[MontelLUG] Fwd: [ml] Bug inquietante di bash (aka CVE-2014-6271)

[Walter Barbagallo]

Da notare che il NIST ha assegnato uno score di 10 (il massimo).
La cosa che fa tremare è che è presente da 22 anni :|

altri riferimenti interessanti sull'info:
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html (contiene
uno snippet per vedere se si è esposti, non ho indagato se è valido o meno)
http://attivissimo.blogspot.it/2014/09/shellshock-falla-critica-in-linux-mac.html
(sono interessanti gli aggiornamenti che scrive sul suo post)

Il 25/09/2014 13:34, Samuele ha scritto:
> Inoltro anche qui per conoscenza:
> 
>> Ieri è stato reso noto l'ennesimo "baco del secolo", da cosa sto capendo
>> è possibile fare eseguire del codice arbitrario a bash grazie a
>> un'errata interpretazione delle variabili di environment.
>>
>> A quanto pare la cosa potrebbe interessare anche i webserver che per
>> qualche ragione eseguono qualche script in bash (es: cgi, system() e via
>> dicendo). Sto cercando di capire meglio come verificare la vulnerabilità
>> a questo genere di attacchi, sopratutto come risolvere la questione su
>> vecchie installazioni poco mantenute (ho ancora online un paio di Debian
>> lenny che purtroppo non sono aggiornabili). Potendo eseguire qualsiasi
>> cosa, credo ci siano implicazioni non da poco...
>>
>> Ecco un po' di documentazione, è sufficiente cercare "bash shellshock"
>> sul vostro motore di ricerca preferito per avere altro materiale.
>>
>> http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
>> https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
>>
>> http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html
>> http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html
>>
>> Che ne pensate?
>>
> 
> 
> 
> _______________________________________________
> montellug mailing list
> montellug a montellug.it
> http://mail.montellug.it/mailman/listinfo/montellug