Re: bug bash
Il 02/10/2014 19:24, Franco Peci ha scritto: Ringrazio tutti per le opinioni. Da molti anni ho l'abitudine di leggere Punto Informatico che mi sembra stia molto scadendo come qualità di notizie e soprattutto di chi le scrive. In particolare c'è un redattore di articoli (paragonabile ai casi pietosi di alcune presentatrici TV) sempre lesto, non so con quanta competenza appunto, a esaltare i prodotti Microsoft e denigrare ovviamente Linux. Ho smesso di leggere Punto Informatico anni fa ed ogni volta che ci torno giusto per dargli una possibilità, la mia delusione rimane confermata. Ed alla fine torno a leggere testate in lingua inglese di livello decisamente superiore... saluti gerlos -- Life is pretty simple: You do some stuff. Most fails. Some works. You do more of what works. If it works big, others quickly copy it. Then you do something else. The trick is the doing something else. http://gerlos.altervista.org gerlos +- - - gnu/linux registred user #311588 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/542ec3a7.9000...@gmail.com
Re: bug bash
Il giorno 03/ott/2014, alle ore 17:41, Gerlos gerlo...@gmail.com ha scritto: Ho smesso di leggere Punto Informatico anni fa ed ogni volta che ci torno giusto per dargli una possibilità, la mia delusione rimane confermata. Ed alla fine torno a leggere testate in lingua inglese di livello decisamente superiore... io continuerei a leggerlo. Qualche spunto ancora c'e'. Semmai, per ogni notizia, almento 4 verifiche su altrettanti siti stranieri. Giusto per dormire tranquilli. signature.asc Description: Message signed with OpenPGP using GPGMail
Re: bug bash
Dai.. tutto è relativo. Anche io seguo Punto Informatico da tanti anni.. tutto è relativo a come lo si considera. - Ci sono dei siti da cui si attingono informazioni preziose - Ci sono siti su cui si va per farsi quattro risate, specie se partecipi ai commenti in coda e dai del cretino a chi scrive l'articolo Punto Informatico rientra spesso nella seconda categoria, specie quando tratta argomeni relativi al mondo open. Tutto è relativo, dipende come lo si considera. :) Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141003202123.m80...@corep.it
Re: bug bash
Ringrazio tutti per le opinioni. Da molti anni ho l'abitudine di leggere Punto Informatico che mi sembra stia molto scadendo come qualità di notizie e soprattutto di chi le scrive. In particolare c'è un redattore di articoli (paragonabile ai casi pietosi di alcune presentatrici TV) sempre lesto, non so con quanta competenza appunto, a esaltare i prodotti Microsoft e denigrare ovviamente Linux. Lasciando perdere le guerre di religione su sistemi operativi e software, mi interessava il vostro parere su questo bug. Vi ringrazio di nuovo. Ciao Franco Il 01/10/2014 11:05, mauro ha scritto: Il giorno 01/ott/2014, alle ore 10:24, dea d...@corep.it ha scritto: Comunque sono anch'io dell'idea che i media hanno l'enorme capacità di ingigantire la realtà, spesso deformandola. credo che tu abbia appena pronunciato la parola magica: defornandola mauro ma...@majaglug.net -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/542d8a67.3050...@yahoo.it
Re: bug bash
https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/ la tua bash DEVE essere patchata anche se non hai un server di prosuzione ed usi il pc solo per scopi personali, altrimenti la prossima volta che ti connetti in DHCP (per esempio...) non puoi dormire sonni tranquilli... luca -- Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc Prima di tutto vennero a prendere gli zingari e fui contento, perché rubacchiavano. Poi vennero a prendere gli ebrei e stetti zitto, perché mi stavano antipatici. Poi vennero a prendere gli omosessuali, e fui sollevato, perché mi erano fastidiosi. Poi vennero a prendere i comunisti, e io non dissi niente, perché non ero comunista. Un giorno vennero a prendere me, e non c'era rimasto nessuno a protestare. (Martin Niemöller) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CA+vfGHY1hsn+auRt9a2rgO5ryxaA=ylxxfs-bvahjxa+tsf...@mail.gmail.com
Re: bug bash
Brutta storia.. immagino i device (milioni ?) che usano un sistema embedded e che non verranno mai sicurizzati non parlo tanto di un televisore quanto di oggetti che sono intrinsecamente più delicati, tipo una cam di sicurezza. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141001074738.m69...@corep.it
Re: bug bash
Il giorno 01/ott/2014, alle ore 09:50, dea d...@corep.it ha scritto: immagino i device (milioni ?) che usano un sistema embedded e che non verranno mai sicurizzati non parlo tanto di un televisore quanto di oggetti che sono intrinsecamente più delicati, tipo una cam di sicurezza. occhio a non correre troppo. Il problema bash, per quanto delicato e ancora non del tutto valutato comunque si basa su dei presupposti abbastanza precisi: Intanto a una bash ci si deve arrivare. E questo e' cosa chiara. Sia che la bash sia un cgi scritto all'interno di un device o di un server. Se si usa altra roba, apposto. il discorso del dhcp che gira in rete, che fino a pochi giorni fa era piu' un concept, comunque ha la stessa valenza. Il server deve essere compromesso per poter fare danni e compromettere (attraverso dhcp) la rete. Ormai sono dell'idea che piu' la notizia e' pompata, piu' e' farlocca, ovvero, la sua portata e' molto piu' limitata di quanto sembri. Suona solo bene sulla bocca di chi ci capisce poco - e ammettiamolo, pochi sono i giornalisti che in campo tecnologico sono abbastanza equilibrati da analizzare le cose prima di passare alla tastiera. Il problema e' sicuramente vasto, ma intanto le macchine devono essere violate o violabili (anche a mezzo di altri sistemi) prima di diventare vettore di danno. Le interfacce a cui da remoto si puo' accedere devono essere debolucce (mi preoccupano di piu' i milioni di device il cui criterio di protezione e' user: admin, password: admin). Attualmente, da remoto, i pochi metodi di accesso verso shellshock sono webserver con cgi basati su bash, ssh poco protetti e poc'altro (ho letto pure di cups: ma percaso usate cups via internet?). Ripeto, prima alla macchina ci devi arrivare... gia' avere una shell diversa, ridotta, cambia le regole del gioco. Quindi, per quanto la guardia deve essere alta, forse girano piu' allarmismi che sostanza. mauro ma...@majaglug.net signature.asc Description: Message signed with OpenPGP using GPGMail
Re: bug bash
Si, indubbiamente, ma il mio discorso era vago e volutamente impreciso. Purtroppo ci sono decine di aziende che mettono in commercio dispositivi embedded a basso costo e seguono la politica vendi ed abbandona, di sicuro non si mettono a sicurizzare quello che vendono. Il bash bug in questione è un esempio dato che esiste da parecchio tempo potrebbe interessare un buon numero di device. Comunque sono anch'io dell'idea che i media hanno l'enorme capacità di ingigantire la realtà, spesso deformandola. Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141001082043.m65...@corep.it
Re: bug bash
Il giorno 01/ott/2014, alle ore 10:24, dea d...@corep.it ha scritto: Comunque sono anch'io dell'idea che i media hanno l'enorme capacità di ingigantire la realtà, spesso deformandola. credo che tu abbia appena pronunciato la parola magica: defornandola mauro ma...@majaglug.net signature.asc Description: Message signed with OpenPGP using GPGMail
Re: bug bash
Franco Peci writes: Scusate la mia ignoranza. Il bug scoperto nella bash è pericoloso solo per i server o anche per chi, come me, usa linux a casa sua connesso ovviamente ad Internet, ma senza che il proprio pc faccia parte di una rete fisica locale? Se sei connesso sei un possibile bersaglio. Ergo ti conviene fare un bel apt-get update, apt-get upgrade. -- /\ ___Ubuntu: ancient /___/\_|_|\_|__|___Gian Uberto Lauri_ African word //--\| | \| | Integralista GNUslamicomeaning I can \/ coltivatore diretto di software not install già sistemista a tempo (altrui) perso...Debian Warning: gnome-config-daemon considered more dangerous than GOTO -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/21546.22803.953095.213...@mail.eng.it
Re: bug bash
Il 30/set/2014 09:17 Gian Uberto Lauri sa...@eng.it ha scritto: Franco Peci writes: Scusate la mia ignoranza. Il bug scoperto nella bash è pericoloso solo per i server o anche per chi, come me, usa linux a casa sua connesso ovviamente ad Internet, ma senza che il proprio pc faccia parte di una rete fisica locale? Se sei connesso sei un possibile bersaglio. No, dai, non si esageri. Se non hai mai configurato Debian a mano in qualche strana maniera, non dovresti avere problemi. L'unico rischio è che ti entrino via ssh. Se hai protetto bene quell'accesso (chiave, possibilmente, non password), non hai problemi. Tutte le altre cose a rischio (gli script per il DHCP, su un PC desktop, tipicamente) girano su shell non interattiva. Su Debian quella di default è dash, che non è buggata. Ergo ti conviene fare un bel apt-get update, apt-get upgrade. Poi vabbè, questo sempre e comunque, ma senza allarmismi. -- Lorenzo Breda
Re: bug bash
Il 29/set/2014 21:07 dea d...@corep.it ha scritto: Ciao Franco ! Il famoso bug di bash rappresenta non tanto un problema per il tuo PC o per i server, ma per la vastità dei sistemi che usano bash e che fisicamente non hanno un supporto, ovvero sono letteralmente abbandonati (pensa alla miriade di dispositivi embedded che hai attorno). Leggo questa cosa ovunque, ma vi è mai capitato in mano un embeded con bash? A me solo la supportatissima Raspberry Pi, che ha avuto gli aggiornamenti prima di Debian testing. Tutto il resto, o non ha l'accesso alla shell neanche se glie lo chiedi in ginocchio (che sì, non è il miglior protocollo di comunicazione, ma tanto non funzionano neanche gli altri), o ha un'interfaccia web di dubbia sicurezza con dietro busybox, che non è buggata. Ah, e c'è il mio cellulare Android, ma auguri a vedere bash da fuori. Troppo terrorismo per 'sto bug. -- Lorenzo Breda
Re: bug bash
In data martedì 30 settembre 2014 09:41:58, Lorenzo Breda ha scritto: Il 30/set/2014 09:17 Gian Uberto Lauri sa...@eng.it ha scritto: Franco Peci writes: Scusate la mia ignoranza. Il bug scoperto nella bash è pericoloso solo per i server o anche per chi, come me, usa linux a casa sua connesso ovviamente ad Internet, ma senza che il proprio pc faccia parte di una rete fisica locale? Se sei connesso sei un possibile bersaglio. No, dai, non si esageri. Se non hai mai configurato Debian a mano in qualche strana maniera, non dovresti avere problemi. L'unico rischio è che ti entrino via ssh. Se hai protetto bene quell'accesso (chiave, possibilmente, non password), non hai problemi. Tutte le altre cose a rischio (gli script per il DHCP, su un PC desktop, tipicamente) girano su shell non interattiva. Su Debian quella di default è dash, che non è buggata. Ergo ti conviene fare un bel apt-get update, apt-get upgrade. Poi vabbè, questo sempre e comunque, ma senza allarmismi. Grazie :) mi sento più tranquillo! -- elio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/201409300950.21935.emarvin3...@gmail.com
Re: bug bash
Lorenzo Breda writes: No, dai, non si esageri. Cavalli di troia. Ergo ti conviene fare un bel apt-get update, apt-get upgrade. Poi vabbè, questo sempre e comunque, ma senza allarmismi. Nessun allarmismo. Solo consapevolezza. La tecnica del branco di sardine funziona per le sardine in generale, non per ogni sardina. -- /\ ___Ubuntu: ancient /___/\_|_|\_|__|___Gian Uberto Lauri_ African word //--\| | \| | Integralista GNUslamicomeaning I can \/ coltivatore diretto di software not install già sistemista a tempo (altrui) perso...Debian Warning: gnome-config-daemon considered more dangerous than GOTO -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/21546.27887.915696.661...@mail.eng.it
Re: bug bash
Il giorno 30/set/2014, alle ore 09:17, Gian Uberto Lauri sa...@eng.it ha scritto: Franco Peci writes: Scusate la mia ignoranza. Il bug scoperto nella bash è pericoloso solo per i server o anche per chi, come me, usa linux a casa sua connesso ovviamente ad Internet, ma senza che il proprio pc faccia parte di una rete fisica locale? Se sei connesso sei un possibile bersaglio. Ergo ti conviene fare un bel apt-get update, apt-get upgrade. Possibile != probabile E' incredibile che ancora al giorno d’oggi si faccia confusione tra questi due concetti. E’ possibile che io sia un bersaglio se non ho aggiornato bash e Gian Uberto mi installa per scherzo un servizio che sfrutta questo bug. E’ piuttosto improbabile che Gian Uberto venga qui a farlo di persona, o che sia in grado di accedere da remoto al mio sistema che via ssh accetta solo login con chiave pubblica protetta da password. E visto che appena arrivato ho installato l’aggiornamento tramite alt-get, è impossibile che possa sfruttare questo bug allo stato attuale delle cose. Dovrà usarne un altro! ;-) saluti gerlos -- Life is pretty simple: You do some stuff. Most fails. Some works. You do more of what works. If it works big, others quickly copy it. Then you do something else. The trick is the doing something else. http://gerlos.altervista.org gerlos +- - - gnu/linux registred user #311588 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/be83f7ed-d9dc-4908-9214-281a2b235...@gmail.com
bug bash
Scusate la mia ignoranza. Il bug scoperto nella bash è pericoloso solo per i server o anche per chi, come me, usa linux a casa sua connesso ovviamente ad Internet, ma senza che il proprio pc faccia parte di una rete fisica locale? Ringrazio per i chiarimenti. Ciao Franco -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5429a3d1.5020...@yahoo.it
Re: bug bash
Ciao Franco ! Il famoso bug di bash rappresenta non tanto un problema per il tuo PC o per i server, ma per la vastità dei sistemi che usano bash e che fisicamente non hanno un supporto, ovvero sono letteralmente abbandonati (pensa alla miriade di dispositivi embedded che hai attorno). Mantieni la tua Debian aggiornata, nulla di più. Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140929190025.m16...@corep.it