[QUOTE=Goran;17853338][ot]
Un più stronzo, non tutte le versioni di bash patchate lo sono anche per questo:
env X='() { (a)=>' bash -c “echo date”; cat echo
Se risponde in fondo con la data odierna, è vulnerabile.
[/ot][/QUOTE]
Fuck! Debian 7.6 here, vulnerabile e ho appena fatto tutti gli aggiornamenti di sicurezza.
split?
[QUOTE=impossible love;17853465]Per mettere una pezza al momento su OSX:
http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-the-remote-exploit-cve-2014-6271-and-cve-2014-7
Ubuntu/Debian:
sudo apt-get update && sudo apt-get upgrade
e fate un reboot
Non credo sia la pezza definitiva ma meglio di niente[/QUOTE]
[QUOTE=trepz;17853473]Fuck! Debian 7.6 here, vulnerabile e ho appena fatto tutti gli aggiornamenti di sicurezza.
[/QUOTE]
This.
La patch rilasciata non corregge completamente l’errore.
[QUOTE=ARDO’;17853477]un pò di merdina me l’hai fatta venire adesso
anche se capirò 1/500 del reale potenziale del problema[/QUOTE]
il potenziale del problema è che bash è la shell più diffusa ed è sostanzialmente su qualsiasi sistema unix
per farti capire il vulnerability score è il massimo su tutti i fronti, in confronto heartbleed è una cacatina
non è ancora famoso come heartbleed perché ancora i deficienti dei media non hanno trovato un modo per spiegarlo
[QUOTE=trepz;17853473]Fuck! Debian 7.6 here, vulnerabile e ho appena fatto tutti gli aggiornamenti di sicurezza.
split?[/QUOTE]
non sarebbe brutto avere un thread sulla security in generale da qualche parte
CGI & co o qualsiasi cosa che invoca bash dietro le quinte
comunque questo finora è uno degli articoli migliori che c’è in giro: http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html
(anche se incompleto)
[QUOTE=Goran;17853455]Aggiornate Bash con l’ultima patch se non lo avete ancora fatto, non risolve completamente la vulnerabilità (il secondo test che ho postato continua a funzionare) ma è già qualcosa.
Mi aspetto che esca una seconda patch nel giro di pochissimo.
Questo per i server (debian, ubuntu, redhat, etc), per OSX e tutto il resto, soccazzi.[/QUOTE]
la prima non da problemi, la seconda si…
per star sereno mi sono appena trasferito in locale le immagini dei dischi delle macchine virtuali… grazie fastweb 
[QUOTE=impossible love;17853465]
Ubuntu/Debian:
sudo apt-get update && sudo apt-get upgrade
e fate un reboot
[/QUOTE]
dopo l’upgrade il reboot non serve, viene sostituito /bin/bash al volo 
sembra che sh ne sia immune comunque
[QUOTE=Tetsujin;17853501]dopo l’upgrade il reboot non serve, viene sostituito /bin/bash al volo
sembra che sh ne sia immune comunque [/QUOTE]
sh è immune e confermo, fare reboot è completamente inutile
[QUOTE=Bard;17853630]C’è un buco su Bash? Chi è che deve preoccuparsi?[/QUOTE]
Si deve preoccupare chiunque.
Gli utenti però possono solo incrociare le dita e sperare in un patching veloce.
E’ inutile cambiare password o qualsiasi altra azione.
Comunque anche chi usa qualsiasi *nix come client (quindi linux, osx, *bsd, android, ios, router vari) deve patchare appena viene rilasciato il fix.
PS. come già detto hanno rilasciato un fix temporaneo ma non copre completamente la vulnerabilità
In other news, avere un qualsiasi nexus è improvvisamente diventato utile:
http://www.kali.org/kali-linux-nethunter/
[QUOTE=Ryoichi-Kun;17853643]
Ma com’è che non è ancora venuta fuori in massa sta notizia? [/QUOTE]
Perché non è facile da spiegare alle pecore.
env X='() { (a)=>\' bash -c "echo date"; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
date
cat: echo: No such file or directory
[QUOTE=ksn;17853669]io ho aggiornato bash e mi sembra patchato anche il 2 test
env X='() { (a)=>\' bash -c "echo date"; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
date
cat: echo: No such file or directorysto a posto o cmq bisogna aspettare il fix vero?[/QUOTE]
che OS hai?
[QUOTE=ksn;17853669]io ho aggiornato bash e mi sembra patchato anche il 2 test
env X='() { (a)=>\' bash -c "echo date"; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
date
cat: echo: No such file or directorysto a posto o cmq bisogna aspettare il fix vero?[/QUOTE]
in teoria si, in pratica no, questa shitstorm durerà un bel po’ imho
e io che volevo leggermi la nuova e aggiornata e bellissima guida al testing owasp: https://www.owasp.org/images/1/19/OTGv4.pdf
:|
[QUOTE=Larios;17853697]ma un link? fix per cosa?[/QUOTE]
scorri il thread
