User Tools

Site Tools


trovare_e_risolvere_il_bug_della_bash_24_sep_14

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

trovare_e_risolvere_il_bug_della_bash_24_sep_14 [2014/09/28 10:56] (current)
admin created
Line 1: Line 1:
 +====== Bashshock BUG ======
  
 +In data 23-24 Settembre 2014 è uscito un bug sulla gnu/bash tale per cui un attaccante può sfruttare il modo con cui sono gestite le variabili d'​ambiente,​ inoculando codice arbitrario.
 +
 +Per verificare se il server in questione è vulnerabile si può utilizzare il seguente comando:
 +
 +<​code>​
 +denali@localhost$:​ env x=’() { :;}; echo Vulnerable’ bash -c “echo This is a test”
 +</​code>​
 +
 +Se l'​esito di questo comando è **vulnerable** si è vulnerabili,​ mentre se la risposta è:
 +
 +<​code>​
 +bash: warning: x: ignoring function definition attempt
 +bash: error importing function definition for `x'
 +</​code>​
 +
 +o simili, allora non c'​e'​ problema, il server non è affetto dalla problematica. Se il server è colpito, per risolvere, è necessario aggiornare la bash alla versione 4.2 (lo si fa da yum o ad apt).
 +
 +Centos e Debian, sono già state aggiornate. Mentre vecchie versioni di Fedora (<=13) non è uscita ancora la patch.
 +
 +Ad ogni modo da un punto di vista pratico questo baco è difficilmente utilizzabile,​ poichè suppone che l'​utente abbia accesso ad una shell oppure uno script cgi in bash, pubblicamente accessibile via web.
 +
 +rif. [[http://​seclists.org/​oss-sec/​2014/​q3/​650]]
trovare_e_risolvere_il_bug_della_bash_24_sep_14.txt · Last modified: 2014/09/28 10:56 by admin