EDIT: questo thread è uno split
[OT]Per il probelma su Bash
Easy check:
da shell: env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Se risponde "vulnerable hello" bash è da aggiornare.
[/ot]
[QUOTE=Goran;17853239][OT]Per il probelma su Bash
Easy check:
da shell: env x=‘() { :;}; echo vulnerable’ bash -c ‘echo hello’
Se risponde “vulnerable hello” bash è da aggiornare.
[/ot][/QUOTE]
Purtroppo comunque a breve salterà fuori un altro merdone, il fix che hanno implementato non è neanche lontanamente abbastanza imho
[QUOTE=joyrex;17853253]Purtroppo comunque a breve salterà fuori un altro merdone, il fix che hanno implementato non è neanche lontanamente abbastanza imho[/QUOTE]
Si che tra l’altro è una roba che non tocca solo i server, ma anche OSX ha bash installata.
[QUOTE=Goran;17853239][OT]Per il probelma su Bash
Easy check:
da shell: env x=‘() { :;}; echo vulnerable’ bash -c ‘echo hello’
Se risponde “vulnerable hello” bash è da aggiornare.
[/ot][/QUOTE]
posso bestemmiare? :|
[QUOTE=Goran;17853259]Si che tra l’altro è una roba che non tocca solo i server, ma anche OSX ha bash installata.[/QUOTE]
la cosa figa è che ovviamente è wormable, io mi sto preparando al peggio
c’è una spiegazione della sintassi di quel comando?
mi sfugge il significato di
[QUOTE=Goran;17853239][OT]Per il probelma su Bash
Easy check:
da shell: env x=‘() { :;}; echo vulnerable’ bash -c ‘echo hello’
Se risponde “vulnerable hello” bash è da aggiornare.
[/ot][/QUOTE]
Off Topic:
Un più stronzo, non tutte le versioni di bash patchate lo sono anche per questo:
env X='() { (a)=>' bash -c “echo date”; cat echo
Se risponde in fondo con la data odierna, è vulnerabile.
[QUOTE=Goran;17853239][OT]Per il probelma su Bash
Easy check:
da shell: env x=‘() { :;}; echo vulnerable’ bash -c ‘echo hello’
Se risponde “vulnerable hello” bash è da aggiornare.
[/ot][/QUOTE]
Mi appare solo “hello”, sto in una botte de fero?
[QUOTE=^Chuck^;17853247]Però se leggo “che cosa compri a fare un iphone 6 se con 100 euro hai un telefono che fa le stesse cose e meglio” mi parte il GnR 
[/QUOTE]
Il “GnR” transitivo l’ho apprezzato
[QUOTE=joyrex;17853322]la cosa figa è che ovviamente è wormable, io mi sto preparando al peggio[/QUOTE]
Eh si perchè, peraltro (e qui torniamo in topic) Apple non mi pare abbia ancora rilasciato una patch…
[QUOTE=joyrex;17853322]la cosa figa è che ovviamente è wormable, io mi sto preparando al peggio[/QUOTE]
srsly?
help 
[QUOTE=GnR!;17853343]Mi appare solo “hello”, sto in una botte de fero?
[/QUOTE]
Se ti risponde con
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
hello
si.
Prova con questo:
env X='() { (a)=>' bash -c “echo date”; cat echo
Se risponde con “date” o con la data effettiva.
Edit:
avevo copincollato la versione errata bash al posto di sh
Rispondono con date, niente data effettiva.
[QUOTE=GnR!;17853371]Rispondono con date, niente data effettiva.[/QUOTE]
Errore mio, riprova con questo:
env X='() { (a)=>' bash -c “echo date”; cat echo
(avevo copincollato la riga sbagliata)
[QUOTE=Goran;17853344]Eh si perchè, peraltro (e qui torniamo in topic) Apple non mi pare abbia ancora rilasciato una patch…[/QUOTE]
nope, o ricompili o usi bash di homebrew
[QUOTE=spkbri;17853332]c’è una spiegazione della sintassi di quel comando?
mi sfugge il significato di[/QUOTE]
è una definzione di function
[QUOTE=Goran;17853399]Errore mio, riprova con questo:
env X='() { (a)=>' bash -c “echo date”; cat echo
(avevo copincollato la riga sbagliata)[/QUOTE]
Ok mi rispondono tutti i server con la data di oggi.
Bene.
[QUOTE=Goran;17853356]Se ti risponde con
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
hello
si.
Prova con questo:
env X='() { (a)=>' bash -c “echo date”; cat echo
Se risponde con “date” o con la data effettiva.
Edit:
avevo copincollato la versione errata bash al posto di sh[/QUOTE]
ho aggiornato bash su debian wheezy poco fa, con quest’ultima mi riporta:
[QUOTE]bash: X: line 1: syntax error near unexpected token =' bash: X: line 1: ’
bash: error importing function definition for `X’
Thu Sep 25 12:00:59 CEST 2014[/QUOTE]
devo preoccuparmi?
[QUOTE=Tetsujin;17853411]
devo preoccuparmi? [/QUOTE]
si
bon, nel culo a bash, cambio shell allora 
[QUOTE=GnR!;17853410]Ok mi rispondono tutti i server con la data di oggi.
Bene.[/QUOTE]
idem
tutti.
posso bestemmiare forte
[QUOTE=GnR!;17853410]Ok mi rispondono tutti i server con la data di oggi.
Bene.[/QUOTE]
[QUOTE=tennents;17853435]idem
tutti.
posso bestemmiare forte[/QUOTE]
Aggiornate Bash con l’ultima patch se non lo avete ancora fatto, non risolve completamente la vulnerabilità (il secondo test che ho postato continua a funzionare) ma è già qualcosa.
Mi aspetto che esca una seconda patch nel giro di pochissimo.
Questo per i server (debian, ubuntu, redhat, etc), per OSX e tutto il resto, soccazzi.