Nerd - Agorà system security team

[Nyarlathothep]

Quote:

Originally Posted by joyrex

come dicevo prima è da stanotte che girano scanner

è bene implementare delle regole apposite per bloccare tutte le richieste

Scusa, non avevo letto il tuo post nella fretta.

[FrancisDrakeZ]

Quote:

Originally Posted by ozeta

non ho ben capito una cosa. per modificare una variabile di ambiente in bash, non bisogna avere l'accesso alla shell o comunque al filesystem?

basta lanciare da remoto un curl opportuno tipo ( potrei farla in python ma non ho voglia )

curl -k -H 'User-Agent: () { :;}; echo aa>/tmp/aa' https://localhost/cgi-bin/script_farlocco.sh

per eseguire qualsiasi cosa da remoto. Tolgiete tutte la roba bash e figli
da cgi-bin e patchate patchate patchate.

(un firewall non guasta mai ovviamente)

[trepz]

Se il webserver gira con un utente senza shell associata, la cosa è mitigante?

[Ciucc]

scusate potete cercare di spiegare per sommi capi anche ai comuni mortali?
perchè mi sto cagando addosso, ma non so per quale motivo, non è una bella sensazione.

[FrancisDrakeZ]

Quote:

Originally Posted by trepz

Se il webserver gira con un utente senza shell associata, la cosa è mitigante?

potrebbe mitigare quel vettore, ma se hai anche un tomcat o l'utente di DB...

per red hat e debian mi sembra siano già uscite le patch quindi meglio patchare..

fonte: https://access.redhat.com/node/1200223

fonte: https://www.debian.org/security/2014/dsa-3032

[Abufinzio]

Quote:

Originally Posted by Ciucc

scusate potete cercare di spiegare per sommi capi anche ai comuni mortali?
perchè mi sto cagando addosso, ma non so per quale motivo, non è una bella sensazione.

*

[Kenger]

Quote:

Originally Posted by Ciucc

scusate potete cercare di spiegare per sommi capi anche ai comuni mortali?
perchè mi sto cagando addosso, ma non so per quale motivo, non è una bella sensazione.

Da ignorante in materia sicurezza e' stata trovata una falla in un programma presente in una percentuale x di tutti i server web del mondo (a caso 40% ?) che permette a chiunque di far fare al server qualsiasi cosa con una facilità imbarazzante.

[emiliano_]

Direi 100%

[FrancisDrakeZ]

Quote:

Originally Posted by Ciucc

scusate potete cercare di spiegare per sommi capi anche ai comuni mortali?
perchè mi sto cagando addosso, ma non so per quale motivo, non è una bella sensazione.

in pratica l'interprete di comandi bash che è usato su sistemi *nix like
da almeno 20 anni ha un bug in cui se tu lanci un comando malformato, (come questo) puoi eseguire quello che vuoi:


env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


[questo potete eseguirlo in tranquillità sulla vostra shell terminale non fa danni esegue solo un echo: "this is a test"]

se scrive "this is a test" è vulnerabile e dovete aggiornare subito.

Qual è il rischio?

Questo significa che chiunque in qualsiasi posto del mondo,
può lanciare un comando di una riga e se il tuo server/pc/mac ha quel bug
(e un cgi-script pr esempio) il tuo PC si mette a fare quello che gli chiedono.

[YoShi]

Quindi quando avranno fixato il problema dovremo ricambiare per l'ennesima volta le psw a tutto?

[Ryoichi-Kun]

Quote:

Originally Posted by Ciucc

scusate potete cercare di spiegare per sommi capi anche ai comuni mortali?
perchè mi sto cagando addosso, ma non so per quale motivo, non è una bella sensazione.

Bash è una componente di default di molte distribuzioni unix, sia client (quelle che usano i comuni mortali sui piccì casalinghi) sia server (siti web, eccetera).
È un pò come il prompt dei comandi di Windows.
Han trovato una falla grossa come una casa che permette di eseguire comandi da remoto se non patchata o se certi tipi di richieste non vengono bloccate dal gestore del client/server.

D'obbligo:

Guarda su YouTube: click

[Tetsujin]

Quote:

Originally Posted by trepz

Se il webserver gira con un utente senza shell associata, la cosa è mitigante?

E` sufficiente che giri senza roba CGI.

[Lihid Zoil]

Quote:

Originally Posted by FrancisDrakeZ

in pratica l'interprete di comandi bash che è usato su sistemi *nix like
da almeno 20 anni ha un bug in cui se tu lanci un comando malformato, (come questo) puoi eseguire quello che vuoi:


env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


[questo potete eseguirlo in tranquillità sulla vostra shell terminale non fa danni esegue solo un echo: "this is a test"]

se scrive "this is a test" è vulnerabile e dovete aggiornare subito.

Qual è il rischio?

Questo significa che chiunque in qualsiasi posto del mondo,
può lanciare un comando di una riga e se il tuo server/pc/mac ha quel bug
(e un cgi-script pr esempio) il tuo PC si mette a fare quello che gli chiedono.

si ma devono cmq loggarsi alla macchina giusto? è rischioso solo per chi ha ssh aperto al pubblico o anche per chi ha solo la porta https o 80 aperta?

[=Phoenix=]

Ubuntu 14.04.1 LTS here, vulnerabile. ho patchato ma devo ancora fare il reboot (e per 2 h non posso )

happy days

[trepz]

Quote:

Originally Posted by FrancisDrakeZ

potrebbe mitigare quel vettore, ma se hai anche un tomcat o l'utente di DB...

per red hat e debian mi sembra siano già uscite le patch quindi meglio patchare..

fonte: https://access.redhat.com/node/1200223

fonte: https://www.debian.org/security/2014/dsa-3032

Thanks. Hanno patchato solo la prima "versione".