compliant, pero' Pat non li modifico' con le sue correzioni: probabilmente penso' che, riguardando aspetti delicati del sistema, avrebbero dovuto essere testati per degli anni e da molte persone (come quelli che ci sono gia') con le modifiche suggerite prima di poter essere considerati privi di casini e poi forse anche perche' non ha senso supportare tutte le shell esistenti con cosi pochi maintainer (nel caso di Slackware, uno).
non so perche' ma e' qualche anno che Grapefruit Girl non si vede piu' sul forum.
questo trascorso comunque secondo me comporta che chi eventualmente si mettesse a fare un lavoro del genere, dovrebbe molto probabilmente mantenere le modifiche per qualche anno con diversa gente che gliele testa con csh, ksh, dash, ecc. prima di vederle entrare in Slackware (se mai ci entreranno...).
qualche tempo fa venne anche a me lo sghiribizzo di fare qualcosa del genere con gli script di SBo, ma gli altri amministratori mi invitarono a lasciar perdere (per il solito motivo)...
mi sembra, se ricordo bene, che qualche tempo fa una moderatrice di LinuxQuestions, Grapefruit Girl, si mise di buzzo buono e fece un lavorone incredibile cercando di trasformare tutti gli script specifici di Slackware in posix-compliant, pero' Pat non li modifico' con le sue correzioni: probabilmente penso' che, riguardando aspetti delicati del sistema, avrebbero dovuto essere testati per degli anni e da molte persone (come quelli che ci sono gia') con le modifiche suggerite prima di poter essere considerati privi di casini e poi forse anche perche' non ha senso supportare tutte le shell esistenti con cosi pochi maintainer (nel caso di Slackware, uno).
non so perche' ma e' qualche anno che Grapefruit Girl non si vede piu' sul forum.
questo trascorso comunque secondo me comporta che chi eventualmente si mettesse a fare un lavoro del genere, dovrebbe molto probabilmente mantenere le modifiche per qualche anno con diversa gente che gliele testa con csh, ksh, dash, ecc. prima di vederle entrare in Slackware (se mai ci entreranno...).
qualche tempo fa venne anche a me lo sghiribizzo di fare qualcosa del genere con gli script di SBo, ma gli altri amministratori mi invitarono a lasciar perdere (per il solito motivo)...
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: BASH Security FIX: ShellShock BUG
tranquillo... non mi scoraggio per cosi' pocoponce ha scritto:premetto che non e' mia intenzione scoraggiare nessuno, pero'...
comunque qui non si tratta di fare un lavorone come quelli che hai citato.. ma eventualmente di ritoccare qualcosa anche perchè io slackware con tcsh l'ho avviata... non ha fatto una piega..
certo.. mo a provare lo script che ti cambia la tastiera.. o lo stesso slackpkg è sicuramente diverso.. pero' che slackware si avvia non è in discussione perchè sono la prova vivente che funziona
ora provo su un vecchio picci ad uso desktop e se anche l'90% degli script va senza intoppi sarei contento.. fermo restando che il mio tentativo riguarda un server che ha sicuramente software e problematiche di sicurezza ben diverse di un desktop (networkmanager o un server x non sono nemmeno installati) quindi oltre ad essere stato sicuramente fortunato, non ho la reale esigenza di eliminare la bash su un sistema ad uso 'casalingo'
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: BASH Security FIX: ShellShock BUG
aggiungo pure pero'... che per come stanno adesso le cose non ha senso avere tutte queste shell, se poi slackware non è totalmente compatibile perchè se decido di cambiarla per un qualsiasi motivo diverso dal mio eppoi non riesco ad installare i pacchetti trovo che una distribuzione che mira all'essenziale come slackware c'abbia un qualcosa di cui non ne capisco l'utilità (e sarebbe una delle prime volte)
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: BASH Security FIX: ShellShock BUG
ragazzi... cospargo il capo di cenere
con la zsh invece va tutto persino slackpkg.. l'unica cosa che non va al momento è lo script che monta i device criptati (l'rc.S va in errore in quei punti)
provo a vedere di che si tratta, ma probabilmente come diceva ponce potrebbe aprirsi un vaso di pandora troppo grosso
peccato pero'
difatti non ho utilizzato la tcsh, ma una shell chiamata zsh. replicando la storia su un altro picci con la tcsh non va proprio.miklos ha scritto:ovvero rimuovere totalmente la bash sostituendola con la tcsh.
con la zsh invece va tutto persino slackpkg.. l'unica cosa che non va al momento è lo script che monta i device criptati (l'rc.S va in errore in quei punti)
provo a vedere di che si tratta, ma probabilmente come diceva ponce potrebbe aprirsi un vaso di pandora troppo grosso
peccato pero'
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: BASH Security FIX: ShellShock BUG
che poi pure questa c'ha i suoi bei shellshock problemi
ok come non detto.. sostituire la bash non ha senso se non per puro apprendimento
ok come non detto.. sostituire la bash non ha senso se non per puro apprendimento
- marlavo
- Linux 1.x
- Messaggi: 180
- Iscritto il: ven 2 lug 2010, 16:38
- Nome Cognome: Marco Lavorini
- Slackware: 15.0 x86_x64
- Kernel: 6.6.21
- Desktop: XFCE 4.18
Re: BASH Security FIX: ShellShock BUG
Offtopic: https://plus.google.com/+SamiLehtinen/posts/fJnqnzLjaTT
Provato di persona, funziona, se così si può dire
Mal comune...
Provato di persona, funziona, se così si può dire
Mal comune...