allarme sicurezza informatica
Locked
 
|
nei giorni scorsi e' stato scoperto un bug estremamente
pericoloso in grado di compromettere seriamente la sicurezza informatica di qualsiasi sistema Linux/Unix; anche MacOsX e' ugualmente vulnerabile. Il problema e' sicuramente presente in tutte quante le distro ed interessa tutte le versioni indifferentemente. la vulnerabilita' e' nota come BASHSHELL oppure SHELLSHOCK; e' emerso che e' possibile passare alla Bash delle variabili di ambiente "taroccate", ed in questo modo poi l'hacker riesce ad ottenere un accesso illimitato con poteri di root sono particolarmente vulnerabili ad attacchi esterni i web servers Apache che usano CGI basate su Bash le principali distro hanno gia' rilasciato le patches che chiudono la falla AGGIORNATE AL PIU' PRESTO I VOSTRI SISTEMI ciao Sandro http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/ _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
|
Ciao!
2014-09-26 11:13 GMT+02:00 <[hidden email]>: nei giorni scorsi e' stato scoperto un bug estremamente [...] AGGIORNATE AL PIU' PRESTO I VOSTRI SISTEMI Uhm sapete dirmi se squeeze non è più supportato? amefad _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
On Fri, Sep 26, 2014 at 12:14:10PM +0200, Amedeo Fadini wrote:
> > Uhm sapete dirmi se squeeze non è più supportato? > https://wiki.debian.org/LTS/Using#Add_squeeze-lts_to_your_sources.list -- Francesco P. Lovergine _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
2014-09-26 13:53 GMT+02:00 Francesco P. Lovergine <[hidden email]>:
> On Fri, Sep 26, 2014 at 12:14:10PM +0200, Amedeo Fadini wrote: >> >> Uhm sapete dirmi se squeeze non è più supportato? >> > > https://wiki.debian.org/LTS/Using#Add_squeeze-lts_to_your_sources.list > +1 fatto così sul server GFOSS. Franke mi consigli di fare anche gli altri aggiornamenti suggeriti? > > -- > Francesco P. Lovergine > -- ciao Luca http://gis.cri.fmach.it/delucchi/ www.lucadelu.org _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
In reply to this post by a.furieri
On Fri, Sep 26, 2014 at 11:13:37AM +0200, [hidden email] wrote:
> sono particolarmente vulnerabili ad attacchi esterni i web > servers Apache che usano CGI basate su Bash In realtà è molto peggio, è sufficiente eseguire una system() (anche se la shell di default non fosse bash) sotto qualsiasi webapp 'canonica' per esempio in PHP per usare tale vulnerabilità. Per evitare questo tipo di problemi il server andrebbe eseguito per esempio sotto una root priva di bash o dovrebbe utilizzare altri metodi di hardening (cosa che andrebbe comunque fatta in caso di usi 'promiscui' del server) -- Francesco P. Lovergine _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
|
|
In reply to this post by Francesco P. Lovergine
Ciao Frankie,
On Fri, Sep 26, 2014 at 1:53 PM, Francesco P. Lovergine <[hidden email]> wrote: https://wiki.debian.org/LTS/Using#Add_squeeze-lts_to_your_sources.listGrazie mille era quel che cercavo, nel frattempo ho risolto con apt-get install --only-upgrade bash dai repo di wheezy amefad _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
In reply to this post by Luca Delucchi
On Fri, Sep 26, 2014 at 01:55:22PM +0200, Luca Delucchi wrote:
> 2014-09-26 13:53 GMT+02:00 Francesco P. Lovergine <[hidden email]>: > > On Fri, Sep 26, 2014 at 12:14:10PM +0200, Amedeo Fadini wrote: > >> > >> Uhm sapete dirmi se squeeze non è più supportato? > >> > > > > https://wiki.debian.org/LTS/Using#Add_squeeze-lts_to_your_sources.list > > > > +1 fatto così sul server GFOSS. > Franke mi consigli di fare anche gli altri aggiornamenti suggeriti? > Assolutamente si. -- Francesco P. Lovergine _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
In reply to this post by amefad
On Fri, Sep 26, 2014 at 02:00:45PM +0200, Amedeo Fadini wrote:
> Ciao Frankie, > > On Fri, Sep 26, 2014 at 1:53 PM, Francesco P. Lovergine <[hidden email]> > wrote: > > > https://wiki.debian.org/LTS/Using#Add_squeeze-lts_to_your_sources.list > > > > > > Grazie mille era quel che cercavo, nel frattempo ho risolto con > > apt-get install --only-upgrade bash > > dai repo di wheezy > Anche quello è un sistema, ma a parte il fatto che mischiare le carte non è mai buona policy, ci sono varie altre vulnerabilità corrette in LTS che andrebbero comunque considerate. -- Francesco P. Lovergine _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
In reply to this post by Francesco P. Lovergine
2014-09-26 14:02 GMT+02:00 Francesco P. Lovergine <[hidden email]>:
> On Fri, Sep 26, 2014 at 01:55:22PM +0200, Luca Delucchi wrote: >> 2014-09-26 13:53 GMT+02:00 Francesco P. Lovergine <[hidden email]>: >> > On Fri, Sep 26, 2014 at 12:14:10PM +0200, Amedeo Fadini wrote: >> >> >> >> Uhm sapete dirmi se squeeze non è più supportato? >> >> >> > >> > https://wiki.debian.org/LTS/Using#Add_squeeze-lts_to_your_sources.list An unaffected (or patched) system will output: bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test ma io ottengo solo "this is a test" dopo aptitude update && aptitude install bash && reboot, nessun warning, mi chiedo il sistema è ancora vulnerabile? La versione aggiornata ed installata è la 4.1-3+deb6u2, Saluti! -- Salvatore Larosa linkedIn: http://linkedin.com/in/larosasalvatore twitter: @lrssvt skype: s.larosa IRC: lrssvt on freenode _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
In reply to this post by a.furieri
Verifichero',
ma comunque i nostri servers della infrastruttura sono tutti su tomcat non usano apache per cui se anche ci sta il bacone, muore di inedia. (hi hi hi) Invece sono piu' preoccupato per un mio serverino di lavoro debian 7 che uso per testare le varie soluzioni su internet. Ci sta che a questa ora parli gia' in cinese mandarino. Ma se faccio un apt-get update / upgrade basta o si deve puntare delle patch particolari che non fanno parte del repository usuale ? A. Il 26 settembre 2014 11:13, <[hidden email]> ha scritto: > nei giorni scorsi e' stato scoperto un bug estremamente > pericoloso in grado di compromettere seriamente la > sicurezza informatica di qualsiasi sistema Linux/Unix; > anche MacOsX e' ugualmente vulnerabile. > Il problema e' sicuramente presente in tutte quante le > distro ed interessa tutte le versioni indifferentemente. > > la vulnerabilita' e' nota come BASHSHELL oppure SHELLSHOCK; > e' emerso che e' possibile passare alla Bash delle variabili > di ambiente "taroccate", ed in questo modo poi l'hacker > riesce ad ottenere un accesso illimitato con poteri di root > > sono particolarmente vulnerabili ad attacchi esterni i web > servers Apache che usano CGI basate su Bash > > le principali distro hanno gia' rilasciato le patches che > chiudono la falla > > AGGIORNATE AL PIU' PRESTO I VOSTRI SISTEMI > > ciao Sandro > > http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/ > > > _______________________________________________ > [hidden email] > http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss > Questa e' una lista di discussione pubblica aperta a tutti. > I messaggi di questa lista non hanno relazione diretta con le posizioni > dell'Associazione GFOSS.it. > 666+40 iscritti al 5.6.2014 -- ----------------- Andrea Peri . . . . . . . . . qwerty àèìòù ----------------- _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
|
|
On Fri, 26 Sep 2014 15:54:03 +0200, Andrea Peri wrote:
> Verifichero', > ma comunque i nostri servers della infrastruttura sono tutti su > tomcat > non usano apache per cui se anche ci sta il bacone, muore di inedia. > (hi hi hi) > mah ... il bug e' nella Bash ... non conosco esattamente come lavori Tomcat per le CGI, ma se si appoggia alla Bash e' fritto anche lui :-) > Invece sono piu' preoccupato per un mio serverino di lavoro debian 7 > che uso per testare le varie soluzioni su internet. > Ci sta che a questa ora parli gia' in cinese mandarino. > > Ma se faccio un > apt-get update / upgrade > > basta o si deve puntare delle patch particolari che non fanno parte > del repository usuale ? > non ti do dire per Debian; comunque la mia VM XUbuntu 14.4 si e' scaricata da sola la patch per Bash non appena ho lanciato gli aggiornamenti automatici. quindi immagino proprio che basti apt-get update ciao Sandro _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
|
|
In reply to this post by Andrea Peri
Il 26/09/2014 15:54, Andrea Peri ha scritto:
> apt-get update / upgrade > > basta o si deve puntare delle patch particolari che non fanno parte > del repository usuale ? se hai una debian recente (da stable in qua), basta. saluti. -- Paolo Cavallini - www.faunalia.eu Corsi QGIS e PostGIS: http://www.faunalia.eu/training.html _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
In reply to this post by a.furieri
Infatti, ho provato il test e mi dava vulnerable.
dopo l'apt-get upgrade non da' piu' vulnerable. Pero' l'articolo diceva che avrebbe dato un errore, la cosa non avviene. Dopo la patch non d'a nessun errore eseguendo lo script, pero' non compare piu' la frase "vulnerable". Immagino che sia un buon segno. A. Il 26 settembre 2014 16:25, <[hidden email]> ha scritto: > On Fri, 26 Sep 2014 15:54:03 +0200, Andrea Peri wrote: >> >> Verifichero', >> ma comunque i nostri servers della infrastruttura sono tutti su tomcat >> non usano apache per cui se anche ci sta il bacone, muore di inedia. >> (hi hi hi) >> > > mah ... il bug e' nella Bash ... non conosco esattamente come lavori > Tomcat per le CGI, ma se si appoggia alla Bash e' fritto anche lui :-) > > >> Invece sono piu' preoccupato per un mio serverino di lavoro debian 7 >> che uso per testare le varie soluzioni su internet. >> Ci sta che a questa ora parli gia' in cinese mandarino. >> >> Ma se faccio un >> apt-get update / upgrade >> >> basta o si deve puntare delle patch particolari che non fanno parte >> del repository usuale ? >> > > non ti do dire per Debian; comunque la mia VM XUbuntu 14.4 si e' > scaricata da sola la patch per Bash non appena ho lanciato gli > aggiornamenti automatici. > quindi immagino proprio che basti apt-get update > > ciao Sandro > -- ----------------- Andrea Peri . . . . . . . . . qwerty àèìòù ----------------- _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
In reply to this post by pcav
infatti ho verificato poco fa' che con apt-get il vulnerable è scomparso.
Il 26 settembre 2014 16:30, Paolo Cavallini <[hidden email]> ha scritto: > Il 26/09/2014 15:54, Andrea Peri ha scritto: > >> apt-get update / upgrade >> >> basta o si deve puntare delle patch particolari che non fanno parte >> del repository usuale ? > > se hai una debian recente (da stable in qua), basta. > saluti. > > -- > Paolo Cavallini - www.faunalia.eu > Corsi QGIS e PostGIS: http://www.faunalia.eu/training.html > _______________________________________________ > [hidden email] > http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss > Questa e' una lista di discussione pubblica aperta a tutti. > I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. > 666+40 iscritti al 5.6.2014 -- ----------------- Andrea Peri . . . . . . . . . qwerty àèìòù ----------------- _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
In reply to this post by Andrea Peri
On Fri, Sep 26, 2014 at 04:31:43PM +0200, Andrea Peri wrote:
> > Pero' l'articolo diceva che avrebbe dato un errore, la cosa non avviene. > Dopo la patch non d'a nessun errore eseguendo lo script, pero' non > compare piu' la frase "vulnerable". > Immagino che sia un buon segno. > La diagnostica dipende dalla versione di bash. Considerato che il giochino è in giro dal 2005, le varie versioni hanno comportamenti vari, una volta introdotto il fix AFAIK. -- Francesco P. Lovergine _______________________________________________ [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
Re: allarme sicurezza informatica
|
|
In reply to this post by Salvatore Larosa
credo che abbiano fatto due patch a batch... la prima che da il
messaggio che hai postato, un ulteriore update ha fatto sparire il bash warning. a presto, Luigi Pirelli 2014-09-26 15:08 GMT+02:00 Salvatore Larosa <[hidden email]>: > 2014-09-26 14:02 GMT+02:00 Francesco P. Lovergine <[hidden email]>: >> On Fri, Sep 26, 2014 at 01:55:22PM +0200, Luca Delucchi wrote: >>> 2014-09-26 13:53 GMT+02:00 Francesco P. Lovergine <[hidden email]>: >>> > On Fri, Sep 26, 2014 at 12:14:10PM +0200, Amedeo Fadini wrote: >>> >> >>> >> Uhm sapete dirmi se squeeze non è più supportato? >>> >> >>> > >>> > https://wiki.debian.org/LTS/Using#Add_squeeze-lts_to_your_sources.list > > An unaffected (or patched) system will output: > bash: warning: x: ignoring function definition attempt > bash: error importing function definition for `x' > this is a test > > ma io ottengo solo "this is a test" dopo aptitude update && aptitude > install bash && reboot, > nessun warning, mi chiedo il sistema è ancora vulnerabile? > La versione aggiornata ed installata è la 4.1-3+deb6u2, > > Saluti! > > -- > Salvatore Larosa > linkedIn: http://linkedin.com/in/larosasalvatore > twitter: @lrssvt > skype: s.larosa > IRC: lrssvt on freenode > _______________________________________________ > [hidden email] > http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss > Questa e' una lista di discussione pubblica aperta a tutti. > I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. > 666+40 iscritti al 5.6.2014 [hidden email] http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014 |
«
Return to Gfoss -- Geographic Free and Open Source Software - Italian mailing list
|
1 view|%1 views
| Free forum by Nabble | Edit this page |