Home Forum Debian Varie Vulnerabilità mette in pericolo Linux

Vulnerabilità mette in pericolo Linux

Login per inviare commenti
10 risposte [Ultimo contenuto]
Lun, 29/09/2014 - 17:45
Ritratto di Robert Lang
Robert Lang
(Junior)
Offline
Junior
Iscritto: 06/09/2014
Messaggi: 14

Ho letto diun virus, 'shell shock,' che sfrutta una vulnerabilità esistente da oltre 20 anni, che mette in serio pericolo la sicurezza di Linux. http://www.hwupgrade.it/articoli/sicurezza-software/4156/shellshock-una-vulnerabilita-che-puo-mettere-in-ginocchio-il-web_index.html

Dopo aver aggiornato la mia Debian Wheezy ho eseguito il test indicato in questa pagina http://www.ilsoftware.it/articoli.asp?tag=Altri-dettagli-su-Shellshock-la-falla-sui-sistemi-Linux_11347, il risultato lo vedete nella schermata allegata. Da quanto ho capito sono vulnerabile. Voi avete lo stesso problema?

AllegatoDimensione
schermata_del_2014-09-29_174244.png20.54 KB

Notebook:Acer Aspire 5930G; proc.: Intel DualCore T5800 2GHz: RAM:3GB, HDD:250GB Scheda Video:NVidia GeForce 9600M GT TurboCache
Sistema Operativo: Debian Jessie (Xfce 4.10)

In cima
  • Login per inviare commenti
  • 4410 visite
Lun, 29/09/2014 - 18:27
#1
Ritratto di andr3a
andr3a
(Geek)
Offline
Geek
Iscritto: 31/07/2014
Messaggi: 97

dovrebbe essere così

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

In cima
  • Login per inviare commenti
Lun, 29/09/2014 - 19:03
#2
Ritratto di Robert Lang
Robert Lang
(Junior)
Offline
Junior
Iscritto: 06/09/2014
Messaggi: 14

Fatto, il risultato è sempre uguale. Che significa? Sono vulnerabile?

Attached images:

schermata_del_2014-09-29_190101.png

Notebook:Acer Aspire 5930G; proc.: Intel DualCore T5800 2GHz: RAM:3GB, HDD:250GB Scheda Video:NVidia GeForce 9600M GT TurboCache
Sistema Operativo: Debian Jessie (Xfce 4.10)

In cima
  • Login per inviare commenti
Lun, 29/09/2014 - 19:57
#3
Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

No: lo saresti se avesse stampato "vulnerable" a video.

In cima
  • Login per inviare commenti
Lun, 29/09/2014 - 20:07
#4
Ritratto di andr3a
andr3a
(Geek)
Offline
Geek
Iscritto: 31/07/2014
Messaggi: 97

ho trovato in rete anche

https://shellshocker.net/

Non ho testato personalmente tutti gli exploit.
Mi sa che su un pc di casa, dopo aver aggiornato, rimane difficile che il sistema sia vulnerabile.
Mi sa che era difficile anche senza aggiornamenti, o sbaglio?

In cima
  • Login per inviare commenti
Mar, 30/09/2014 - 16:37
#5
Ritratto di mandian
mandian
(Geek)
Offline
Geek
Iscritto: 16/05/2011
Messaggi: 129

@Robert Lang: non è un virus, ma un errore in bash.

@andr3a: appena posso li testerò, però i primo due dovrebbero essere già stati risolti qui e qui. Per gli altri, se sono ancora presenti, non rimane che aspettare gli aggiornamenti.

Da quello che ho letto, però, per esfruttare queste vulnerabilità bieogna che l'attacante abbia accesso diretto alla bash ed in ogni caso esse non dovrebbero consentire il raggiungimento dei permessi di amministratore.

ciao,
mandian

In cima
  • Login per inviare commenti
Mar, 30/09/2014 - 18:50
#6
Ritratto di andr3a
andr3a
(Geek)
Offline
Geek
Iscritto: 31/07/2014
Messaggi: 97

Anch'io, da quello che ho letto, per sfruttare questa vulnerabilità dovrebbero esserci delle condizioni che un buon amministratore difficilmente lascerebbe lì. Una tra tante, per esempio, è che debian non fa più uso di bash già da squeeze.
Ma siccome io sono uno che vede complotti ovunque, a me è sembrato che non si aspettasse altro per sparare a raffica su GNU/Linux e più in generale sull'open. Mi sbaglierò, ma veder parlare di shellshock anche coloro che si occupano, che ne so, di ricette o altro, mi ha fatto dubitare.
Mi sbaglierò!

In cima
  • Login per inviare commenti
Gio, 02/10/2014 - 16:51
#7
Ritratto di mandian
mandian
(Geek)
Offline
Geek
Iscritto: 16/05/2011
Messaggi: 129

andr3a ha scritto:

Una tra tante, per esempio, è che debian non fa più uso di bash già da squeeze.

In che senso? Qui dice il contrario.

Qualche problema ci potrebbe essere per i dispositivi embedded sui quali non si ha il controllo diretto del software e che di solito utilizzano delle mini-distribuzioni apposite (es. router della società telefonica) poiché non saranno raggiunti dagli aggiornamenti.

ciao,
mandian

In cima
  • Login per inviare commenti
Gio, 02/10/2014 - 17:07
#8
Ritratto di andr3a
andr3a
(Geek)
Offline
Geek
Iscritto: 31/07/2014
Messaggi: 97

nel senso che di default, come shell, per gli script da passare al sistema, non usa bash. Almeno così avevo letto, se ritrovo l'articolo lo posto.

Ho trovato questo video, mi sembra che spieghi molto bene.
https://www.youtube.com/watch?v=F_o7rMY93lU

Edit
http://guide.debianizzati.org/index.php/Bash_scripting_-_introduzione
dove appunto

Citazione:

Inizialmente bash era usata anche per gli script di sistema (con /bin/sh che era un link simbolico a /bin/bash), ma per questa funzione è stata rimpiazzata da dash (Debian Almquist SHell): più veloce, con meno dipendenze di librerie e aderente più strettamente a POSIX.

Si venderanno un sacco di router nuovi Smile

In cima
  • Login per inviare commenti
Ven, 03/10/2014 - 00:28
#9
Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

Gli script di sistema e i demoni, se girano con un loro proprio utente, dovrebbero usare /bin/sh come shell predefinita, che a sua volta è un collegamento a /bin/dash e quindi immune a questo problema.

In particolare il server HTTP, sia esso Apache o Nginx, sotto Debian gira come utente www-data, che ha come shell predefinita /bin/sh, quindi tutto ok.

Si può però immaginare un sistema vecchiotto dove /bin/sh è ancora collegato a /bin/bash. Allora un malintenzionato potrebbe accedere al seguente URL (è solo un'abbozzo, sicuramente non funziona così com'è!):

http://sito.da.attaccare/script-esistente?query='() { :; }; nc -l -p 1234 </etc/passwd'

Il server HTTP lancerebbe lo script "script-esistente" tramite una bash, passandogli il parametro query attraverso una variabile d'ambiente. Se la bash è affetta dal baco in questione, eseguirebbe quel codice maligno (nc, ossia netcat) che trasferirebbe il file /etc/passwd a chiunque si colleghi alla porta 1234 in quel momento.

Ovviamente i danni possibili sono pochi, perché limitati alle cose che può fare l'utente www-data.

Lo stesso effetto si avrebbe se il server HTTP girasse come utente diverso da quello standard (www-data) -- ad esempio perché deve accedere in scrittura ad un database e l'amministratore, per semplificarsi la vita, ha creato un utente ad hoc e gli ha attribuito la bash come shell predefinita.

Certo che se invece che un utente ad hoc, il server usa direttamente root, allora la cosa si fa seria, ma stiamo parlando di un amministratore da licenziare subito! Big Grin

In cima
  • Login per inviare commenti
Ven, 03/10/2014 - 08:43
#10
Ritratto di andr3a
andr3a
(Geek)
Offline
Geek
Iscritto: 31/07/2014
Messaggi: 97

Grazie mcortese, un altro tassello chiaro e cristallino.
In questi giorni è stato difficile farsi un'idea, si è letto tutto e il contrario di tutto.

In cima
  • Login per inviare commenti
Login per inviare commenti
‹ Previous topic: Niente schermata per il login con debian testing Next topic: Repo sicurezza inesistente? ›