Alfonso Maruccia

Shellshock, tanta confusione e tante patch attorno a BASH

Si succedono gli aggiornamenti e gli avvertimenti. Ma non c'č accordo sulla reale portata del problema. In ogni caso, aziende e singoli sviluppatori sono impegnati nel salvare il mondo *nix

Roma - Come prevedibile, il "day after" del bug Shellshock è caratterizzato dal susseguirsi di allarmi, annunci di patch che patchano patch già rilasciate in precedenza, rassicurazioni e testimonianze di attacchi telematici in corso. Il caos non risparmia nessuno, e Shellshock è probabilmente destinato a far sentire i propri effetti negli anni a venire. Sullo sfondo, si innesca una polemica su come sia stato possibile che tutto ciò accadesse, nel tentativo (vano) di individuare un responsabile o un capro espiatorio (nessuno tocchi R.M. Stallman).

Da esperti e sviluppatori arriva prima di tutto una conferma molto poco confortante: Bash ha un bel po' di problemi a gestire le variabili d'ambiente malformate, e la vulnerabilità classificata come "Shellshock" rappresenta solo la testa di ponte di una più generale insicurezza di non facile risoluzione. I metodi proposti per la chiusura definitiva dei bug Shellshock comportano una probabile rottura della retrocompatibilità con le vecchie versioni di Bash, con i prevedibili disagi del caso per i sistemi che necessiterebbero di essere messi offline per l'aggiornamento e il perdurante rischio posto da server e dispositivi il cui upgrade non è possibile o probabile.

Il fatto che patchare Shellshock sia una pratica difficile non impedisce alle grandi aziende IT di provarci, a ogni modo: tra i grandi nomi coinvolti nella nuova crisi di (in)sicurezza figura Red Hat, impegnata a distribuire nuovi update dopo che i precedenti si erano rivelati insufficienti, e Oracle che prima di distribuire nuovo codice aspetta di concludere l'analisi su una vulnerabilità che coinvolge ben 32 dei suoi prodotti commerciali.
Ed Apple? Da Cupertino arriva la rassicurazione sull'invincibilità di Mac OS X in configurazione di default, mentre solo gli utenti che avessero configurato i "servizi UNIX avanzati" potrebbero avere a che fare con il problema Shellshock. Per loro è comunque in arrivo una patch.

La vulnerabilità di Bash non muove solo gli sviluppatori e le aziende hi-tech, visto che anche i cyber-criminali e i cracker sembrano essersi subito attivati per sfruttare il baco: le società specializzate nei servizi di difesa online hanno cominciato a identificare attacchi diretti a sfruttare Shellshock, con un rapporto tra tentativi distruttivi e non di 1 a 9. Una proporzione sicuramente destinata a cambiare nel prossimo futuro.

Alfonso Maruccia
Notizie collegate
157 Commenti alla Notizia Shellshock, tanta confusione e tante patch attorno a BASH
Ordina
  • - Scritto da: user8
    > apple ha rilasciato la patch
    >
    > http://support.apple.com/kb/DL1769?viewlocale=en_U
    >
    > http://support.apple.com/kb/DL1768 mountain lion
    >
    > http://support.apple.com/kb/DL1767 e lion

    E questa patcha veramente o lascia buchi come l'altra ?
    non+autenticato
  • nel mondo open source non c'è uno standard unico, solo pezze applicate male o a metà!
    non+autenticato
  • - Scritto da: suc
    > nel mondo open source non c'è uno standard unico,
    > solo pezze applicate male o a metà!

    e tu stanne alla larga, no?
    ci sono fior di multinazionali che ti offrono software chiuso, di che ti lamenti?
    non+autenticato
  • - Scritto da: suc
    > nel mondo open source non c'è uno standard unico,
    > solo pezze applicate male o a
    > metà!


    Poi basta vedere quante distribuzioni linux esistono, una marea, ovvero un casino!   

    http://distrowatch.com/
    non+autenticato
  • Oltre 700 se vengono comprese anche quelle specifiche per alcuni usi ....

