Re: [rlug] update bash now
On Sep 25, 2014, at 12:05 PM, Petru Ratiu rpe...@gmail.com wrote: Hai sa nu o luam pe carari, nu e bigger than heartbleed. Doar pentru faptul ca l-a scos pe DJB la lumina si a transformat qmail in attack vector, merita bigger than heartbleed. -- changing froms to () { :; }; rm /var/qmail apt-get install postfix ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
On 29/9/2014 1:33 PM, Mircea MITU wrote: Doar pentru faptul ca l-a scos pe DJB la lumina si a transformat qmail in attack vector, merita bigger than heartbleed. detaliezi un pic cu qmailul ? ca parca nu apela bash direct din ce-mi aduc aminte (amintiri foarte vagi ce-i drept, din precambrian) flame type=onparca era ceva de genul un fel de mta ? /flame Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
On Sep 29, 2014, at 2:27 PM, Alex 'CAVE' Cernat c...@cernat.ro wrote: On 29/9/2014 1:33 PM, Mircea MITU wrote: Doar pentru faptul ca l-a scos pe DJB la lumina si a transformat qmail in attack vector, merita bigger than heartbleed. detaliezi un pic cu qmailul ? g: qmail is a vector for CVE-2014-6271 ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
Salut, Este un exemplu aici: http://www.gossamer-threads.com/lists/qmail/users/138578 Nu l-am testat personal. Cheers, Adrian 2014-09-29 16:41 GMT+03:00 Mircea MITU mir...@sigu.ro: On Sep 29, 2014, at 2:27 PM, Alex 'CAVE' Cernat c...@cernat.ro wrote: On 29/9/2014 1:33 PM, Mircea MITU wrote: Doar pentru faptul ca l-a scos pe DJB la lumina si a transformat qmail in attack vector, merita bigger than heartbleed. detaliezi un pic cu qmailul ? g: qmail is a vector for CVE-2014-6271 ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
On Mon, Sep 29, 2014 at 1:33 PM, Mircea MITU mir...@sigu.ro wrote: On Sep 25, 2014, at 12:05 PM, Petru Ratiu rpe...@gmail.com wrote: Hai sa nu o luam pe carari, nu e bigger than heartbleed. Doar pentru faptul ca l-a scos pe DJB la lumina si a transformat qmail in attack vector, merita bigger than heartbleed. Problema pe care o am cu aceasta campanie exagerata este ca au inceput FUD-urile gen open source e de kkt. Tind sa fiu de acord cu RMS cum ca e just a blip on the radar. Daca te uiti la vectorii de atac identificati pana acum avem asa ( https://www.dfranke.us/posts/2014-09-27-shell-shock-exploitation-vectors.html ). 1. CGI-uri scrise in bash sau care apeleaza bash 2. Pagini web (in orice limbaj sau orice server environment) care apeleaza bash cu variabile de mediu setate cu client-controlled data 3. Loginuri SSH care restrictioneaza userul cu ForcedCommand scris in bash 4. tcp servers djb-style (cu /etc/tcprules si tcpserver) 5. qmail, procmail, exim cu targets de delivery scrise in bash 6. dhclient, care are hookuri in bash pe multe distro-uri 7. openvpn, care poate rula chestii date de server 8. alte chestii suficient de exotice Imo, singurele din lista asta care-s suficient de generice sunt 1 si eventual 2 (mainly daca se gaseste ceva default in wordpress, drupal, cpanel sau alt soft de genul asta). IMHO sistemele care intra la 1. sunt cele cu adevart periculoase pentru ca cine traieste in 1998 probabil nici nu practica asta cu update-urile foarte des (cele 2-3 scanuri malitioase de care am dat pana acum incercau sa puna ddos-bots, sa te tii atacuri de-acu incolo). 3. e potential periculos, da' asta se intampla dupa auth. Trebuie ceva medii speciale unde permiti userilor anonimi sa faca ssh. 4. si 5. sunt intr-adevar un issue, in special daca weaponizable usor (i.e. default installs fac asta cu envelope sender sau alte headere controlabile de sender), dar se rezolva cu bash upgrade (sau daca alea ruleaza cu un /bin/sh care nu e bash - iirc djb e foarte posix-friendly cu scripturile) 6. e nasol da' implica ca fie cineva sa-ti hackereasca serverul dhcp, fie sa-ti bage un rogue dhcp server in retea - problema pe care vrei sa o eviti din mult mai multe motive, gen MITM. 7. necesita sa compromiti serverul de openvpn. All in all, fereastra de atac e deschisa pana la update-ul de bash pe sistemele cu pricina, care mainly tine de cat de up-to-date sta userul (din cate stiu toate distro-urile s-au miscat rapid). E intr-adevar nasol, da' nu e bigger than heartbleed, si in nici un caz nu e proof ca open source sucks sau ca djb sucks sau ca GNU sucks. -- P. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
On 29/9/2014 4:58 PM, Adrian Furtuna wrote: Salut, Este un exemplu aici: http://www.gossamer-threads.com/lists/qmail/users/138578 Nu l-am testat personal. victorie epocala, s-a gasit un bug in qmail :-P (si nici macar nu e neaparat in qmail bugul, e doar un vector) si ca sa vina sfarsitul lumii, face djb-ul versiune noua de qmail ? sau doar va scrie un patch pentru eternitate ? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
victorie epocala, s-a gasit un bug in qmail :-P (si nici macar nu e neaparat in qmail bugul, e doar un vector) Parca ziceati ca e scala... bil :) -- Mihai Bădici http://mihai.badici.ro ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
2014-09-25 4:50 GMT-07:00 Petru Ratiu rpe...@gmail.com: 2014-09-25 12:35 GMT+03:00 Florin Popovici florin.popov...@gmail.com: 2014-09-25 12:05 GMT+03:00 Petru Ratiu rpe...@gmail.com: Hai sa nu o luam pe carari, nu e bigger than heartbleed. In general webservers cu php n-au treaba sa ruleze bash. Vectorul principal de atac sunt cgi-uri scrise in bash. S-ar putea sa fie relativ big daca se gaseste ca ceva cpanel or such ruleaza scripturi bash cu env variables setate din parametri de get/post, dar si atunci ar fi app-specific. Cica se poate bypass-a ForceCommands la ssh si se poate injecta cod prin parametri DHCP (*) -- si astia sunt niste vectori interesanti ce fac treaba ceva mai urata. Nu ca heartbleed, dar eu i-as zice big deal. La ForceCommands e posibil sa se poata (dar userul trebuie sa fie deja autentificat, deja se catalogheaza la local exploit, nu remote), iar scenariul cu dhcp implica ca serverul de dhcp sa fie deja compromis (caz in care ai si alte probleme). Oricine poate rula pe orice retea la care are acces layer 2 ce server DHCP vrea muschiul lui. Nu e nevoie sa-ti sparga serverul oficial. Tu nu ti-ai configurat clientul DHCP sa accepte raspunsuri DHCP doar de la un anumit server (si ma rog, cum faci asta? pe maza de MAC? ala e banal de fake-uit). In afara de problema din reteaua interna, orice retea publica la care te conectezi cu laptopul tau pe wifi poate avea un server DHCP rulat de cineva cu acest scop. -- Dizzy ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
2014-09-25 10:36 GMT+03:00 Alex 'CAVE' Cernat c...@cernat.ro: ps: bine, ar mai fi diversele device-uri care folosesc linux, acolo oricum e dezastru total, pentru ca pentru un update iti trebuie firmware toate device-urile alea folosesc busybox, al carui shell NU e bazat pe bash. de asemenea, nu sint prea afectate nici Debian-urile mai noi derivatele lor, al caror /bin/sh nu e bash (bine, se poate ca cineva sa fi facut vreo tiganie de php sau cgi care executa `zgrep` sau alt script bash) nou, si cine sta sa-l faca, mai ales pentru device-urile vechi sunt curios androidul cum e afectat :-P nu-i afectat ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
[rlug] update bash now
in special web servers cu php si aplicatii facute si intretinute bine (xploitz in-za-wild already oneoneone11!!) bash bug - shellshock - bigger than heartbleed http://blog.erratasec.com/2014/09/bash-bug-as-big-as-heartbleed.html#.VCPAF2SloRk ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
On 25/9/2014 10:14 AM, Mircea MITU wrote: in special web servers cu php si aplicatii facute si intretinute bine (xploitz in-za-wild already oneoneone11!!) bash bug - shellshock - bigger than heartbleed http://blog.erratasec.com/2014/09/bash-bug-as-big-as-heartbleed.html#.VCPAF2SloRk intr-adevar, bash-ul e mult mai raspandit probabil decat ssl-ul si deci numarul de servere posibil exploatabile este mult mai mare, dar caile de atac sunt totusi mai putine din cate am citit (ce-i drept, multi au un pre-weekend nu tocmai fericit) din cate am citit pana acum si m-am gandit caile de atac ar fi: 1. apache cu php via cgi - inclusiv suphp (nu fastcgi, ca ala nu spawneaza procese din apache); mod-php (cine l-o mai folosi mai nou) nu e afectat 2. evadare din restricted shells (inclusiv forcecommand in ssh) - aici e destul de serioasa treaba, intr-adevar restul mi se par minore, nu sunt convins de partea cu daemoni cat de critica este, in mod normal nu vad cum ar ajunge acolo oricum, fata de heartbleed (pentru cine nu are treaba cu 1 si 2) mi se pare floare la ureche pe langa ce nebunie a fost cu bugul de ssh si unde nu aveai nevoie de nimic pentru a-l exploata remote (iarasi, am exclus aici 1 si 2, desi sunt des folosite - probabil de fapt de asta e asa periculos bugul de bash) Alex ps: bine, ar mai fi diversele device-uri care folosesc linux, acolo oricum e dezastru total, pentru ca pentru un update iti trebuie firmware nou, si cine sta sa-l faca, mai ales pentru device-urile vechi sunt curios androidul cum e afectat :-P ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
On Thu, Sep 25, 2014 at 10:14 AM, Mircea MITU mir...@sigu.ro wrote: in special web servers cu php si aplicatii facute si intretinute bine (xploitz in-za-wild already oneoneone11!!) bash bug - shellshock - bigger than heartbleed http://blog.erratasec.com/2014/09/bash-bug-as-big-as-heartbleed.html#.VCPAF2SloRk Hai sa nu o luam pe carari, nu e bigger than heartbleed. In general webservers cu php n-au treaba sa ruleze bash. Vectorul principal de atac sunt cgi-uri scrise in bash. S-ar putea sa fie relativ big daca se gaseste ca ceva cpanel or such ruleaza scripturi bash cu env variables setate din parametri de get/post, dar si atunci ar fi app-specific. Heartbleed era nasol ca era exploatabil remote chiar si pe servere perfect configurate, daca aveai un socket TLS care era facut cu openssl, gata, erai vulnerabil. Asta (#shellshock #bashgate #cgizilla ?) are nevoie sa setezi o variabila de mediu cu user data, dupa care sa rulezi bash. Da' na, daca e miros de ceva page views, de ce sa nu exagerezi lucrurile? -- P. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
2014-09-25 12:05 GMT+03:00 Petru Ratiu rpe...@gmail.com: Hai sa nu o luam pe carari, nu e bigger than heartbleed. In general webservers cu php n-au treaba sa ruleze bash. Vectorul principal de atac sunt cgi-uri scrise in bash. S-ar putea sa fie relativ big daca se gaseste ca ceva cpanel or such ruleaza scripturi bash cu env variables setate din parametri de get/post, dar si atunci ar fi app-specific. Cica se poate bypass-a ForceCommands la ssh si se poate injecta cod prin parametri DHCP (*) -- si astia sunt niste vectori interesanti ce fac treaba ceva mai urata. Nu ca heartbleed, dar eu i-as zice big deal. (*) https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ -- flo.ro ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
2014-09-25 12:35 GMT+03:00 Florin Popovici florin.popov...@gmail.com: 2014-09-25 12:05 GMT+03:00 Petru Ratiu rpe...@gmail.com: Hai sa nu o luam pe carari, nu e bigger than heartbleed. In general webservers cu php n-au treaba sa ruleze bash. Vectorul principal de atac sunt cgi-uri scrise in bash. S-ar putea sa fie relativ big daca se gaseste ca ceva cpanel or such ruleaza scripturi bash cu env variables setate din parametri de get/post, dar si atunci ar fi app-specific. Cica se poate bypass-a ForceCommands la ssh si se poate injecta cod prin parametri DHCP (*) -- si astia sunt niste vectori interesanti ce fac treaba ceva mai urata. Nu ca heartbleed, dar eu i-as zice big deal. La ForceCommands e posibil sa se poata (dar userul trebuie sa fie deja autentificat, deja se catalogheaza la local exploit, nu remote), iar scenariul cu dhcp implica ca serverul de dhcp sa fie deja compromis (caz in care ai si alte probleme). Deocamdata incerc sa piaptan printre posturile panicarde sa ma prind cam ce environment au aia care raspund la scanul lui nenea asta: http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html -- P. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
On 09/25/2014 10:14 AM, Mircea MITU wrote: in special web servers cu php si aplicatii facute si intretinute bine (xploitz in-za-wild already oneoneone11!!) bash bug - shellshock - bigger than heartbleed http://blog.erratasec.com/2014/09/bash-bug-as-big-as-heartbleed.html#.VCPAF2SloRk pt cei cu RH/Centos: https://rhn.redhat.com/errata/RHSA-2014-1306.html ( atentie, primul patch era incomplet ). pt cei care inca au C4/x86_64 ( sau RHEL4/x86_64 fara extended support ): https://wolfy.fedorapeople.org/bash-3.0-27.0.1.el4.x86_64.rpm pt cei cu C4/i386 si care nu stiu sa isi compileze singuri: contactati-ma daca vreti sa va dau rpm-ul. pt paranoicii care vor sa isi compileze singuri: gasiti sursa rpm-ului pe site-ul Oracle ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] update bash now
On 09/26/2014 06:39 AM, manuel lonely wolf wolfshant wrote: On 09/25/2014 10:14 AM, Mircea MITU wrote: in special web servers cu php si aplicatii facute si intretinute bine (xploitz in-za-wild already oneoneone11!!) bash bug - shellshock - bigger than heartbleed http://blog.erratasec.com/2014/09/bash-bug-as-big-as-heartbleed.html#.VCPAF2SloRk interesant de citit: https://danwalsh.livejournal.com/71122.html ( selinux, despre ce face si ce nu, in context bash bug) ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug