EDIT: questo thread è uno split
[OT]Per il probelma su Bash
Easy check:
da shell: env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Se risponde "vulnerable hello" bash è da aggiornare.
[/ot]
Purtroppo comunque a breve salterà fuori un altro merdone, il fix che hanno implementato non è neanche lontanamente abbastanza imho
Si che tra l'altro è una roba che non tocca solo i server, ma anche OSX ha bash installata.
posso bestemmiare?
![](/plugins/discourse-ngi-emojis/images/face4.gif)
la cosa figa è che ovviamente è wormable, io mi sto preparando al peggio
c'è una spiegazione della sintassi di quel comando?
mi sfugge il significato di
mi sfugge il significato di
[ot]
Un più stronzo, non tutte le versioni di bash patchate lo sono anche per questo:
env X='() { (a)=>\' bash -c "echo date"; cat echo
Se risponde in fondo con la data odierna, è vulnerabile.
[/ot]
Mi appare solo "hello", sto in una botte de fero?
Il "GnR" transitivo l'ho apprezzato
![](/plugins/discourse-ngi-emojis/images/asd.gif)
Eh si perchè, peraltro (e qui torniamo in topic) Apple non mi pare abbia ancora rilasciato una patch...
srsly?
help
![](/plugins/discourse-ngi-emojis/images/afraid.gif)
Se ti risponde con
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello
si.
Prova con questo:
env X='() { (a)=>\' bash -c "echo date"; cat echo
Se risponde con "date" o con la data effettiva.
Edit:
avevo copincollato la versione errata bash al posto di sh
Rispondono con date, niente data effettiva.
Errore mio, riprova con questo:
env X='() { (a)=>\' bash -c "echo date"; cat echo
(avevo copincollato la riga sbagliata)
nope, o ricompili o usi bash di homebrew
è una definzione di function
Ok mi rispondono tutti i server con la data di oggi.
Bene.
ho aggiornato bash su debian wheezy poco fa, con quest'ultima mi riporta:
devo preoccuparmi?
![](/plugins/discourse-ngi-emojis/images/afraid.gif)
si
bon, nel culo a bash, cambio shell allora
![](/plugins/discourse-ngi-emojis/images/asd.gif)
idem
tutti.
posso bestemmiare forte
Aggiornate Bash con l'ultima patch se non lo avete ancora fatto, non risolve completamente la vulnerabilità (il secondo test che ho postato continua a funzionare) ma è già qualcosa.
Mi aspetto che esca una seconda patch nel giro di pochissimo.
Questo per i server (debian, ubuntu, redhat, etc), per OSX e tutto il resto, soccazzi.