    Quante sono invece quelle princpali ? a malapena superano le dita di una mano....
    non+autenticato
  • + una (almeno) dato che non è poi raro trovarsi a personalizzare una distro (o addirittura farsela "from scratch") se hai scopi particolari.
    Io ad esempio ho applicato patch real time su un paio di sistemi che mi servivano come sintetizzatori midizzati o "studio di registrazione".
    I macachi invece giocano con giocattoli tipo garage band e i winari (bene che vada) con cubase.
    Ma lasciamo stare qui entriamo troppo nello specifico di "nicchia" pper chi ha certi interessi.
    Era solo per dire che una delle vere cose belle che ha Linux è proprio il fatto che se ci sai fare lo fai "come ti serve" anche solo per una specifica mission.
    Non è un caso che ormai domini nell'embedded.
    non+autenticato
  • infatti che sia un casino lo conferma chi scrive virus.
    A oggi sono gli unici programmi "write once run anywindoze"
    Rotola dal ridereRotola dal ridere
    Forse li scrive gente che non   usa "visual qualcosa" e c# ma che in compenso conosce a menadito certe "features"....
    non+autenticato
  • https://www.techdirt.com/articles/20130614/0211022... , e sono il primo a dire che Microsoft fa dei prodotti validi . Con SQL Server 2014 con gli Analysis Services + Reporting Services sono venute fuori di quelle analisi da far "paura", e roba opensorcia come Pentaho ci avrei messo secoli. Oppure con Visual Studio ho subito iniziato a programmare, mentre con l' IDE dato insieme a QT, non l'ho trovato per nulla immediato (della serie: Dove ca$$o si trova il metodo "click" per l'oggetto bottone?) .


    http://beta.slashdot.org/story/207825 : a quanto pare sembra che bash sia bucata quanto un groviera (nel frattempo rimango con zsh, va...)
    non+autenticato
  • PS: Se è vero quello che dice l'articolo che ho pubblicato, che m$ prima da alle agenzie governative gli exploit, prima di patcharle fa pensare, comunque....
    non+autenticato
  • - Scritto da: For teh lulz
    > https://www.techdirt.com/articles/20130614/0211022
    >
    >
    > http://beta.slashdot.org/story/207825 : a quanto
    > pare sembra che bash sia bucata quanto un
    > groviera (nel frattempo rimango con zsh,
    > va...)

    Son d' accordo su VS. E il migliore software che arriva da MS.
    Non tanto per l' editor di GUI che uno sopravvive anche senza e si trova pure in altri prodotti con la stessa qualita come Delphi (e buona cosa averlo, non dico di no, e XAML e comodo), ma per:
    - Intellisense e tutti i sistemi di suggerimento e navigazione del codice che fornisce per C++, C#, VisualBasic e pure in tutto il mondo ASP.NET (HTML, CSS, JS, nei template Razor).
    - Debugger e interfaccia di debugging.
    - Testing suite integrata.
    - NU Package manager.

    Eclipse si avvicina pure ma e 1000 volte piu pesante e usa il quadruplo della memoria per fare le stesse cose.
    non+autenticato
  • - Scritto da: For teh lulz

    > Dove ca$$o si trova il metodo "click" per l'oggetto bottone?

    Nei sorgenti con vi hai provato a guardare ? Di solito li' lo trovi.
    non+autenticato
  • Alfonso Maruccia dove avete letto che Bash ha problemi nel parsing delle variabili di ambiente?

    Seriamente, piuttosto che predere parole qua e la e fare confusione tra le variabili interne codice del programma (programma scritto in C) e le variabili dell'interprete di comandi bash.

    Dove l'avete letto?

    del resto il link presentato in arstechnica riporta un messaggio, poi spiegato nella successiva risposta:

    http://lists.gnu.org/archive/html/bug-bash/2014-09...

    Non si può garantire un livello di sicurezza elevato fornendo l'accesso ad una shell, a meno di un chroot.

    Ad oggi, la patch per Bash è UNA.

    Ripeto è UNA

    non si susseguono nulla se non chiacchiere.
  • - Scritto da: kruks
    > Non si può garantire un livello di sicurezza
    > elevato fornendo l'accesso ad una shell, a meno
    > di un
    > chroot.
    BOOOM

    Che è quello che dicevamo nell'articolo precedente.
    Anzi, a dir la verità io la chroot jail non l'avevo nemmeno considerata, visto che senza patch GrSecurity non è proprio sicura. O meglio, lo è, ma non al punto tale da farci girare un servizio critico.

    Io avevo parlato addirittura di container, come lxc, OpenVZ, Jail e Zone.
    Darwin
    5126
  • incollo quello che è nella stessa pagina di arstechnica:


    If you are using at least Debian squeeze (6.0), you're actually probably in better shape than anyone using Red Hat. Debian links /bin/sh to /bin/dash, so unless a script or executable explicitly calls bash, you're safe.

    If you use "ForceCommand" directives in ssh, you can't rely on these if you let your users run bash. (You are effectively letting them get un-restricted shell access instead). But I think you could mitigate this by forcing them to run /bin/sh instead (or let them run mksh it's significantly more user friendly). And if you don't use "ForceCommand" it doesn't matter.

    dhclient runs shells scripts in /etc/dchp/dhclient-enter-hooks.d, /etc/dchp/dhclient-enter-hooks.d but unless something insane was done, it will execute them with /bin/sh unless the script explicitly calls bash.

    telnet, rsh, also are good things to disable, but you shouldn't have been using them in the first place.

