Pagina 1 di 1

BASH Security FIX: ShellShock BUG

Inviato: ven 26 set 2014, 19:52
da lennynero
Salve a tutti,
mi preme segnalarvi il bugfix rilasciato ieri(sia per il ramo current che per la stable) per la Shell BASH.
Il problema riguarda gli attacchi da parte di script CGI malevoli che sfruttando la porta 80 per avere accesso alla shell del sistema.
Maggiori dettagli possono essere reperiti qui: http://cve.mitre.org/cgi-bin/cvename.cg ... -2014-7169. Il link e' indicato anche nel changelog di PAT;)

Re: BASH Security FIX: ShellShock BUG

Inviato: sab 27 set 2014, 3:38
da targzeta
Il nostro server è già aggiornato. La patch è uscita subito su tutte le Slackware supportate.

Emanuele

Re: BASH Security FIX: ShellShock BUG

Inviato: ven 24 ott 2014, 17:56
da ilmich
Dato che alcuni bug di sicurezza, mi pare non siano stati ancora fixati sto sperimentando la via drastica.. ovvero rimuovere totalmente la bash sostituendola con la tcsh.
Al momento il serverino su cui sto provando si avvia normalmente e non ho notato alcune stranezze in tal senso. A quanto pare gli script di avvio slackware sono compatibili con altre shell :)

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 11:58
da Ansa89
miklos ha scritto:A quanto pare gli script di avvio slackware sono compatibili con altre shell :)
Da quello che mi ricordo, tutti gli script di avvio di slackware vengono interpretati da "/bin/sh", quindi teoricamente qualsiasi shell basata su sh non dovrebbe dare problemi.
Tratto da wikipedia:
wikipedia ha scritto:La TENEX C Shell, o tcsh (pronunciato "T-shell") è una shell per sistemi Unix-like basata e compatibile con C shell (csh).
Stando a queste informazioni, tcsh deriva da csh, che a sua volta è compatibile con sh; pertanto tcsh dovrebbe interpretare senza problemi ogni script compatibile con sh.

Tuttavia è anche vero che tra il dire e il fare c'è di mezzo il mare e può capitare che qualche caratteristica di sh sia stata tralasciata e/o implementata male in tcsh; quindi la segnalazione è sicuramente un punto a favore di slackware.

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 13:46
da ilmich
Ansa89 ha scritto:quindi la segnalazione è sicuramente un punto a favore di slackware.
si.. tra l'altro il serverino è up da allora e si è avviato tutto tranquillamente :)
ci sono alcune differenze di 'stile' piu' che altro, tipo il completamento automatico dei comandi che premendo tab di appare sotto il prompt invece di apparire eppoi ripresentare il prompt nuovamente, pero' slackware sembra essere 99% compatibile.. ammetto di non aver provato slackpkg ancora, ma conoscendo Pat immagino non ci siano problemi di sorta
tra l'altro il passaggio è molto semplice, dato che come dicevi tu, gli script sono eseguiti da /bin/sh.
io sostanzialmente ho dovuto cambiare la shell con chsh ai vari utenti.. ricreare il link simbolico a /bin/sh facendolo puntare a tcsh e rimosso il pacchetto della bash.

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 16:40
da ponce
occhio che, a quel che ricordo da una chiaccherata fatta al riguardo con Robby Workman (non rammento dove, LQ o IRC), sia gli script d'avvio che quelli di amministrazione che gli SlackBuild contengono delle istruzioni specifiche di bash, quindi e' possibile che qualcosa non funzioni: la frase esatta di Robby che ricordo e' che far puntare un'altra shell diversa da bash al link /bin/sh era UNSUPPORTED.
detto questo, niente vieta di vivere pericolosamente... ;)

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 17:41
da ilmich
al momento nulla di grave all'orizzonte.. certo che se è UNSUPPORTED potrebbero pure togliere /bin/sh dagli script allora, perchè a me l'idea mi è venuta proprio per questo motivo, ovvero che non c'e' un riferimento preciso alla bash

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 18:06
da ilmich
a meno che ci siano cosi' pochi folli al mondo da sostituire la bash che magari un test del genere potrebbe essere utile a migliorare ulteriormente gli script e rendere slackware indipendente dalla shell (relativamente agli script di avvio/amministrazione) e in quel caso mi offro volontario :)

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 21:18
da ponce
premetto che non e' mia intenzione scoraggiare nessuno, pero'...

mi sembra, se ricordo bene, che qualche tempo fa una moderatrice di LinuxQuestions, Grapefruit Girl, si mise di buzzo buono e fece un lavorone incredibile cercando di trasformare tutti gli script specifici di Slackware in posix-compliant, pero' Pat non li modifico' con le sue correzioni: probabilmente penso' che, riguardando aspetti delicati del sistema, avrebbero dovuto essere testati per degli anni e da molte persone (come quelli che ci sono gia') con le modifiche suggerite prima di poter essere considerati privi di casini e poi forse anche perche' non ha senso supportare tutte le shell esistenti con cosi pochi maintainer (nel caso di Slackware, uno).
non so perche' ma e' qualche anno che Grapefruit Girl non si vede piu' sul forum.

questo trascorso comunque secondo me comporta che chi eventualmente si mettesse a fare un lavoro del genere, dovrebbe molto probabilmente mantenere le modifiche per qualche anno con diversa gente che gliele testa con csh, ksh, dash, ecc. prima di vederle entrare in Slackware (se mai ci entreranno...).

qualche tempo fa venne anche a me lo sghiribizzo di fare qualcosa del genere con gli script di SBo, ma gli altri amministratori mi invitarono a lasciar perdere (per il solito motivo)...

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 22:55
da ilmich
ponce ha scritto:premetto che non e' mia intenzione scoraggiare nessuno, pero'...
tranquillo... non mi scoraggio per cosi' poco :)
comunque qui non si tratta di fare un lavorone come quelli che hai citato.. ma eventualmente di ritoccare qualcosa anche perchè io slackware con tcsh l'ho avviata... non ha fatto una piega..
certo.. mo a provare lo script che ti cambia la tastiera.. o lo stesso slackpkg è sicuramente diverso.. pero' che slackware si avvia non è in discussione perchè sono la prova vivente che funziona :)
ora provo su un vecchio picci ad uso desktop e se anche l'90% degli script va senza intoppi sarei contento.. fermo restando che il mio tentativo riguarda un server che ha sicuramente software e problematiche di sicurezza ben diverse di un desktop (networkmanager o un server x non sono nemmeno installati) quindi oltre ad essere stato sicuramente fortunato, non ho la reale esigenza di eliminare la bash su un sistema ad uso 'casalingo'

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 23:07
da ilmich
aggiungo pure pero'... che per come stanno adesso le cose non ha senso avere tutte queste shell, se poi slackware non è totalmente compatibile perchè se decido di cambiarla per un qualsiasi motivo diverso dal mio eppoi non riesco ad installare i pacchetti trovo che una distribuzione che mira all'essenziale come slackware c'abbia un qualcosa di cui non ne capisco l'utilità (e sarebbe una delle prime volte)

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 23:31
da ilmich
ragazzi... cospargo il capo di cenere
miklos ha scritto:ovvero rimuovere totalmente la bash sostituendola con la tcsh.
difatti non ho utilizzato la tcsh, ma una shell chiamata zsh. replicando la storia su un altro picci con la tcsh non va proprio.
con la zsh invece va tutto persino slackpkg.. l'unica cosa che non va al momento è lo script che monta i device criptati (l'rc.S va in errore in quei punti)
provo a vedere di che si tratta, ma probabilmente come diceva ponce potrebbe aprirsi un vaso di pandora troppo grosso :(
peccato pero' :)

Re: BASH Security FIX: ShellShock BUG

Inviato: lun 27 ott 2014, 23:45
da ilmich
che poi pure questa c'ha i suoi bei shellshock problemi :)
ok come non detto.. sostituire la bash non ha senso se non per puro apprendimento

Re: BASH Security FIX: ShellShock BUG

Inviato: mar 28 ott 2014, 20:13
da marlavo
Offtopic: https://plus.google.com/+SamiLehtinen/posts/fJnqnzLjaTT
Provato di persona, funziona, se così si può dire :roll:
Mal comune...