Hola, según parece, servidores SSH con ForceCommand activado, algunos clientes dhcp y otros servicios de red que utilizan bash estarían afectados:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169 El 26 de septiembre de 2014, 12:16, Pablo Angulo <[email protected]> escribió: > El 26/09/14 a las #4, Pablo Angulo escribió: > > En fin, ya con el parche instalado haré por averiguar si estaba > afectado o qué. > > Hostias, qué relax, he encontrado: > > > Ubuntu and other Debian-derived systems that use Dash exclusively are > not at risk - Dash isn't vulnerable, but busted versions of Bash may > well be present on the systems anyway. It's essential you check the > shell interpreters you're using, and any Bash packages you have > installed, and patch if necessary. > > A lo mejor hasta puedo eliminar bash, porque yo tampoco la uso... > > Lo que no entiendo son comentarios como este que he encontrado: > > You can check if you're vulnerable by running the following lines in your > default shell, which on many systems will be Bash. If you see the words > "busted", then you're at risk. If not, then either your Bash is fixed or > your shell is using another interpreter. > > > ¿El default shell de quien? El default shell de www-data es > /usr/bin/nologin, y ¿qué tiene que ver el default shell de root con nada? > > En todo caso, parece que no estaba afectado. > > A parte de que la bash sea mala. Consideraría un error mucho mayor tener > una implementación en la que cojo una entrada de usuario y la meto > directamente al sistema, bien sea a modo de Cabecera HTTP y se la paso a la > bash o como entrada en un formulario y la meto en las Base de datos. > > > Por el revuelo que ha armado, se trata de que todo el mundo pensaba que > estaba metiendo datos, ¿no?. Si nos dijeran que se puede embeber código > dentro del formato JSON, esa noche los sysadmins no duermen. > > El 26/09/14 a las #4, Pablo Angulo escribió: > > El 26/09/14 a las #4, [email protected] escribió: > > From: Jorge <[email protected]> <[email protected]> > Subject: [Hackademy] Shellshock - Duda - Fallo de implementación de > servicio. > > Hola lista, > > Visto que ha habido algo de movimiento y que hay gente ahí fuera quería > lanzaros una pregunta acerca del nuevo sonado agujero de seguridad. > > En que ámbitos se sigue utilizando CGIs como lenguaje de script en > servidores web. Nunca he desarrollado una web de estas características. > > La bash es mala porque ejecuta código si declaramos una variable función y > después le pones comandos, vale. Entre desarrolladores diríamos que no es > bug es una "Feature" (JAJAJJAA) > > A parte de que la bash sea mala. Consideraría un error mucho mayor tener > una implementación en la que cojo una entrada de usuario y la meto > directamente al sistema, bien sea a modo de Cabecera HTTP y se la paso a la > bash o como entrada en un formulario y la meto en las Base de datos. > > Me pregunto si hay algo que se me escapa en la administración de sistemas > que haga a cualquier sistema vulnerable o solo en los casos en los que se > genera contenido con CGI usando Bash existe la vulnerabilidad. > > Un saludo! > > A mí lo que me mosquea es que tengo 3 servidores con ubuntu trusty. En > uno tras actualizar se arregló el problema y en los otros dos sólo me > vino el parche parcial. Al final les puse el mismo /etc/apt/sources.list > y sigue igual! > > En fin, ya con el parche instalado haré por averiguar si estaba afectado > o qué. > > Aquí hay una lista de parches: > http://ftp.gnu.org/gnu/bash/bash-4.3-patches/ > > pero que me aspen, tiene que haber ya dpkg corregidos para ubuntu > trusty, ¿no?!!? > > ¿Alguien tiene un link? > > Gracias! > > > > _______________________________________________ > Hackademy mailing list > [email protected] > https://listas.sindominio.net/mailman/listinfo/hackademy > >
_______________________________________________ Hackademy mailing list [email protected] https://listas.sindominio.net/mailman/listinfo/hackademy