    Check if you run any bash scripts out of inetd/xinetd (probably not).

    I don't know there might be other stuff. But, on debian, you're actually relatively safe unless somebody didn't something really stupid. The problem is, you can't really be too sure somebody didn't do something really stupid.
  • - Scritto da: Darwin
    > - Scritto da: kruks
    > > Non si può garantire un livello di sicurezza
    > > elevato fornendo l'accesso ad una shell, a
    > > meno di un chroot.
    > BOOOM

    > Che è quello che dicevamo nell'articolo
    > precedente.
    > Anzi, a dir la verità io la chroot jail non
    > l'avevo nemmeno considerata, visto che senza
    > patch GrSecurity non è proprio sicura. O meglio,
    > lo è, ma non al punto tale da farci girare un
    > servizio
    > critico.
    >
    > Io avevo parlato addirittura di container, come
    > lxc, OpenVZ, Jail e Zone.

    Quando si vede quando uno e' un sistemista UNIX o un sistemista windows.
    Solo un sistemista windows puo' pensare che bucata una dll = bucato tutto il sistema, poiche è abituato a lavorare con un SO ingegnerizzato male.

    UNIX essendo ingegnerizzato molto meglio e' composto da una serie di camere stagne che gli utilizzatori di windows non riescono neanche ad immaginare.
    non+autenticato
  • - Scritto da: ...
    > UNIX essendo ingegnerizzato molto meglio e'
    > composto da una serie di camere stagne
    Stagnissime
    non+autenticato
  • - Scritto da: xifkuibw
    > - Scritto da: ...
    > > UNIX essendo ingegnerizzato molto meglio
    > > e' composto da una serie di camere stagne
    > Stagnissime

    Dimostra pure il contrario, siamo qua per discutere, dicci dicci.
    non+autenticato
  • - Scritto da: ...
    > Dimostra pure il contrario, siamo qua per
    > discutere, dicci
    > dicci.
    Shellshock, mai sentito parlare?
    non+autenticato
  • - Scritto da: xifkuibw
    > - Scritto da: ...
    > > Dimostra pure il contrario, siamo qua per
    > > discutere, dicci dicci.

    > Shellshock, mai sentito parlare?

    Fermato dai container, appunto.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: xifkuibw
    > > - Scritto da: ...
    > > > Dimostra pure il contrario, siamo
    > > qua per discutere, dicci dicci.

    > > Shellshock, mai sentito parlare?

    > Fermato dai container, appunto.

    Lascia stare, non sa di cosa parla, non credo abbia mai visto un vero UNIX.
    non+autenticato
  • > Fermato dai container, appunto.
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: xifkuibw
    > > Fermato dai container, appunto.

    Proprio come dicevo nel post sopra, non sai di cosa si sta parlando.
    non+autenticato
  • http://www.enterprise-security-today.com/news/Hack...#

    Adesso, voi soloni cantinari venite qui con le chiappe al vento.
    E vi prendete le giuste cinghiate.

    Poi magari vi piace, ma questo è un altro, oscuro, discorso.
    maxsix
    9374
  • Vero vero! I software a codice aperto sono da ELIMINAREEEEEE!!!

    Adesso corri a cancellare mach_kernel dai tuoi MAC!!! CORRIIIIIII!!!!
    non+autenticato
  • - Scritto da: Gustavo Infezione
    > Vero vero! I software a codice aperto sono da
    > ELIMINAREEEEEE!!!
    >
    > Adesso corri a cancellare mach_kernel dai tuoi
    > MAC!!!
    > CORRIIIIIII!!!!

    Potremmo disquisire su cosa e chi eliminare.
    Non molto, ma potremmo.

    E, io non corro da nessuna parte se non lautamente pagato.

    Tu invece gratuitamente risolvi questo problema.

    ORA.

    Ah, ovviamente, prima vieni qui a prendere la tua quota di cinghiate dal matusa.
    Sai, la motivazione è importante.
    -----------------------------------------------------------
    Modificato dall' autore il 30 settembre 2014 09.46
    -----------------------------------------------------------
    maxsix
    9374
  • - Scritto da: maxsix

    > E, io non corro da nessuna parte se non
    > lautamente
    > pagato.

    sogna sogna, tanto più di 1 euro ogni mille post non ti danno Rotola dal ridere
    non+autenticato
  • Guarda che non ho minimizzato il problema, che è invece molto grave!
    Però sentire spalare merda sull'opensource da qualcuno che poi usa in buona parte codice opensource mi lascia parecchi dubbi!

