BASH Security FIX: ShellShock BUG

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
lennynero
Linux 2.6
Linux 2.6
Messaggi: 587
Iscritto il: lun mag 03, 2004 0:00
Nome Cognome: Luigi Picaro
Slackware: 14.2-x64
Kernel: 4.4.14
Desktop: xfce-4.12
Località: Salerno
Contatta:

BASH Security FIX: ShellShock BUG

Messaggioda lennynero » ven set 26, 2014 19:52

Salve a tutti,
mi preme segnalarvi il bugfix rilasciato ieri(sia per il ramo current che per la stable) per la Shell BASH.
Il problema riguarda gli attacchi da parte di script CGI malevoli che sfruttando la porta 80 per avere accesso alla shell del sistema.
Maggiori dettagli possono essere reperiti qui: http://cve.mitre.org/cgi-bin/cvename.cg ... -2014-7169. Il link e' indicato anche nel changelog di PAT;)
Ultima modifica di lennynero il lun set 29, 2014 11:13, modificato 1 volta in totale.

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6469
Iscritto il: gio nov 03, 2005 14:05
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: BASH Security FIX: ShellShock BUG

Messaggioda targzeta » sab set 27, 2014 3:38

Il nostro server è già aggiornato. La patch è uscita subito su tutte le Slackware supportate.

Emanuele
Linux Registered User #454438
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
20/04/2013 - Io volevo Rodotà 

miklos
Linux 3.x
Linux 3.x
Messaggi: 1430
Iscritto il: lun lug 16, 2007 17:39
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggioda miklos » ven ott 24, 2014 17:56

Dato che alcuni bug di sicurezza, mi pare non siano stati ancora fixati sto sperimentando la via drastica.. ovvero rimuovere totalmente la bash sostituendola con la tcsh.
Al momento il serverino su cui sto provando si avvia normalmente e non ho notato alcune stranezze in tal senso. A quanto pare gli script di avvio slackware sono compatibili con altre shell :)
ho visto cose che voi astemi non potete immaginare

Avatar utente
Ansa89
Iper Master
Iper Master
Messaggi: 2701
Iscritto il: mer ago 29, 2007 17:57
Nome Cognome: Stefano Ansaloni
Slackware: 14.1 64bit
Kernel: 4.8.11-ck8
Desktop: XFCE 4.10
Località: Modena
Contatta:

Re: BASH Security FIX: ShellShock BUG

Messaggioda Ansa89 » lun ott 27, 2014 11:58

miklos ha scritto:A quanto pare gli script di avvio slackware sono compatibili con altre shell :)

Da quello che mi ricordo, tutti gli script di avvio di slackware vengono interpretati da "/bin/sh", quindi teoricamente qualsiasi shell basata su sh non dovrebbe dare problemi.
Tratto da wikipedia:
wikipedia ha scritto:La TENEX C Shell, o tcsh (pronunciato "T-shell") è una shell per sistemi Unix-like basata e compatibile con C shell (csh).

Stando a queste informazioni, tcsh deriva da csh, che a sua volta è compatibile con sh; pertanto tcsh dovrebbe interpretare senza problemi ogni script compatibile con sh.

Tuttavia è anche vero che tra il dire e il fare c'è di mezzo il mare e può capitare che qualche caratteristica di sh sia stata tralasciata e/o implementata male in tcsh; quindi la segnalazione è sicuramente un punto a favore di slackware.

miklos
Linux 3.x
Linux 3.x
Messaggi: 1430
Iscritto il: lun lug 16, 2007 17:39
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggioda miklos » lun ott 27, 2014 13:46

Ansa89 ha scritto:quindi la segnalazione è sicuramente un punto a favore di slackware.
si.. tra l'altro il serverino è up da allora e si è avviato tutto tranquillamente :)
ci sono alcune differenze di 'stile' piu' che altro, tipo il completamento automatico dei comandi che premendo tab di appare sotto il prompt invece di apparire eppoi ripresentare il prompt nuovamente, pero' slackware sembra essere 99% compatibile.. ammetto di non aver provato slackpkg ancora, ma conoscendo Pat immagino non ci siano problemi di sorta
tra l'altro il passaggio è molto semplice, dato che come dicevi tu, gli script sono eseguiti da /bin/sh.
io sostanzialmente ho dovuto cambiare la shell con chsh ai vari utenti.. ricreare il link simbolico a /bin/sh facendolo puntare a tcsh e rimosso il pacchetto della bash.
ho visto cose che voi astemi non potete immaginare

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2194
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.14.0
Desktop: lxde
Località: Pisa
Contatta:

Re: BASH Security FIX: ShellShock BUG

Messaggioda ponce » lun ott 27, 2014 16:40

occhio che, a quel che ricordo da una chiaccherata fatta al riguardo con Robby Workman (non rammento dove, LQ o IRC), sia gli script d'avvio che quelli di amministrazione che gli SlackBuild contengono delle istruzioni specifiche di bash, quindi e' possibile che qualcosa non funzioni: la frase esatta di Robby che ricordo e' che far puntare un'altra shell diversa da bash al link /bin/sh era UNSUPPORTED.
detto questo, niente vieta di vivere pericolosamente... ;)

miklos
Linux 3.x
Linux 3.x
Messaggi: 1430
Iscritto il: lun lug 16, 2007 17:39
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggioda miklos » lun ott 27, 2014 17:41

al momento nulla di grave all'orizzonte.. certo che se è UNSUPPORTED potrebbero pure togliere /bin/sh dagli script allora, perchè a me l'idea mi è venuta proprio per questo motivo, ovvero che non c'e' un riferimento preciso alla bash
ho visto cose che voi astemi non potete immaginare

miklos
Linux 3.x
Linux 3.x
Messaggi: 1430
Iscritto il: lun lug 16, 2007 17:39
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggioda miklos » lun ott 27, 2014 18:06

a meno che ci siano cosi' pochi folli al mondo da sostituire la bash che magari un test del genere potrebbe essere utile a migliorare ulteriormente gli script e rendere slackware indipendente dalla shell (relativamente agli script di avvio/amministrazione) e in quel caso mi offro volontario :)
ho visto cose che voi astemi non potete immaginare

