Nerd - Agorà system security team

[Goran]

EDIT: questo thread è uno split

OFF TOPIC:

Per il probelma su Bash

Easy check:

da shell: env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Se risponde "vulnerable hello" bash è da aggiornare.

[joyrex]

Quote:

Originally Posted by Goran

OFF TOPIC:

Per il probelma su Bash

Easy check:

da shell: env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Se risponde "vulnerable hello" bash è da aggiornare.

Purtroppo comunque a breve salterà fuori un altro merdone, il fix che hanno implementato non è neanche lontanamente abbastanza imho

[Goran]

Quote:

Originally Posted by joyrex

Purtroppo comunque a breve salterà fuori un altro merdone, il fix che hanno implementato non è neanche lontanamente abbastanza imho

Si che tra l'altro è una roba che non tocca solo i server, ma anche OSX ha bash installata.

[GrimReaper]

Quote:

Originally Posted by Goran

OFF TOPIC:

Per il probelma su Bash

Easy check:

da shell: env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Se risponde "vulnerable hello" bash è da aggiornare.

posso bestemmiare?

[joyrex]

Quote:

Originally Posted by Goran

Si che tra l'altro è una roba che non tocca solo i server, ma anche OSX ha bash installata.

la cosa figa è che ovviamente è wormable, io mi sto preparando al peggio

[spkbri]

c'è una spiegazione della sintassi di quel comando?
mi sfugge il significato di

Quote:

() { :;};

[Goran]

Quote:

Originally Posted by Goran

OFF TOPIC:

Per il probelma su Bash

Easy check:

da shell: env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Se risponde "vulnerable hello" bash è da aggiornare.

OFF TOPIC:

Un più stronzo, non tutte le versioni di bash patchate lo sono anche per questo:

env X='() { (a)=>\' bash -c "echo date"; cat echo

Se risponde in fondo con la data odierna, è vulnerabile.

[GnR!]

Quote:

Originally Posted by Goran

OFF TOPIC:

Per il probelma su Bash

Easy check:

da shell: env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Se risponde "vulnerable hello" bash è da aggiornare.

Mi appare solo "hello", sto in una botte de fero?

Quote:

Originally Posted by ^Chuck^

Però se leggo "che cosa compri a fare un iphone 6 se con 100 euro hai un telefono che fa le stesse cose e meglio" mi parte il GnR

Il "GnR" transitivo l'ho apprezzato

[Goran]

Quote:

Originally Posted by joyrex

la cosa figa è che ovviamente è wormable, io mi sto preparando al peggio

Eh si perchè, peraltro (e qui torniamo in topic) Apple non mi pare abbia ancora rilasciato una patch...

[Anx]

Quote:

Originally Posted by joyrex

la cosa figa è che ovviamente è wormable, io mi sto preparando al peggio

srsly?

help

[Goran]

Quote:

Originally Posted by GnR!

Mi appare solo "hello", sto in una botte de fero?

Se ti risponde con

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello

si.

Prova con questo:

env X='() { (a)=>\' bash -c "echo date"; cat echo


Se risponde con "date" o con la data effettiva.

Edit:

avevo copincollato la versione errata bash al posto di sh

[GnR!]

Rispondono con date, niente data effettiva.

[Goran]

Quote:

Originally Posted by GnR!

Rispondono con date, niente data effettiva.

Errore mio, riprova con questo:

env X='() { (a)=>\' bash -c "echo date"; cat echo

(avevo copincollato la riga sbagliata)

[joyrex]

Quote:

Originally Posted by Goran

Eh si perchè, peraltro (e qui torniamo in topic) Apple non mi pare abbia ancora rilasciato una patch...

nope, o ricompili o usi bash di homebrew

Quote:

Originally Posted by spkbri

c'è una spiegazione della sintassi di quel comando?
mi sfugge il significato di

è una definzione di function

[GnR!]

Quote:

Originally Posted by Goran

Errore mio, riprova con questo:

env X='() { (a)=>\' bash -c "echo date"; cat echo

(avevo copincollato la riga sbagliata)

Ok mi rispondono tutti i server con la data di oggi.

Bene.