El 26/09/14 a las #4, Pablo Angulo escribió: > En fin, ya con el parche instalado haré por averiguar si estaba > afectado o qué.
Hostias, qué relax, he encontrado: > Ubuntu and other Debian-derived systems that use Dash exclusively are > not at risk – Dash isn't vulnerable, but busted versions of Bash may > well be present on the systems anyway. It's essential you check the > shell interpreters you're using, and any Bash packages you have > installed, and patch if necessary. A lo mejor hasta puedo eliminar bash, porque yo tampoco la uso... Lo que no entiendo son comentarios como este que he encontrado: > You can check if you're vulnerable by running the following lines in > your default shell, which on many systems will be Bash. If you see the > words "busted", then you're at risk. If not, then either your Bash is > fixed or your shell is using another interpreter. ¿El default shell de quien? El default shell de www-data es /usr/bin/nologin, y ¿qué tiene que ver el default shell de root con nada? En todo caso, parece que no estaba afectado. > A parte de que la bash sea mala. Consideraría un error mucho mayor tener > una implementación en la que cojo una entrada de usuario y la meto > directamente al sistema, bien sea a modo de Cabecera HTTP y se la paso a la > bash o como entrada en un formulario y la meto en las Base de datos. Por el revuelo que ha armado, se trata de que todo el mundo pensaba que estaba metiendo datos, ¿no?. Si nos dijeran que se puede embeber código dentro del formato JSON, esa noche los sysadmins no duermen. El 26/09/14 a las #4, Pablo Angulo escribió: > El 26/09/14 a las #4, hackademy-requ...@listas.sindominio.net escribió: >> From: Jorge <jfo...@gmail.com> >> Subject: [Hackademy] Shellshock - Duda - Fallo de implementación de >> servicio. >> >> Hola lista, >> >> Visto que ha habido algo de movimiento y que hay gente ahí fuera quería >> lanzaros una pregunta acerca del nuevo sonado agujero de seguridad. >> >> En que ámbitos se sigue utilizando CGIs como lenguaje de script en >> servidores web. Nunca he desarrollado una web de estas características. >> >> La bash es mala porque ejecuta código si declaramos una variable función y >> después le pones comandos, vale. Entre desarrolladores diríamos que no es >> bug es una "Feature" (JAJAJJAA) >> >> A parte de que la bash sea mala. Consideraría un error mucho mayor tener >> una implementación en la que cojo una entrada de usuario y la meto >> directamente al sistema, bien sea a modo de Cabecera HTTP y se la paso a la >> bash o como entrada en un formulario y la meto en las Base de datos. >> >> Me pregunto si hay algo que se me escapa en la administración de sistemas >> que haga a cualquier sistema vulnerable o solo en los casos en los que se >> genera contenido con CGI usando Bash existe la vulnerabilidad. >> >> Un saludo! > A mí lo que me mosquea es que tengo 3 servidores con ubuntu trusty. En > uno tras actualizar se arregló el problema y en los otros dos sólo me > vino el parche parcial. Al final les puse el mismo /etc/apt/sources.list > y sigue igual! > > En fin, ya con el parche instalado haré por averiguar si estaba afectado > o qué. > > Aquí hay una lista de parches: > > http://ftp.gnu.org/gnu/bash/bash-4.3-patches/ > > pero que me aspen, tiene que haber ya dpkg corregidos para ubuntu > trusty, ¿no?!!? > > ¿Alguien tiene un link? > > Gracias!
_______________________________________________ Hackademy mailing list Hackademy@listas.sindominio.net https://listas.sindominio.net/mailman/listinfo/hackademy