    Ah, per inciso, il problema l'ho già sistemato ieri. Tu cinvece come sei messo sui tuoi mac?A bocca aperta
    non+autenticato
  • > Ah, per inciso, il problema l'ho già sistemato
    > ieri. Tu cinvece come sei messo sui tuoi mac?
    >A bocca aperta

    Ieri? Sei fuori?
    Ti uccidono qui dentro perché non ha gli aggiornamenti automatici o non hai fatto alt-get update bash.

    Comunque il workaround per OS X l'ho postato io, hmmm, 3 giorni fa.
    Forse 4.
    maxsix
    9374
  • - Scritto da: maxsix
    > > Ah, per inciso, il problema l'ho già
    > sistemato
    > > ieri. Tu cinvece come sei messo sui tuoi mac?
    > >A bocca aperta
    >
    > Ieri? Sei fuori?
    > Ti uccidono qui dentro perché non ha gli
    > aggiornamenti automatici o non hai fatto alt-get
    > update
    > bash.
    >
    > Comunque il workaround per OS X l'ho postato io,
    > hmmm, 3 giorni
    > fa.
    > Forse 4.

    Eh sì, hai postato il workaround, roba tua immagino. Hai sistemato tu la falla di bash, cazzo! Rotola dal ridere
    non+autenticato
  • - Scritto da: maxsix
    > http://www.enterprise-security-today.com/news/Hack
    >
    > Adesso, voi soloni cantinari venite qui con le
    > chiappe al
    > vento.
    > E vi prendete le giuste cinghiate.
    >

    veramente le cinghiate le stai prendendo pure tu Rotola dal ridere

    ahahahahahahah non sfrutti i vantaggi dell'opensource ma prendi comunque le mazzate Rotola dal ridere

    p.s. Apple sta diffondendo il fix, evidentemente il bug non era così innocuo come dicevanoA bocca aperta
    non+autenticato
  • >
    > ahahahahahahah non sfrutti i vantaggi
    > dell'opensource ma prendi comunque le mazzate
    > Rotola dal ridere
    >
    Chi te lo dice a te che non sfrutto.
    CHI?

    Visto che posso compilare, quando e come voglio le vostre discariche di programmi.
    Se ne ho bisogno. O trovarli anche pacchettizati in giro. Tipo Macforge o parecchi Git che ci sono in giro.

    Mi chiedo eh, ma tu usi un Mac tutti i giorni e a parte sfracellarci le palle con la tua connessione a legno/vapore per gli aggiornamenti, non sai proprio una mazza.


    > p.s. Apple sta diffondendo il fix, evidentemente
    > il bug non era così innocuo come dicevano
    >A bocca aperta

    Nessuno lo ha mai detto.
    Apple ha semplicemente detto che i Mac in configurazione di default non sono vulnerabili in quanto non hanno i servizi colpiti dal bug attivi.

    Punto.

    E comunque stanno aggiornando.

    Ora dai, accappatoio, infradito e vieni qui a prenderti le cinghiate che meriti.
    maxsix
    9374
  • Ah bellissimi questi 725 attacchi.

    Ma leggiamo meglio:
    Elsewhere, security researchers at Incapsula logged more than 17,400 attacks at an average rate of 725 an hour. The company said that more than 1,800 domains in its network were attacked from about 400 unique IP addresses, more than half originating in China and the United States.

    Attackers are using scanners that bombard networks and seek out vulnerable machines.


    Ma questo bug non colpiva la quasi totalità dei server?
    E perché tutto internet non è down, allora?
    A me sembra che l'articolo dica che gli attaccanti stiano ANCORA cercando macchine vulnerabili .

    Bene, visto che Sasser e Blaster macinavano ben altri numeri, ci porti di grazia casi di attacchi portati a segno e sistemi manomessi?
    Perché di tentativi di attacco ne puoi portare quanti ne vuoi, ma se poi il danno non c'è parliamo del nulla, eh...


    Tra l'altro c'è da considerare il commento del tizio sotto:
    The media's hyping of this smells like Microsoft money to fan the flames to try to convince the feeble minded that somehow Microsoft Windows is the safe choice.

    Unfortunately this article is old hat. Patches were out yesterday with the last patch done at 6am this morning. And no matter how much the media tries to find it - there was no massive breach, there was no massive attack.



    Ehi, ehi massimino. Dove stanno i danni?

    Non sarà mica come Heartbleed che doveva essere una castrofe e che invece si è rivelata una piccola bolla di sapone con effetti così piccoli da risultare inesistenti...
    Ed Heartbleed, a differenza di ShellShock, era una falla seria.
    Darwin
    5126
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)