Gracias Gracias:  0
Me Gusta Me Gusta:  0
No me Gusta No me Gusta:  0
Mostrando resultados del 1 al 9 de 9

Tema: Vulnerabilidad en Bash

  1. #1
    Fecha de Ingreso
    24-noviembre-2010
    Ubicación
    si hombre, para que se lo digas a mi mujer
    Mensajes
    129
    Post Thanks / Like
    Poder de Credibilidad
    9

    Vulnerabilidad en Bash

    ¿Habéis visto ésto? Me ha llegado por varias fuentes distintas.

    https://securityblog.redhat.com/2014...ection-attack/
    He tardado mucho, pero al fin me he caido de un "guindos"
    Yo tampoco contesto dudas por privado, pero porque no tengo ni idea

  2. #2
    Fecha de Ingreso
    26-abril-2011
    Ubicación
    Mdeo, Uy
    Mensajes
    1.235
    Post Thanks / Like
    Poder de Credibilidad
    10
    Cita Iniciado por Manazas Ver Mensaje
    ¿Habéis visto ésto? Me ha llegado por varias fuentes distintas.

    https://securityblog.redhat.com/2014...ection-attack/
    No pude levantar la URL no se por que.
    De todas formas busque y pongo esta otra:
    http://www.elotrolado.net/hilo_vulne...l-bash_2039729

    Cita Iniciado por elotrolado.net
    ... Una vulnerabilidad de seguridad en el GNU Bourne Again Shell (bash), el shell de línea de comandos que se utiliza en muchos sistemas operativos Linux y Unix, podría dejar los sistemas que ejecutan los sistemas operativos abiertos a la explotación por los ataques especialmente diseñados. "Este problema es especialmente peligroso, ya que hay muchas maneras posibles Bash puede ser llamado por una aplicación", advirtió un aviso de seguridad de Red Hat (....) Debido a su amplia distribución, la vulnerabilidad podría ser tan amplio como el bicho Heartbleed, aunque puede que no sea tan peligroso. La vulnerabilidad afecta a las versiones 1.14 por 4.3 de GNU Bash. Los parches han sido emitidas por muchos de los principales proveedores de distribución de Linux para las versiones afectadas, incluyendo:

    Red Hat Enterprise Linux (versiones 4 a 7) y la distribución Fedora
    CentOS (versiones 5 a 7)
    Ubuntu 10.04 LTS, 12.04 LTS y 14.04 LTS
    Debian
    ...
    En el link esta más detallada la cosa.
    Saludos!
    Última edición por maniat1k; 25-sep-2014 a las 17:35 Razón: más info.

  3. #3
    Fecha de Ingreso
    19-marzo-2005
    Ubicación
    En un lugar del planeta Tierra
    Mensajes
    17.430
    Post Thanks / Like
    Poder de Credibilidad
    10
    Si actualizais e instalais los parches del repositorio Update, el problema queda parcialmente solucionado, a la espera de que nos de la solución definitiva vía Update.

    Como podéis ver, esta solucionado porque no aparecen los textos entre comillas como salida.
    :~> env x='() { :;}; echo vulnerable' bash -c "echo Fallo 1 parcheado"
    bash: aviso: x: ignoring function definition attempt
    bash: error al importar la definición de la función para `x'
    Fallo 1 parcheado
    :~> env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear"
    sh: X: línea 1: error sintáctico cerca del elemento inesperado `='
    sh: X: línea 1: `'
    sh: error al importar la definición de la función para `X'
    sh: vulnerable: no se encontró la orden
    Fallo 2 sin parchear
    NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
    Síguenos en TWITTER y en FACEBOOK
    Código:
    Buscador de   Alojamiento      Alojamiento     Otros
     paquetes:    de imágenes:     de ficheros:    buscadores:
    Search        TinyPic          Ifile Wuala     Simple y Facil
    Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p

  4. #4
    Fecha de Ingreso
    31-julio-2014
    Ubicación
    Madrid
    Mensajes
    20
    Post Thanks / Like
    Poder de Credibilidad
    0
    Para más detalles -y en castellano- sugiero leer el artículo relacionado a esta vulnerabilidad de la mano de hispasec.

    http://unaaldia.hispasec.com/2014/09...o-castana.html

  5. #5
    Fecha de Ingreso
    01-junio-2013
    Ubicación
    Galicia
    Mensajes
    71
    Post Thanks / Like
    Poder de Credibilidad
    7
    Ya esta disponible la actualización

  6. #6
    Fecha de Ingreso
    02-marzo-2013
    Ubicación
    Lat. 27.994547-Lon -15.405127-160m nivel del mar
    Mensajes
    4.942
    Post Thanks / Like
    Poder de Credibilidad
    11
    Hola bxo .

    Que versión de bash es la que tiene el problema ?

    Probado en Beta1 .
    Código:
    X79-PRO-Factory:~ # zypper if bash
    Loading repository data...
    Reading installed packages...
    
    
    Information for package bash:
    -----------------------------
    Repository: Main Repository (OSS)
    Name: bash
    Version: 4.2-75.1.4
    Arch: x86_64
    Vendor: openSUSE
    Installed: Yes
    Status: up-to-date
    Installed Size: 703.9 KiB
    Summary: The GNU Bourne-Again Shell
    Description: 
      Bash is an sh-compatible command interpreter that executes commands
      read from standard input or from a file.  Bash incorporates useful
      features from the Korn and C shells (ksh and csh).  Bash is intended to
      be a conformant implementation of the IEEE Posix Shell and Tools
      specification (IEEE Working Group 1003.2).
    No se si hice algún error de sintaxis :
    Código:
    X79-PRO-Factory:~ # env x='() {:;}; echo vulnerable' bash -c echo "esto es un test"
    bash: x: line 0: syntax error near unexpected token `{:'
    bash: x: line 0: `x () {:;}; echo vulnerable'
    bash: error importing function definition for `x'
    
    repito por si las moscas :
    
    X79-PRO-Factory:~ # env x='() {:;} echo vulnerable' bash -c echo "esto es un test"
    bash: x: line 0: syntax error near unexpected token `{:'
    bash: x: line 0: `x () {:;} echo vulnerable'
    bash: error importing function definition for `x'
    
    copy y paste de lo D.Rojo :
    
    X79-PRO-Factory:~ # env x='() { :;}; echo vulnerable' bash -c "echo Fallo 1 parcheado"
    vulnerable
    Fallo 1 parcheado
    
    X79-PRO-Factory:~ #  env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear"
    sh: X: line 1: syntax error near unexpected token `='
    sh: X: line 1: `'
    sh: error importing function definition for `X'
    sh: vulnerable: command not found
    Fallo 2 sin parchear
    
    El segundo echo tiene que ir dentro de " " ? , de todas formas creo que había repetido el test con echo fuera y no aparecía "esto es un test"
    
    X79-PRO-Factory:~ # env x='() {:;} echo vulnerable' bash "echo esto es un test"
    bash: x: line 0: syntax error near unexpected token `{:'
    bash: x: line 0: `x () {:;} echo vulnerable'
    bash: error importing function definition for `x'
    bash: echo esto es un test: No such file or directory
    Código:
    X79-PRO-Factory:~ # zypper in -f bash
    Loading repository data...
    Reading installed packages...
    Forcing installation of 'bash-4.2-75.1.4.x86_64' from repository 'Main Repository (OSS)'.
    Resolving package dependencies...
    
    The following package is going to be reinstalled:
      bash 
    
    1 package to reinstall.
    Overall download size: 342.2 KiB. Already cached: 0 B  No additional space will be used or freed after the operation.
    Continue? [y/n/? shows all options] (y): y
    Retrieving package bash-4.2-75.1.4.x86_64                                               (1/1), 342.2 KiB (703.9 KiB unpacked)
    Retrieving: bash-4.2-75.1.4.x86_64.rpm ..................................................................[done (415.4 KiB/s)]
    Checking for file conflicts: ..........................................................................................[done]
    (1/1) Installing: bash-4.2-75.1.4 .....................................................................................[done]
    Para la versión beta , solo tenemos bash-4.2-75.1.4 , como no estoy con la 13.1 , ni me entero si afecta también a beta , pero por lo que veo creo que a todas .

    Saludos cordiales

    Edito :
    Tenía esa duda por que vi el test escrito de otra forma :
    Código:
    X79-PRO-Factory:~ # env x='() {:;}; echo vulnerable' bash -c echo "esto es un test"
    bash: x: line 0: syntax error near unexpected token `{:'
    bash: x: line 0: `x () {:;}; echo vulnerable'
    bash: error importing function definition for `x'
    
    X79-PRO-Factory:~ # env x='() {:;}; echo vulnerable' bash -c "echo esto es un test"
    bash: x: line 0: syntax error near unexpected token `{:'
    bash: x: line 0: `x () {:;}; echo vulnerable'
    bash: error importing function definition for `x'
    esto es un test
    Pero me había equivocado , echo entraba dentro de las " " .

    Gracias
    Última edición por mikrios; 27-sep-2014 a las 15:20 Razón: añadir

  7. #7
    Fecha de Ingreso
    28-diciembre-2008
    Ubicación
    Llave GPG: 0x97f31269 / Valparaíso, Chile.
    Mensajes
    67
    Post Thanks / Like
    Poder de Credibilidad
    11
    Cita Iniciado por DiabloRojo Ver Mensaje
    Si actualizais e instalais los parches del repositorio Update, el problema queda parcialmente solucionado, a la espera de que nos de la solución definitiva vía Update.

    Como podéis ver, esta solucionado porque no aparecen los textos entre comillas como salida.
    Instale los parches y actualice desde update y funcionó la corrección a esta vulnerabilidad de la bash, pero pero me quedé sin internet y reconocimiento de perifericos, no creo que sea problema de esta solución pero la actualización full me trajo problemas que no he podido solucionar. Sería bueno poder saber que parche en específico agrega la corrección.

    Ahora en otro problem como hago que me vuelva a estar como antes ya que knetwork manager no me responde (ni siquiera con el boton de activar wifi y menos con el cable de red) y tampoco los perifericos que conecto a usb. Realicé una actualización con el dvd de 13.1 para tratar a volver a la configuracion original (una solución cavernicola) pero tampoco funcionó .... Debe ser kde.

    Help me please! !

  8. #8
    Fecha de Ingreso
    19-marzo-2005
    Ubicación
    En un lugar del planeta Tierra
    Mensajes
    17.430
    Post Thanks / Like
    Poder de Credibilidad
    10
    Hola pablo, abre un tema de tu problema.

    No creo que la actualización de bash te haya causado esos problemas, debe haber sido otras actualizaciones de otros paquetes.

    Acaba de salir otro parche de bash version 4.2-68.8.1 que añade mas seguridad.
    NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
    Síguenos en TWITTER y en FACEBOOK
    Código:
    Buscador de   Alojamiento      Alojamiento     Otros
     paquetes:    de imágenes:     de ficheros:    buscadores:
    Search        TinyPic          Ifile Wuala     Simple y Facil
    Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p

  9. #9
    Fecha de Ingreso
    02-marzo-2013
    Ubicación
    Lat. 27.994547-Lon -15.405127-160m nivel del mar
    Mensajes
    4.942
    Post Thanks / Like
    Poder de Credibilidad
    11
    Ayer en el beta de openSUSE 13.2, también salio el parche.

    Problema solucionado:
    Código:
    X79-PRO-Factory: env x='() { :;}; echo vulnerable' bash -c "echo Fallo 1 parcheado"
    Fallo 1 parcheado
    You have new mail in /var/spool/mail/root
    
    X79-PRO-Factory: env x='() {:;}; echo vulnerable' bash -c "echo esto es un test"
    esto es un test
    
    X79-PRO-Factory:~ # zypper if bash
    
    Retrieving repository 'packman.inode.at/suse/Factory/' metadata .......................................................[done]
    Building repository 'packman.inode.at/suse/Factory/' cache ............................................................[done]
    Loading repository data...
    Reading installed packages...
    
    
    Information for package bash:
    -----------------------------
    Repository: Main Update Repository
    Name: bash
    Version: 4.2-75.4.1
    Arch: x86_64
    Vendor: openSUSE
    Installed: Yes
    Status: up-to-date
    Installed Size: 703.9 KiB
    Summary: The GNU Bourne-Again Shell
    Description: 
      Bash is an sh-compatible command interpreter that executes commands
      read from standard input or from a file.  Bash incorporates useful
      features from the Korn and C shells (ksh and csh).  Bash is intended to
      be a conformant implementation of the IEEE Posix Shell and Tools
      specification (IEEE Working Group 1003.2).
    Saludos cordiales

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Temas Similares

  1. Script bash para crear varias carpetas de una sola vez
    By asero12 in forum Programación y Scripts
    Respuestas: 9
    Último mensaje: 24-may-2014, 19:33
  2. Consumo de RAM
    By afranco in forum Software
    Respuestas: 6
    Último mensaje: 07-feb-2014, 17:10
  3. Vulnerabilidad en Adobe Acrobat Reader para versiones Unix
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 07-jul-2005, 00:24
  4. Vulnerabilidad local en AIO_Free_Ring
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 11-dic-2004, 15:24
  5. Vulnerabilidad en pila TCP afecta a Windows y Linux
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 01-oct-2004, 11:01

Marcadores

Normas de Publicación

  • No puedes crear nuevos temas
  • No puedes responder mensajes
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •