Shellshock, test e patch per OS X

[faxus]

Forse lo sapete, forse no, ma è stata scoperta una grave falla in bash.

Senza stare troppo ad approfondire, le notizie le potete assumere dai link sotto, ho cercato una verifica e la possibilità, in rete, di difenderci in attesa che arrivi la patch da Apple, attesa nelle prossime ore.
Apple ha comunque detto che non dovremmo correre molti pericoli, perché comunque il sistema ha altre forme di protezione che impedirebbero lo sfruttamento della falla.
http://www.lastampa.it/2014/09/26/tecno ... agina.html" onclick="window.open(this.href);return false;
http://www.corriere.it/tecnologia/14_se ... a9c2.shtml" onclick="window.open(this.href);return false;
http://www.ilpost.it/2014/09/25/shellshock-bash-unix/" onclick="window.open(this.href);return false;
http://www.hwupgrade.it/news/sicurezza- ... 54207.html" onclick="window.open(this.href);return false;
(dove c'è il richiamo alla pagina di http://apple.stackexchange.com" onclick="window.open(this.href);return false; da cui ho tratto le indicazioni che fornisco)
http://en.wikipedia.org/wiki/Shellshock_(software_bug" onclick="window.open(this.href);return false;)

Il problema viene descritto qui, tecnicamente
http://cve.mitre.org/cgi-bin/cvename.cg ... -2014-6271" onclick="window.open(this.href);return false;
E qui il suo aggiornamento
http://cve.mitre.org/cgi-bin/cvename.cg ... -2014-7169" onclick="window.open(this.href);return false;

Quindi eseguo il test per il Terminale di OS X:

Codice: Seleziona tutto

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Pare che io sia vulnerabile...

Codice: Seleziona tutto

iMac-di-Faxus:~ faxus$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
hello
iMac-di-Faxus:~ faxus$

Cosa fare?
Prima controlliamo se la versione di bash è l'ultima fornita di serie con 10.9.5;

Codice: Seleziona tutto

faxus$ bash --version

Nel mio caso lo è

Codice: Seleziona tutto

iMac-di-Faxus:~ faxus$ bash --version
GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.
iMac-di-Faxus:~ faxus$

poi bisogna accertarci di avere Xcode, che per fortuna aggiorno sempre.

Quindi si può eseguire la patch, ricompilandola.
Si eseguano i seguenti comandi, uno per ogni riga:

Codice: Seleziona tutto

mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -

Qui bisogna attendere che venga scaricato il codice (è un po' lento, ci vorrà qualche minuto), fino ad ottenere

Codice: Seleziona tutto

iMac-di-Faxus:bash-fix faxus$ curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 4088k  100 4088k    0     0  13122      0  0:05:19  0:05:19 --:--:-- 23432

Continuando:

Codice: Seleziona tutto

cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0
# Not-yet-released-patch - replace seclists line with:
# curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-053 | patch -p0
curl http://alblue.bandlem.com/bash32-053.patch | patch -p0
cd ..
xcodebuild

Qui si avrà il risultato della ricompilazione, con diversi messaggi ed avvisi, poi

Codice: Seleziona tutto

sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
build/Release/bash --version # GNU bash, version 3.2.53(1)-release
build/Release/sh --version   # GNU bash, version 3.2.53(1)-release
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin

A questo punto controllate

Codice: Seleziona tutto

bash --version

Ottenendo un risultato così

Codice: Seleziona tutto

iMac-di-Faxus:bash-92 faxus$ bash --version
GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.

Per sicurezza eseguite anche

Codice: Seleziona tutto

sudo chmod a-x /bin/bash.old /bin/sh.old

Fatto.

Pare che in rete siano reperibili anche degli script per eseguire il tutto con comodità.
Per adesso non ne ho trovati sui siti affidabili.
Appena ne ho notizia la riporto

[bodisattva]

Lavoro pregevole Faxus, complimenti

[faxus]

Avevo letto la notizia, stamattina, e cercato come fare nel frattempo...

Per adesso la soluzione è valida per quelli che hanno la versione di sistema Mavericks aggiornato a 10.9.5.
Per gli altri non so se sia valida.
Poi sarà un problema per coloro che non hanno Xcode.

Ma in genere Apple avrebbe già fatto qualcosa se fosse un pericolo immediato, si spera che le dichiarazioni di bassa pericolosità siano corrispondenti al vero.
In seguito vedremo, se verranno proposta patch anche per i sistemi precedenti a Mavericks.

Più che altro dovrò verificare, lo farò tra poco, ma non ho notizie dalla rete, se dovrò applicare la patch anche su Yosemite.
Perché in OS x 10.10 i percorsi di sistema non sono identici, come ho potuto verificare con altri comandi.
E poi dovrei scaricare Xcode, non ufficiale, perché è riservato (quello ufficiale) agli sviluppatori che fanno parte del programma dedicato

[Zen]

Secondo me sarà pieno di utenti che si incastrano con la procedura lol

Comunque un problema è anche che Bash dal 2007 è passata alla GPLv3 e non può più essere inclusa in OS X, quindi Apple tiene la versione vecchia, probabilmente in attesa di sostituirla con altro (tipo la migliore zsh che è sotto licenza MIT).

[faxus]

Secondo me sarà pieno di utenti che si incastrano con la procedura lol...

Hehehe... L'avevo pensato anch'io...

Però chiunque ha Xcode non dovrebbe avere problemi ad eseguirla.
Non che io sfrutti Xcode per fare chissacché, però da qualche anno lo aggiorno appunto per fare cose del genere ed alcune indagini sul mio sistema

[faxus]

Secondo me sarà pieno di utenti che si incastrano con la procedura...

Basterà ricontrollare, alla fine:

iMac-di-Faxus:~ faxus$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello

Questo sarà il risultato che dice che la falla non c'è più

[faxus]

Aggiornamenti e dichiarazioni Apple:

"La stragrande maggioranza degli utenti di OS X non sono a rischio di vulnerabilità bash recentemente segnalate.
Bash, una shell di comando UNIX e linguaggio incluso in OS X, ha una debolezza che potrebbe consentire a utenti non autorizzati di ottenere il controllo remoto sistemi di vulnerabili.
Con OS X, i sistemi sono sicuri per impostazione predefinita e non esposti a exploit remoti di bash.
A meno che gli utenti non configurino i servizi avanzati di UNIX.
Stiamo lavorando per fornire rapidamente un aggiornamento software per i nostri utenti che usino quelle configurazioni UNIX avanzate".

http://www.tomshw.it/cont/news/apple-i- ... 398/1.html" onclick="window.open(this.href);return false;
http://www.cnet.com/news/vast-majority- ... pple-says/" onclick="window.open(this.href);return false;
http://www.imore.com/apple-working-quic ... ck-exploit" onclick="window.open(this.href);return false;

Numerose le discussioni aperte sul forum di supporto Apple, una per tutte
https://discussions.apple.com/thread/6561592" onclick="window.open(this.href);return false;

[Buck]

Quando ho letto sul sito del ragnaccio, ho digitato la stringa come da lui suggerito.

env x='() { :;}; echo vulnerabile' bash -c "echo prova"

mi ha dato un errore e quindi non vulnerabile.

il tuo comando è diverso però...

[faxus]

È solo una parola o frase qualsiasi.
Al posto di qualsiasi comando che potrebbe essere inviato ed eseguito.

Va bene hello, prova, dimmi se sei bacato ecc

... mi ha dato un errore e quindi non vulnerabile...

Perché non hai impostazioni avanzate, evidentemente

[mauropasha]

...

Codice: Seleziona tutto

... bash --version
GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13)...

...

la mia è un'altra, immagino perché io uso ancora il Leone della montagna…

[mauropasha]

...

Codice: Seleziona tutto

... bash --version… [/quote]

Aggiungo i complimenti per la guida, che pare essere una delle più seguite  :hello1:

[Buck]

Perché non hai impostazioni avanzate, evidentemente

su questo non ci sono dubbi

Aggiungo i complimenti per la guida, che pare essere una delle più seguite

mi associo

[iStefano]

Ottimo lavoro faxus ...

[Zen]

IStefano manca la E di env

[LeoTM]

è forse il bug più promettente che io ricordi.

heartbleed a confronto è veramente uno scherzetto.

Edit: ah no, il mio preferito di sempre rimane quello del phf e passwords non shadow