Topic: Software OpenSource & Software Gratuito

[Underpass]

Arrivata la patch pure su Testing, comunque

[Geko]

Però va visto nel contesto:se ho capito bene si tratta di una vulnerabilità che interessa interazioni con la shell da remoto,qua dice

I sistemi, in cui Bash è la shell predefinita, potrebbero subire attacchi mediante richieste web, secure shell, sessioni telnet o altri programmi che usano Bash per eseguire script

come del resto anche qua http://www.ubuntu.com/usn/usn-2362-1/

Bash incorrectly handled trailing code in
function definitions. An attacker could use this issue to bypass
environment restrictions, such as SSH forced command environments.

insomma mi pare uno scenario poco probabile per un tipico uso di un computer desktop.

Ovviamente per i server o comunque nel caso uno abbia attivato servizi da remoto tipo SSH o condivisione desktop,è un'altra storia.

E pure questa falla,al pari di Heartbleed,ce la siamo tenuta per chissà quanto tempo senza sospettare niente,pronta per essere usata da chi sapeva.
Mi viene quasi da pensare che quando una vulnerabilità viene trovata,è perchè non serve più e ne esiste una migliore da sfruttare.

[Underpass]

Se alcuni servizi girano con bash, idealmente qualunque script potrebbe farci cose coi privilegi di root. Certamente i server sono più esposti.

La falla ha, da quanto ho capito, 25 anni.

[fabrixx]

Allora aggiorno non si sa mai..

Questo è il changelog di Bash in Debian Testing:

bash (4.3-9.1) unstable; urgency=high

  * Non-maintainer upload by the security team
  * Apply upstream patch bash43-025, fixing CVE-2014-6271.

 -- Florian Weimer <fw@deneb.enyo.de>  Wed, 24 Sep 2014 20:29:30 +0200

[miki64]

Scusate l'ignoranza, ma si aggiorna dal Gestore aggiornamenti o bisogna fare qualcos'altro? 

[Underpass]

Sì, aggiorna tranquillamente così

[Iceberg]

Arrivato l'aggiornamento su testing, uno dei rarissimi aggiornamenti arrivati fuori orario.

Codice: [Seleziona]

I sistemi, in cui Bash è la shell predefinita...Effettivamente come diceva @Underpass la mia shell predefinita è Dash (non lo sapevo).

Dash esegue gli script più velocemente di Bash e ha un numero inferiore di dipendenze a librerie (rendendola più robusta verso i problemi software e hardware), per questo è usata come shell di sistema predefinita nei sistemi Debian.

[fabrixx]

Io pensavo fosse un detersivo..

In effetti ora passa il test..

[Underpass]

@Iceberg: se uno script richiama la bash esplicitamente

Codice: [Seleziona]

#! /bin/bash
allora il problema ci può essere. Se in Debian è solo

Codice: [Seleziona]

#! /bin/sh
allora richiama la shell predefinita.

[Underpass]

Nuovo giro, nuova corsa

https://security-tracker.debian.org/tracker/CVE-2014-7169

La patch non era completamente risolutiva

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

[Iceberg]

Arrivato il fix della patch, su testing.
Fine?

[Underpass]

Mah, ho letto oggi un post in inglese in cui si diceva che eravamo solo all'inizio delle danze...

[Iceberg]

Nuovo aggiornamento di bash.

Con bash che si avvia a diventare sempre più sicuro (giusto vero?), sembra ci sia un altro problemino all'orizzonte:
http://www.ilsoftware.it/articoli.asp?tag=Attacco-al-firmware-dei-device-USB-con-BadUSB_11369

http://punto-informatico.it
/4152700/PI/News/badusb-fuori-dalla-gabbia.aspx

[Underpass]

Ala fine la proposta di qualche cervellone - secondo me anche sensata, per certi versi - è stata quella di eliminare il problema a costo di spezzare la compatibilità con le versioni precedenti di bash.

Stavo leggendo proprio poco fa di BadUSB

[fabrixx]

Light:

a light Firefox edition. Many components are slimmed down. So it can start faster and use less memory. By default, Light can run along with official firefox. Both x86 and x64 builds are available.

http://sourceforge.net/projects/lightfirefox/