Ciao ragazzi,ho aggiornato oggi Ubuntu 14.04.1 LTS,e andando su "dettagli" ho visto che un aggiornamento era "bash" ora...quell`aggiornamento era per il temuto "Shellshock?

chiesto 27 Set '14, 14:46

Alien_X's gravatar image

Alien_X
162153746

1

boh non ne so praticamente niente, ma pare che con questi 2 test, dovresti vedere se la vulnerabilità è stata corretta

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

se ti scrive a terminale this is a test è a posto

e questo

env X='() { (a)=>\' sh -c "echo date"; cat echo

se ti da cat: echo: File o directory non esistente

sei a posto

(27 Set '14, 15:09) anonimo01 anonimo01's gravatar image

@stani tutto ok,grazie

(28 Set '14, 13:17) Alien_X Alien_X's gravatar image

@Alien_X: non usare le risposte, usa i commenti.

(28 Set '14, 15:36) enzotib ♦♦ enzotib's gravatar image

@Alien_X, controlla tu stesso:

apt-get changelog bash

questi gli ultimi due aggiornamenti:

bash (4.3-7ubuntu1.3) trusty-security; urgency=medium

  * Updated debian/patches/CVE-2014-7169.diff to also patch y.tab.c in
    case it doesn't get regenerated when built (LP: #1374207)

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Thu, 25 Sep 2014 21:20:03 -0400

bash (4.3-7ubuntu1.2) trusty-security; urgency=medium

  * SECURITY UPDATE: incomplete fix for CVE-2014-6271
    - debian/patches/CVE-2014-7169.diff: fix logic in parse.y.
    - CVE-2014-7169

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Thu, 25 Sep 2014 02:06:49 -0400

L'ultimo non è di sicurezza, il penultimo invece fa riferimento a CVE-2014-6271, e una rapida ricerca in rete fornisce come primo risultato http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

Vulnerability Summary for CVE-2014-6271
Original release date: 09/24/2014
Last revised: 09/26/2014
Source: US-CERT/NIST
Overview
GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution, aka "ShellShock." NOTE: the original fix for this issue was incorrect; CVE-2014-7169 has been assigned to cover the vulnerability that is still present after the incorrect fix.

Quindi non questo, ma il precedente aggiornamento aveva affrontato il problema.

coll. permanente

ha risposto 27 Set '14, 15:03

enzotib's gravatar image

enzotib ♦♦
14.0k112186

modificato 27 Set '14, 19:17

La tua risposta
abilita/disabilita anteprima

Segui questa domanda

Via email:

Una volta eseguito l'accesso potrai iscriverti a tutti gli aggiornamenti qui

Via RSS:

Risposte

Risposte e commenti

Basi di markdown

  • *corsivo* o __corsivo__
  • **grassetto** o __grassetto__
  • collegamento:[testo](http://url.com/ "titolo")
  • immagine?![alt testo](/path/img.jpg "titolo")
  • elenco numerato: 1. Foo 2. Bar
  • per aggiungere un'interruzione di riga, aggiungi due spazi a fine riga e premi «Invio»
  • è supportato anche semplice HTML

Tag:

×253
×18

domanda posta: 27 Set '14, 14:46

domanda visualizzata: 2,639 volte

ultimo aggiornamento: 28 Set '14, 15:36

Chiedi è un servizio di supporto gestito da Ubuntu-it. Contattaci!

powered by OSQAPostgreSQL database
Ubuntu e Canonical sono marchi registrati da Canonical Ltd.