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2194
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.14.0
Desktop: lxde
Località: Pisa
Contatta:

Re: BASH Security FIX: ShellShock BUG

Messaggioda ponce » lun ott 27, 2014 21:18

premetto che non e' mia intenzione scoraggiare nessuno, pero'...

mi sembra, se ricordo bene, che qualche tempo fa una moderatrice di LinuxQuestions, Grapefruit Girl, si mise di buzzo buono e fece un lavorone incredibile cercando di trasformare tutti gli script specifici di Slackware in posix-compliant, pero' Pat non li modifico' con le sue correzioni: probabilmente penso' che, riguardando aspetti delicati del sistema, avrebbero dovuto essere testati per degli anni e da molte persone (come quelli che ci sono gia') con le modifiche suggerite prima di poter essere considerati privi di casini e poi forse anche perche' non ha senso supportare tutte le shell esistenti con cosi pochi maintainer (nel caso di Slackware, uno).
non so perche' ma e' qualche anno che Grapefruit Girl non si vede piu' sul forum.

questo trascorso comunque secondo me comporta che chi eventualmente si mettesse a fare un lavoro del genere, dovrebbe molto probabilmente mantenere le modifiche per qualche anno con diversa gente che gliele testa con csh, ksh, dash, ecc. prima di vederle entrare in Slackware (se mai ci entreranno...).

qualche tempo fa venne anche a me lo sghiribizzo di fare qualcosa del genere con gli script di SBo, ma gli altri amministratori mi invitarono a lasciar perdere (per il solito motivo)...

miklos
Linux 3.x
Linux 3.x
Messaggi: 1430
Iscritto il: lun lug 16, 2007 17:39
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggioda miklos » lun ott 27, 2014 22:55

ponce ha scritto:premetto che non e' mia intenzione scoraggiare nessuno, pero'...
tranquillo... non mi scoraggio per cosi' poco :)
comunque qui non si tratta di fare un lavorone come quelli che hai citato.. ma eventualmente di ritoccare qualcosa anche perchè io slackware con tcsh l'ho avviata... non ha fatto una piega..
certo.. mo a provare lo script che ti cambia la tastiera.. o lo stesso slackpkg è sicuramente diverso.. pero' che slackware si avvia non è in discussione perchè sono la prova vivente che funziona :)
ora provo su un vecchio picci ad uso desktop e se anche l'90% degli script va senza intoppi sarei contento.. fermo restando che il mio tentativo riguarda un server che ha sicuramente software e problematiche di sicurezza ben diverse di un desktop (networkmanager o un server x non sono nemmeno installati) quindi oltre ad essere stato sicuramente fortunato, non ho la reale esigenza di eliminare la bash su un sistema ad uso 'casalingo'
ho visto cose che voi astemi non potete immaginare

miklos
Linux 3.x
Linux 3.x
Messaggi: 1430
Iscritto il: lun lug 16, 2007 17:39
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggioda miklos » lun ott 27, 2014 23:07

aggiungo pure pero'... che per come stanno adesso le cose non ha senso avere tutte queste shell, se poi slackware non è totalmente compatibile perchè se decido di cambiarla per un qualsiasi motivo diverso dal mio eppoi non riesco ad installare i pacchetti trovo che una distribuzione che mira all'essenziale come slackware c'abbia un qualcosa di cui non ne capisco l'utilità (e sarebbe una delle prime volte)
ho visto cose che voi astemi non potete immaginare

miklos
Linux 3.x
Linux 3.x
Messaggi: 1430
Iscritto il: lun lug 16, 2007 17:39
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggioda miklos » lun ott 27, 2014 23:31

ragazzi... cospargo il capo di cenere
miklos ha scritto:ovvero rimuovere totalmente la bash sostituendola con la tcsh.
difatti non ho utilizzato la tcsh, ma una shell chiamata zsh. replicando la storia su un altro picci con la tcsh non va proprio.
con la zsh invece va tutto persino slackpkg.. l'unica cosa che non va al momento è lo script che monta i device criptati (l'rc.S va in errore in quei punti)
provo a vedere di che si tratta, ma probabilmente come diceva ponce potrebbe aprirsi un vaso di pandora troppo grosso :(
peccato pero' :)
ho visto cose che voi astemi non potete immaginare

miklos
Linux 3.x
Linux 3.x
Messaggi: 1430
Iscritto il: lun lug 16, 2007 17:39
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2
Località: Roma

Re: BASH Security FIX: ShellShock BUG

Messaggioda miklos » lun ott 27, 2014 23:45

che poi pure questa c'ha i suoi bei shellshock problemi :)
ok come non detto.. sostituire la bash non ha senso se non per puro apprendimento
ho visto cose che voi astemi non potete immaginare

Avatar utente
marlavo
Linux 2.0
Linux 2.0
Messaggi: 175
Iscritto il: ven lug 02, 2010 16:38
Nome Cognome: Marco Lavorini
Slackware: 14.2 01 00 00 00
Kernel: 4.4.88
Desktop: XFCE 4.12

Re: BASH Security FIX: ShellShock BUG

Messaggioda marlavo » mar ott 28, 2014 20:13

Offtopic: https://plus.google.com/+SamiLehtinen/posts/fJnqnzLjaTT
Provato di persona, funziona, se così si può dire :roll:
Mal comune...