Menéame: comentarios [2261840]

#265 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Sun, 28 Sep 2014 15:41:55 +0000

#263 Lo dudo.

Y no saber que la API de IE se puede acceder desde cientos se componentes y programas oficiales de MS es de traca.

» autor: --125581--

#264 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Sun, 28 Sep 2014 09:46:14 +0000

#263 Es evidente que él está todavía en la pubertad y yo soy un troll

» autor: --320894--

#263 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Sun, 28 Sep 2014 09:31:49 +0000

#262 Ander

» autor: Marx

#262 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Sun, 28 Sep 2014 09:31:21 +0000

#261 Quién?

» autor: --320894--

#261 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Sun, 28 Sep 2014 08:32:19 +0000

#260 Lo irónico es que creo que él sí está estudiando en un instituto.

Pero bueno, no me meto más.

» autor: Marx

#260 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Sat, 27 Sep 2014 23:14:00 +0000

#259 Tantos gilipollas y tan pocas balas

» autor: --320894--

#259 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Sat, 27 Sep 2014 20:40:45 +0000

#258 Hala, hala. Venga, a dormir, que el lunes tienes que volver al instituto.

» autor: --125581--

#258 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Sat, 27 Sep 2014 12:43:31 +0000

#267 Una vulnerabilidad de Internet Explorer que afecta a Office. Venga talibán, cierra la puerta y vete a llorar con tu bash

» autor: --320894--

#257 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Sat, 27 Sep 2014 12:39:22 +0000

#255 ¿DCOM? Lo mismo da.

"Y estás suponiendo que algún mortal tiene instalada alguna de esas aplicaciones en sus equipos."

¿Office? Lo más seguro. ¿Lo demás? Sí o sí. A no ser que un usuario normal use Windows Server Core.

Y ni aun así se libra, ya que sigue habiendo componentes indisolubles.

» autor: --125581--

#256 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

arn01d — Sat, 27 Sep 2014 12:11:12 +0000

#27 no, ¡el próximo año!

» autor: arn01d

#255 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Sat, 27 Sep 2014 09:16:42 +0000

#254 Y estás suponiendo que algún mortal tiene instalada alguna de esas aplicaciones en sus equipos.

Y encima pone objetos OLE, que no se utilizan desde Windows 98. Ole tus cojones

» autor: --320894--

#254 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Fri, 26 Sep 2014 16:26:25 +0000

#253 "Un fallo en las librerías es difícil de ser explotado. "

O eres un troll o eres un ignorante.

- Cualquier programa que use IE para mostrar HTML (MSHTML)
- .Net
- MSoffice/VBA
- VisualBasic
- Componentes de la GUI de Windows
- Componentes del panel de control.
- Objetos OLE.
- Windows Store.

La lista es ENORME.

msdn.microsoft.com/en-us/library/ie/hh772402(v=vs.85).aspx

» autor: --125581--

#253 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Fri, 26 Sep 2014 12:22:35 +0000

#252 Un fallo en las librerías es difícil de ser explotado. Me gustaría que me indicaras al menos un exploit (busca en la base de datos de metasploit) que pueda aprovechar alguna vulnerabilidad de Internet Explorer (no importa qué versión) si éste se encuentra desinstalado.

Suerte

» autor: --320894--

#252 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Fri, 26 Sep 2014 11:58:29 +0000

#249 " Infórmate bien antes de opinar por favor."

Infórmate tu. Te quitas el navegador pero NO las librerías.

Si alguna librería afecta a las de IE estás jodido ya que pueden colarte algo a traves de un programa que use esas librerías.

"Creo que en muy pocos casos se instala una distribución Linux sin instalar bash "

Pero puedes. La librería de IE está sí o sí.

» autor: --125581--

#251 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Nova6K0 — Fri, 26 Sep 2014 11:55:37 +0000

#53 y #77 Lo decía porque Linux lo instala por defecto. Al menos en Kubuntu se instala por defecto. Y sí es un riesgo que afecta a la seguridad de todo el sistema debilitando la seguridad del mismo.

Por otro lado ya lo están explotando:

about-threats.trendmicro.com/us/malware/ELF_BASHLITE.A

Salu2

» autor: Nova6K0

#250 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Fri, 26 Sep 2014 08:10:33 +0000

#247 Del enlace de #242

This means that web apps written in languages such as PHP, Python, C++, or Java, are likely to be vulnerable if they ever use libcalls such as popen() or system(), [..]

For the same reason, userland DHCP clients that invoke configuration scripts and use variables to pass down config details are at risk when exposed to rogue servers (e.g., on open wifi). A handful of MTAs, MUAs, or FTP server architectures may be also of concern. Finally, there is some exposure for environments that use restricted SSH shells(possibly including Git) or restricted sudo commands...

#244 Pues claro que sí.

» autor: Marx

#249 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Fri, 26 Sep 2014 07:40:49 +0000

#246 Internet explorer se puede eliminar por completo a partir de Windows 7. Desde agregar o quitar programas. Una vez eliminado no es posible abrir el programa (iexplore) y por tanto estás exento de vulnerabilidaes. Infórmate bien antes de opinar por favor.

Obviamente se puede tener Linux sin tener bash pero no es lo común. Creo que en muy pocos casos se instala una distribución Linux sin instalar bash

» autor: --320894--

#248 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

eqas — Fri, 26 Sep 2014 07:03:52 +0000

#38 ¿Pero alguien deja su ordenador a alguien con su usuario logueado? El problema es el desconocimiento de la gente. En mi pc hay usuarios para todos los miembros de la familia, cada uno con sus iconitos, colorines, documentos, y aislado del resto. Y por supuesto el administrador no lo usao ni yo. Yo uso una cuenta de usuario avanzado y el resto usuarios a secas. Y ni un problema jamás. Windows no es más inseguro que linux si se usa bien, pero es tan masivamente usado que es normal que lo use gente sin saber qué hace.

» autor: eqas

#247 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Pijus_Magnificus — Fri, 26 Sep 2014 06:09:47 +0000

Descubrí el artículo en Genbeta y al principio me pareció interesante, hasta que vi que los "únicos" (eso no quita que habrá millares) servidores afectados son aquellos que pasan cadenas a un intérprete bash por CGI.

Decir que es tan o más dañino que Heartbleed es sensacionalismo en estado puro cuando hoy en día la mayoría de aplicaciones web funcionan con lenguajes de programación y frameworks que, a no ser que se produzca un cataclismo o el desarrollador que lo programó haya estado en coma profundo los últimos 15 años, no necesitan pasar ningún parámetro a bash.

» autor: Pijus_Magnificus

#246 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Fri, 26 Sep 2014 01:44:09 +0000

#231 Puedes tener Linux sin Bash.

Sin embargo, IE no lo quitas ni con amonal.

Si no lo tienes como programa lo tienes como librería. Sí o Sí.

» autor: --125581--

#245 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

thingoldedoriath — Thu, 25 Sep 2014 23:36:37 +0000

#210 Supongo que tendrás que instalar otra "shell" compatible con "#! /bin/sh" de los scripts.

Todo depende de que distribución estés usando, si eres de los que no hace cambios tras la instalación (salvo añadir programas/paquetes).

Si has instalado una distribución GNU/Linux Mint, una Debian y creo que ocurre con Ubuntu; los guiones de shell (o scripts) que lleven ese encabezamiento serán interpretados por la shell "dash" (independientemente de que cuando tu abres un terminal por defecto te aparezca tu usuario logeado en la shell "bash" (esto depende de lo que ponga en el fichero /etc/passwd, al final de la linea de cada usuario figura la shell que utilizará ese usuario y esa es la que se ejecuta cuando abres un terminal Xterm o rxvt o cualquier otro terminal).

"dash" es: La consola del alquimista de Debian (dash) es una consola POSIX derivada
de ash. Desde que ejecuta scripts mas rapido que bash, y tiene menos dependencias
de bibliotecas (haciendolo más robusto contra fallas de software o
hardware), se usa como consola predeterminada del sistema en sistemas
Debian.

Yo por lo general uso bash para el login de los usuarios y tcsh para root. Pero "#! /bin/sh" apunta a dash

file /bin/sh
/bin/sh: symbolic link to `dash'
file /bin/dash
/bin/dash: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24

Hace un momento se actualizó bash (y es la segunda vez que se actualiza hoy

dpkg -s bash|grep Version
4.3-7ubuntu1.2

Y en esta versión están parcheados las dos vulnerabilidades

Saludos cordiales.

» autor: thingoldedoriath

#244 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--312149-- — Thu, 25 Sep 2014 22:50:18 +0000

[Usuario deshabilitado]

» autor: --312149--

#243 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Naito — Thu, 25 Sep 2014 21:37:08 +0000

acabo de hacer la prueba, y soy vulnerable…

» autor: Naito

#242 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 20:58:05 +0000

lcamtuf.blogspot.ae/2014/09/quick-notes-about-bash-bug-its-impact.html

Manda huevos...

» autor: --125581--

#241 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 20:47:38 +0000

#239 ¿Y si usamos rbash (restricted bash) en lugar de Bash? Creo que hay mogollón de shells y seguramente habrá Servidores Linux que no usen Bash como shell principal.

» autor: dotromas

#240 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

ur_quan_master — Thu, 25 Sep 2014 20:33:56 +0000

Si tu servidor de aplicaciones web ejecuta scripts bash, tu problema de seguridad ya había empezado mucho antes.

» autor: ur_quan_master

#239 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 20:28:40 +0000

Quizá lo ideal sería pasar un intérprete restringido en vez de Bash, u otro más ligero con funcionalidades suficientes.

Siento ser pesado, pero para un uso normal (autocompletado, PS1, y demás) pdksh es perfecto para usuarios limitados.

» autor: --125581--

#238 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--324579-- — Thu, 25 Sep 2014 20:25:00 +0000

#237 se agradece el detalle. Está bien saber que los que más sabéis estáis aquí para ayudar a quien no sepa leer inglés, o a quien no sepa entender el alcance de una cosa de estas. Yo supongo que los demás sí que podemos contar con tu ayuda a la hora de entender la gravedad de este bug, las posibilidades de explotarlo, la extensión o el significado en comparación con otras incidencias de seguridad. Pero la mayoría estamos solo pasando el rato y no queremos abusar de tu tiempo preguntándote más detalles. Supongo que lo comprendes.

» autor: --324579--

#237 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Thu, 25 Sep 2014 20:11:37 +0000

#236 Ah, bueno, por si no sabías.

» autor: Marx

#236 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--324579-- — Thu, 25 Sep 2014 20:10:54 +0000

#235 sé traducir, eh?

» autor: --324579--

#235 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Thu, 25 Sep 2014 20:09:30 +0000

#234 Pues no sé qué sabrás tú pero entre tú y la división nacional de ciberseguridad de EEUU + los de hispasec + los de redhat que la clasifican como alta, etc. me quedo con ellos y lo dicen bien claro:

Nivel de impacto: 10 (sobre diez). Nivel de explotabilidad: 10. Vector de ataque: explotable en red. Dificultad de explotación: baja. Tipo de impacto: fuga de información, modificación no autorizada, interrupción de servicio.

Pero paso de discutir.

» autor: Marx

#234 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--324579-- — Thu, 25 Sep 2014 20:03:56 +0000

#232 eso significa que el resto tampoco. Pero qué sabré yo.

» autor: --324579--

#233 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 20:01:13 +0000

#232 El primer comentario sensato que veo por aquí

» autor: --320894--

#232 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Thu, 25 Sep 2014 19:59:35 +0000

#226 "no, este bug casi no tiene posibilidad de ser explotado. "

Bueno, tiene la mayor puntuación de explotabilidad y no tienen más números en la escala para puntuar lo grave que es pero qué coño sabrán ellos ¿no?
web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

Y estos otros sensacionalistas: unaaldia.hispasec.com/2014/09/bash-significa-golpe-porrazo-o-castana.h

#229 Pierdes el tiempo, aquí siempre se busca cualquier escusa para minimizar la noticia.

» autor: Marx

#231 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 19:41:13 +0000

#221 Si la vulnerabilidad hubiera sido de Internet Explorer habrían salido ya a patadas gente a cuchillo yendo a por Windows. Y es así. Indirectamente una vulnerabilidad de Internet Explorer afecta a Windows. Es cierto que Internet Explorer se puede desinstalar pero lo normal es que esté presente en todos los sistemas Windows. Con esto que ha pasado de bash funciona igual. Estamos hablando de una vulnerabilidad también a nivel de sistema operativo porque la inmensa mayoría de sistemas Linux tienen instalado bash. Es el mismo problema, pero aquí en menéame lo ven con distinto prisma. Cuestión de sesgo. Y de fanatismo

» autor: --320894--

#230 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--324579-- — Thu, 25 Sep 2014 19:40:37 +0000

#31 los fallos de seguridad de windows no pueden subir a portada.
Es una simple cuestión numérica.

» autor: --324579--

#229 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 19:38:31 +0000

#225 claro, no actualices amigo jajajaja. La noticia apenas ha tenido relevancia

» autor: --320894--

#228 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--324579-- — Thu, 25 Sep 2014 19:32:18 +0000

#14 ya puedes votar antigua

» autor: --324579--

#227 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--324579-- — Thu, 25 Sep 2014 19:30:09 +0000

#13 con eso nadie hace un exploit hoy en día. Ningún sistema de los últimos años coge una cadena del exterior y la pasa a un intérprete bash. Sería un error de seguridad de primer orden de ese programa. Y si tienes un programa con ese error, el que tengas una bash mejor o peor ni te ayuda ni te deja de ayudar.

» autor: --324579--

#226 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--324579-- — Thu, 25 Sep 2014 19:27:59 +0000

#9 no, este bug casi no tiene posibilidad de ser explotado. Los avisos de seguridad de windows son mucho más graves. Un triste virus es mucho más grave que esto. Ya sabes que hay verdaderos ejércitos de bots que son windows, como puede ser el de tu casa, a disposición de los crackeres/hackers que los han capturado y pueden lanzar desde ellos un ataque cuando quieran, como pueden tomar el control de la máquina y leer cualquiera de sus datos. Y muchas veces el usuario ni se entera.

» autor: --324579--

#225 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--324579-- — Thu, 25 Sep 2014 19:16:22 +0000

#213 No, eso de que los usuarios de linux están jodidos si no actualizan no es verdad. No puedes hacer un exploit con ese bug.

» autor: --324579--

#224 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--324579-- — Thu, 25 Sep 2014 19:14:09 +0000

#1 Hoy en día ningún sistema actual permite que se pueda explotar eso.
Si me dices hace 20 años, vale. Pero a día de hoy nadie coge una cadena de un sistema no confiable y lo ejecuta en una shell. Ni en bash ni en ninguna otra.

Ni punto de comparación del agujero de seguridad que genera este bug con lo que pueda ser un virus, por ejemplo.

La noticia es sensacionalista a tope.

» autor: --324579--

#223 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 18:46:47 +0000

#214 busybox no es igual ni tiene a BASH.

» autor: dotromas

#222 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 18:45:46 +0000

#220 Si quizás tengas razón y al final no se pueda, pero a lo que vamos es que se pueden tener otras distros de Linux sin tener que usar obligatoriamente BASH como shell para funcionar (y pueden usarse como Servidor igualmente).

» autor: dotromas

#221 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 18:43:28 +0000

#213 Si, pero lo que estamos diciendo es que no afecta al 100% de distribuciones Linux. Bash es una shell mas (que si, que en muchos sistemas es de instalación por defecto), pero otra más y no es un problema de Linux en si (es un programa mas que puede ser sustituido por otros similares como Busybox u otras shells: zsh, pdksh, ash, dash, ksh, tcsh, etc etc etc, siempre que no se use bash como una dependencia de otros paquetes o programas). LINUX=kernel y no es cierto que sea toda la distribución (por esa misma logica puedo decir que como Firefox viene con todas las distros de Linux => Firefox es Linux).

» autor: dotromas

#220 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 18:38:45 +0000

#219 Lo sé, pero ni de coña lanzaré el arranque de /bin/sh como ksh . Si acaso en virtual.

Mi Slack funciona de maravilla, paso de arrancar en modo live y reparar el enlace.

» autor: --125581--

#219 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 18:37:55 +0000

#218 eso es un enlace simbolico por instalar bash como shell. Habría que probar a instalar otro shell sin bash para ver si se crea el mismo enlace simbolico apuntando al nuevo shell (ej. /bin/sh -> pdksh o tcsh u otro).

» autor: dotromas

#218 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 18:32:10 +0000

#205 #208 ander:$ ls -la /bin/sh
lrwxrwxrwx 1 root root 4 ago 19 02:41 /bin/sh -> bash

» autor: --125581--

#217 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 18:31:40 +0000

#210 En Slackware te arriesgas a cargarte la distro por los "bashismos" en los scripts.

» autor: --125581--

#216 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

DarkFlopo — Thu, 25 Sep 2014 18:28:34 +0000

Como en todas las vulnerabilidades descubiertas, la cosa está en encontrar versiones de linux que no tengan el parche. Dado que hay millones de versiones de linux... Será fácil encontrar incautos.

» autor: DarkFlopo

#215 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 18:24:54 +0000

#214 Si has entrado a leer el artículo en genbeta (cosa que dudo) te darás cuenta que ni hablan de android, ni de electrónica de red ni de embebidos. Cuando hablo de sistemas Linux me refiero a los que mencionan en el artículo, es decir, los servidores. En el artículo también habla de DHCP y páginas CGI que son tecnologías que son empleadas en servidores.

Aquí sin embargo algunos ya metieron busybox, android, windows, Stallman etc. El caso es desviar la atención de lo verdaderamente importante

» autor: --320894--

#214 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

rafaeska — Thu, 25 Sep 2014 18:21:15 +0000

#213 Bueno, bueno, perdona. No eran sólo para ti de todas formas. Es que como te vi decir
"Pero qué tontos estáis colega. La vulnerabilidad está presente en la mayoría de sistemas Linux y Mac. No está en Windows. Punto y final. " (mayoría de sistemas linux = Android+electrónica de red+embebidos)
o
"Bash está presente en Android. Los usuarios no pueden acceder directamente a ella pero las aplicaciones sí " (shell android = busybox)
pensé que había algún conceptillo bailado.
Insisto, intentaba ser para legos la explicación.

» autor: rafaeska

#213 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 18:13:37 +0000

#207 a mí no hace falta que me des explicaciones. Yo soy administrador de sistemas y conozco todas las siglas y definiciones que hay que conocer. Pero a la hora de verdad hay que ser práctico. Y siendo práctico, los que utilizan prácticamente cualquier distribución de Linux (o GNU/Linux para que no os enfadéis) en servidores están jodidos si no actualizan. Bash está presente en todos los sistemas operativos que se instalen por defecto en la gran mayoría de los hosting que hay en Internet

Aquí mientras unos intentamos advertir de la gravedad del asunto, otros se dedican a decir que no es Linux sino GNU/Linux, mientras que otros solo les interesa lo que ha comido hoy Stallman y al otro de más allá mete a Windows en todo este tema (aunque no tenga nada que ver)

» autor: --320894--

#212 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

GambasConFimosis — Thu, 25 Sep 2014 18:04:27 +0000

Estas cosas a mi no me afectan, lusers

Enviado desde mi MIR-2

goo.gl/1gtvtT

» autor: GambasConFimosis

#211 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--66487-- — Thu, 25 Sep 2014 17:43:49 +0000

#210 #209 Mira, da igual, el problema no es de bash. No por tener bash instalado van a poder explotar esto.

» autor: --66487--

#210 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 17:42:36 +0000

#209 Supongo que tendrás que instalar otra "shell" compatible con "#! /bin/sh" de los scripts.

» autor: dotromas

#209 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 17:37:35 +0000

#208 removepkg bash y me dices . Si funciona, cojonudo, pero siempre me dijeron que seccion A = obligatorio para funcionar.

» autor: --125581--

#208 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--66487-- — Thu, 25 Sep 2014 17:35:07 +0000

#205 #203 falso:

eldelshell@eldelshell-laptop:~$ head /etc/rc0.d/S30urandom
#! /bin/sh

» autor: --66487--

#207 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

rafaeska — Thu, 25 Sep 2014 17:33:07 +0000

A ver, que me ponéis nervioso. Explicación para legos, y para @tito_vilanova y otros que no tienen claro los conceptos:
Linux: un kernel (núcleo). Se encarga de controlar el hardware del sistema: la comunicación entre la CPU, la RAM, los cacharros de entrada/salida como las tarjetas de red o las tarjetas gráficas. También se encarga de la comunicación entre procesos y alguna cosa más. No es un sistema operativo, porque le falta las herramientas para el manejo y creación de programas (compilador, por ejemplo)
GNU (GNU is not Unix): conjunto de utilidades para la administración de un sistema operativo. NO GESTIONA EL HARDWARE. Incluye un compilador (gcc) y otras muchas herramientas como las consolas, terminales, shells o 'lo negro donde aprender mecanografía': como queráis llamarlo; editores de texto, comandos para operar con el kernel, etc, etc.

Como @Ander_ ha intentado explicar correctamente (aunque algo borde) y como el Stallman anda siempre predicando, Linux no es un sistema operativo: es un núcleo. La FSF siempre llora porque se generaliza: el nombre correcto para distribuciones como Debian, Ubuntu, Fedora, Suse, RHEL, Slackware, Gentoo, Linux Mint & co debería ser GNU/Linux.
También existe un núcleo de la FSF de Stallman: Hurd. El sistema operativo es GNU/Hurd (poco operativo y todavía a medias, supongo; hace mucho que no lo miro).

No es tan difícil de entender: se puede escribir comandos en lo negro SIN BASH.
Bueno, y los puretas podéis freirme a negativos por las más que probable imprecisión de mis explicaciones.

» autor: rafaeska

#206 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--330392-- — Thu, 25 Sep 2014 17:28:27 +0000

#77 Bash no es solo "una aplicación"

» autor: --330392--

#205 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 17:27:11 +0000

#203 ¿Usan bash esos scripts explicitamente o usan un enlace simbolico tipo /bin/sh o algo similar? Nunca me he fijado la verdad. Aparte de las que usan busybox, en Gentoo probablemente se pueda cambiar también bash al instalarlo desde un entorno chroot (y en otras distros basadas en codigo). Coño y a las malas pones un LFS (linux from scratch, jeje).

» autor: dotromas

#204 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--347930-- — Thu, 25 Sep 2014 17:18:27 +0000

[Usuario deshabilitado]

» autor: --347930--

#203 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 17:17:29 +0000

#199 Por supuesto puedes hacerlo, pero no te va a arrancar

Más que nada porque los scripts de /etc/rc.d no te van a tirar.

Slackware 14.1 aquí

» autor: --125581--

#202 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

kumo — Thu, 25 Sep 2014 17:16:58 +0000

Que te llame "llorón un tio que lleva más de 20 mensajes en el hilo repitiendo la misma falsedad una y otra vez. Vaya nivel. Seguro que fue a instalar Ubuntu y la neurona le hizo chispazo

Contigo sólo vale esto: i.imgur.com/RLdD14R.jpg

» autor: kumo

#201 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--347930-- — Thu, 25 Sep 2014 17:16:54 +0000

[Usuario deshabilitado]

» autor: --347930--

#200 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Trublux — Thu, 25 Sep 2014 17:15:36 +0000

Me esty quedando a cuadros ¡¡¿¿de verdad cuando en un titular pone "toda internet" no se refiere a toda internet??!!

» autor: Trublux

#199 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 17:15:26 +0000

#197 Corrígeme si me equivoco, pero creo recordar que al seleccionar la opción de instalación "menu" te permite elegir por paquetes individuales y se puede no instalar BASH si se quiere (siempre habrá que tener en cuenta que no se podrán usar otros paquetes que usen BASH, claro). Si se elige la instalación estandar o por grupos de paquetes (como A de Obligatorio) si te lo instala por defecto.

» autor: dotromas

#198 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 17:11:35 +0000

#196 Y esto señores es un llorón que no quiere reconocer que a su sistema operativo preferido le han roto el orto

» autor: --320894--

#197 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 17:08:05 +0000

#191 Lo siento pero en Slackware "bash" está en A. Obligatorio

Eso sí, como usuario uso pdksh y como root, lanzo pdksh como shell de login "/bin/pdksh -l" para quitar Bash cuanto antes.

En otras distros, sí, puedes mandar bash al cuerno y usar Busybox, ash, pdksh ...

» autor: --125581--

#196 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

kumo — Thu, 25 Sep 2014 17:06:01 +0000

#195 Joer, tio, para estar repitiendo una tontería durante tantos comentarios, mira que eres cansino, e incoherente, pero ahora es más molesto lo de cansino. NO, NO TODOS LOS SERVIDORES *NIX LLEVAN BASH. NO, EL 99% DE LOS FRIKIS (SEGUN TU LOS UNICOS CON LINUX DE ESCRITORIO) Y SYSADMIN HACEN LA INSTALACION POR DEFECTO.

Hala y vete a pastar. Pesao. Que no eres más que un pesao.

» autor: kumo

#195 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 17:00:03 +0000

#191 Que sí, Linux tendrá todas las medidas de seguridad que quieras, pero en la instalación por defecto te instalan bash. Y el 99% de la gente hace una instalación por defecto

Por cierto, SeLInux es una basura y totalmente inmanejable. Prueba con AppArmor

» autor: --320894--

#194 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

kumo — Thu, 25 Sep 2014 16:58:05 +0000

Ni que bash fuese la única shell y es más:

así que estamos hablando de sistemas Linux, OS X y demás derivados UNIX (BSD, Solaris...).

Muchos solaris, aix y hp-ux de mi curro ni tienen bash ni para un /bin/bash, sólo ksh.

Así que lo veo un poquito sensacionalista. Ya que además, como apuntan por ahí, es un bug de la aplicación, no del OS. Bash no es parte integral *nix, sólo otra aplicación más.

Por cierto, Archlinux ya ha actualizado la versión de bash.

» autor: kumo

#193 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--66487-- — Thu, 25 Sep 2014 16:43:04 +0000

#190 a ver que te explico las condiciones que se tienen que dar para que un servidor sea atacado por esto ya que la noticia no lo dice:

1-) La shell por defecto es bash o redirige a bash (debian's no)
2-) Ejecutar CGI o PHP, Perl, Python, etc. y hacer una llamada al sistema (system()) sin verificar qué es lo que estas recibiendo.

Para que lo entiendas mejor, es la misma genialidad detrás de los fallos de inyección SQL. ¿Es un fallo de SQL ejecutar SQL? NO! Es un fallo del tarugo que coge una cookie y se la pasa a SQL sin sanearla.

» autor: --66487--

#192 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--4955-- — Thu, 25 Sep 2014 16:37:58 +0000

#147 ¿Podrías explicar por qué o dar alguna referencia? Es que me parece un paradigma la mar de funcional y no quisiera meter la pata en mis proyectos.

» autor: --4955--

#191 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 16:35:58 +0000

#190 hay distribuciones que se usan en servidores como Slackware o Gentoo u otras nominalistas que te permiten elegir si quieres tener bash. Además te recuerdo que linux dispone de muchos sistemas de seguridad como Selinux o grsecurity que pueden impedir cierto tipo de ejecuciones de código incluso por root.

» autor: dotromas

#190 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 16:27:03 +0000

#189 todos los servidores linux traen bash por defecto. Otra cosa es que tú seas friki después y lo desinstales. Poca gente hace eso

» autor: --320894--

#189 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dotromas — Thu, 25 Sep 2014 16:25:05 +0000

#151 mentira. Puedo tener muchos servidores linux que no se use bash.

» autor: dotromas

#188 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

juanac — Thu, 25 Sep 2014 16:16:43 +0000

No somos nada.

» autor: juanac

#187 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--418702-- — Thu, 25 Sep 2014 16:07:45 +0000

Ya esta resuelta la vulnerabilidad, pero si el que no actualiza sus sistemas pone esta noticia pues es lógico que la siga teniendo.

» autor: --418702--

#186 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

woopi — Thu, 25 Sep 2014 16:07:43 +0000

#144 Ya. Pero la realidad es como si está en el 100% de Debian y en todos los Ubuntu. Bash NO es linux ni OSX.

» autor: woopi

#185 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

painful — Thu, 25 Sep 2014 15:48:59 +0000

#122 no sudes, hombre, que no es tan difícil

» autor: painful

#184 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

joseitor — Thu, 25 Sep 2014 15:46:15 +0000

#183 bueno pues ya sabes de donde viene, y ahora ya puedes juzgarlo, lo puse por que creo era un dato importante que no aparecía en la noticia, sin embargo esa fuente me pareció la más completa

» autor: joseitor

#183 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--66487-- — Thu, 25 Sep 2014 15:44:54 +0000

#181 del titulo que has puesto tú. No me he leído la noticia de genbeta entera porque no me he imagino que ibas a mezclar dos noticias de dos medios distintos.

» autor: --66487--

#182 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

senyorningu — Thu, 25 Sep 2014 15:44:06 +0000

AVISO: fish también es vulnerable.

» autor: senyorningu

#181 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

joseitor — Thu, 25 Sep 2014 15:43:06 +0000

#179 #180 donde pone que los de Genbeta le han dado un 10/10?? como se nota que os gusta hablar antes de leer, lo de 10/10 lo he sacado de esta noticia www.theguardian.com/technology/2014/sep/25/shellshock-bug-heartbleed
"The US government-backed National Vulnerability Database rated Shellshock 10/10 for severity. "

National Vulnerability Database:
web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

» autor: joseitor

#180 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--66487-- — Thu, 25 Sep 2014 15:32:25 +0000

#171 No tío, que los de Genbeta le han dado un 10/10. Como se nota que no tienen ni puta idea de lo que hablan.

» autor: --66487--

#179 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--66487-- — Thu, 25 Sep 2014 15:31:10 +0000

"10/10" que flipados y que ganas de atraer clicks.

» autor: --66487--

#178 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 15:27:57 +0000

#170 #167 #177 COME REALIDAD, COME, COME.

www.meneame.net/c/15463368

» autor: --125581--

#177 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 15:27:57 +0000

#176 Amigo se te va la cabeza. Ya no sabes ni que inventar para defender a tu Linux. Sal un poquito a la calle a que te de el aire

» autor: --320894--

#176 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 15:26:45 +0000

#167 Cambia "bash" por "pdksh" y LLORA. Como mi anterior comentario.

#175 Powershell es un aborto y Windows VS cgroup + kvm + espacios de usuario "virtuales" es un chiste.

» autor: --125581--

#175 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 15:21:05 +0000

#174 Es igual de seguro en la actualidad. Linux es normal que se utilice más por su potente línea de comandos. Powershell no le llega ni a los tobillos

amigo sigues anclado en la época de Windows 98 y Windows 2000 Server. Actualízate un poquito. Windows a día de hoy es una buena opción tanto en escritorio como en servidores

» autor: --320894--

#174 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--45633-- — Thu, 25 Sep 2014 15:17:53 +0000

#173 Competente es pero tan seguro como Linux no es y cualquier gran empresa lo da a entender porque utilizan servidores Linux.

» autor: --45633--

#173 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 15:16:45 +0000

#172 Dime un problema

Estáis un poco obsesionados. Windows Server 2012 es ampliamente utilizado en la actualidad y es muy muy competente.

De todas formas yo estaría más preocupado ahora si fuera administrador de sistemas de Linux que de Windows

» autor: --320894--

#172 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--45633-- — Thu, 25 Sep 2014 15:09:39 +0000

#166 Si utilizas servidores Windows entonces estás exento de peligro. Esa es la realidad

Si utilizas servidores Windows entonces tienes bastantes otros problemas de los que preocuparte. Esa es la realidad.

» autor: --45633--

#171 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

darkdefender — Thu, 25 Sep 2014 15:08:26 +0000

Esta es una vulnerabilidad muy llamativa y también muy difícil de explotar en un servidor moderno que use lenguajes como PHP, Ruby, Python, etc. Ninguno de esos lenguajes usa las variables de entorno de bash para nada, asumiendo que tengas un sistema en el que bash sea el /bin/sh por defecto, que como han dicho ya no es común dado que, por ejemplo en Debian y derivados, se ha cambiado por dash u otras.

» autor: darkdefender

#170 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

pawer13 — Thu, 25 Sep 2014 15:05:08 +0000

#167 Esa prueba es incorrecta, no ha cambiado la palabra "bash" en sus pruebas:
twitter.com/ErrataRob/status/514837917907165184

» autor: pawer13

#169 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--334659-- — Thu, 25 Sep 2014 15:02:19 +0000

Que Linux ya es algo que conocen las masas se ve perfectamente en el dramatismo de estas noticias. Aunque yo pensaba que ya habríamos muerto todos con el bug de openssl de hace algunos meses.

Queda poco para el año de Linux en el escrotorio, amijos.

» autor: --334659--

#168 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--7407-- — Thu, 25 Sep 2014 14:56:55 +0000

OS X afectado? Imposible! La manzana es perfecta.

» autor: --7407--

#167 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:49:58 +0000

#163 Mira esto ahora

twitter.com/ErrataRob/status/514834901766397953/photo/1

Depresión

» autor: --320894--

#166 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:46:04 +0000

#163 Me da igual las siglas. Yo soy práctico. Si eres administrador de sistemas Ubuntu, CentOs, Debian etc y no actualizas, eres vulnerable. Si utilizas servidores Windows entonces estás exento de peligro. Esa es la realidad

» autor: --320894--

#165 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:44:41 +0000

#158 El titular no es nada sensacionalista. Es un fallo muy grave que permite la ejecución remota de código arbitrario. Empresas con servidores en riesgo pueden echar por tierra el trabajo de años e irse a pique si se explota la vulnerabilidad en sus sistemas

» autor: --320894--

#164 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--416807-- — Thu, 25 Sep 2014 14:44:32 +0000

#122 sudo es de nenazas

» autor: --416807--

#163 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:43:21 +0000

#161 " (ya hay algunos para DHCP)."

Bajo GNU/Linux. No Linux.

» autor: --125581--

#162 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

ktzar — Thu, 25 Sep 2014 14:42:52 +0000

Si tenéis servidores en Digital Ocean el parche ya está en los repos. Y si tenéis puestas las actualizaciones de seguridad automáticas, ya lo deberías tener securizado.
www.digitalocean.com/community/questions/shellshock-bash-vulnerability

» autor: ktzar

#161 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:41:38 +0000

#158 No es un cataclismo. Ya existe el parche y se puede corregir. De todas formas van a ir surgiendo en próximos días posibles ataques más peligrosos (ya hay algunos para DHCP).

Es un fallo importante, exclusivo de sistemas Linux, y negarlo es de necios. Si además de negarlo encima incluyes a Windows como sistema en riesgo también, definitivamente estamos hablando ya de obsesión y enfermedad.

» autor: --320894--

#160 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

DabbaDoo — Thu, 25 Sep 2014 14:41:04 +0000

#157 Me don't understand.

» autor: DabbaDoo

#159 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

mangrar_2 — Thu, 25 Sep 2014 14:39:36 +0000

juas, había leído Sherlock

tengo que ir al ~~ocultista~~ oculista

» autor: mangrar_2

#158 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:38:40 +0000

#156 "De todas formas el peligro está en los servidores Linux. " Eso sí. Pero llamar el problema en Linux e incluso "toda internet" es pecar de sensacionalista.

Sí, GNU/Linux+ Apache / Nginx se usa mucho, pero hay otros UNIX sin Bash rulando internet amén de WIndows, y por supuesto la web no es " todo internet " .

Y sobre todo no todos los Linux llevan Bash. Es leer el titular y "coño, se avecina Skynet" .

Por como lo leo parece un cataclismo mundial.

» autor: --125581--

#157 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:38:15 +0000

#153 Eres Carme?

» autor: --320894--

#156 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:36:35 +0000

#152 Pero bash está presente en muchos sistemas Linux. Es como cuando sale una vulnerabilidad de Internet Explorer. Hace vulnerable a Windows porque en todos los Windows hay Internet Explorer.

De todas formas el peligro está en los servidores Linux. Todos los que no están parcheados son vulnerables puesto que en su instalación incluyen bash por defecto

» autor: --320894--

#155 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:35:14 +0000

#154 Es nativo, sigue siendo un binario PE, hoygan.

¿Donde instalo bash para Android? ez que el BUSIBOX CE ME HANTOJA HABURRIDO.

» autor: --125581--

#154 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

ED209 — Thu, 25 Sep 2014 14:34:32 +0000

nececito un port nativo, lo que usted me fasilita no lo es…

» autor: ED209

#153 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

DabbaDoo — Thu, 25 Sep 2014 14:34:26 +0000

#145 Por favor, lee el comentario entero. ¿No se nota que estaba siendo irónico?

» autor: DabbaDoo

#152 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:33:31 +0000

#151 Servidores != todos. Recuerda la teoría de conjuntos del colegio y tal.

En móviles, se usa Linux, y no solo en Android. Y no usan Bash.

GNU/Linux, todos los que quieras.

Pero la vulnerabilidad NO es de Linux u OSX. Es de BASH.

Cuando afecte a componentes intrínsecos de OSX u iOS (mach, cocoa, AQUA) o el kernel de Linux, entonces sí.

» autor: --125581--

#151 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:32:54 +0000

#149 La referencia en Linux son los servidores, no los sistemas de escritorio. En escritorio nadie utiliza Linux a no ser que seas un friki. En servidores la elección correcta sí es Linux y esos son todos vulnerables

» autor: --320894--

#150 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:32:01 +0000

#148 Wine cmd.exe . Tan usada como Bash en Android o en OpenWRT / Linaro / Firefox OS ....

O mejor: wine wineconsole cmd.exe .

» autor: --125581--

#149 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:31:23 +0000

#145 "sistemas Linux"

¿Está en los sistemas embebidos? No. Esa mayoría es superior a la de sistemas de escritorio, que es la que referencia.

» autor: --125581--

#148 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

ED209 — Thu, 25 Sep 2014 14:31:20 +0000

quiciera instalar un port de cmd.exe para mi computadora Lunix
grasias de antepie

» autor: ED209

#147 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:30:41 +0000

#146 Sí, se lo que es. Pero considero a esas cosas como "paradigmas a evitar".

» autor: --125581--

#146 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

ED209 — Thu, 25 Sep 2014 14:29:39 +0000

#18 has oído hablar de la programación funcional?

javascript:
var hi = function() {console.log('hi')};

ruby:
hi = lambda { puts 'hi' }

etc etc…

» autor: ED209

#145 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:29:31 +0000

#143 #144 Pero qué tontos estáis colega. La vulnerabilidad está presente en la mayoría de sistemas Linux y Mac. No está en Windows. Punto y final.

» autor: --320894--

#144 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

DabbaDoo — Thu, 25 Sep 2014 14:28:24 +0000

#51 No, qué va, en absoluto bash es parte de Linux...
Si sólo está instalado en el 99,99% de los equipos con Debian (qa.debian.org/popcon.php?package=bash)
Y apenas en el 99,99% de los Ubuntu (popcon.ubuntu.com/ - Link en la columna "Inst" de la primera tabla).
No he encontrado estadísticas de Fedora, pero dudo mucho que sean distintas.

» autor: DabbaDoo

#143 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:27:59 +0000

#142 No, no está. Esta sh embebida en el binario de busybox desde un enlace simbólico. Sh no es GNU Bash.

» autor: --125581--

#142 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:27:32 +0000

#139 Bash está presente en Android. Los usuarios no pueden acceder directamente a ella pero las aplicaciones sí

» autor: --320894--

#141 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:27:14 +0000

#140 No, no accedes, yo tengo la terminal instalada y no tengo Bash. Tengo Busybox.

» autor: --125581--

#140 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:26:49 +0000

#137 En tu móvil se puede instalar una terminal y puedes acceder a bash

» autor: --320894--

#139 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:26:39 +0000

#138 Responde. Por defecto, los usuarios de Android ejecutan Bash. ¿Sí o no?

» autor: --125581--

#138 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:26:03 +0000

#135 Esas herramientas que nombras las tiene instaladas menos del 1% de los usuarios de Windows. Eres un talibán sin remedio. Necesitas terapia

» autor: --320894--

#137 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:25:30 +0000

¿La vulnerabilidad está en Linux o en Bash?

Dime en qué parte de mi movil se ejecuta Bash. Intentalo.

Linux, sí, es el kernel. Obviamente.

» autor: --125581--

#136 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:24:40 +0000

#134 Donde no hay es en Windows amigo. Y es lo que pones en tu primer comentario. Luego perdiste y te fuiste por los cerros de úbeda

» autor: --320894--

#135 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:24:17 +0000

#133 Y QNX. Bash también existe en QNX, se puede instalar aparte.

Ponlo vulnerable por si acaso.

#tontolculo

Windows también, y no solo con Cygwin:

gnuwin32.sourceforge.net/

» autor: --125581--

#134 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 14:21:54 +0000

#133 Hay Bash en el Amiga. Vaya, los Amiga también son vulnerables.

No olvides ponerlo en el titular.

» autor: --125581--

#133 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 14:03:44 +0000

#131 Instala esto y luego dime si no tienes bash

play.google.com/store/apps/details?id=hecticman.jsterm&hl=es

A seguir llorando

» autor: --320894--

#132 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--8234-- — Thu, 25 Sep 2014 14:03:34 +0000

#125 Sensacionalista, en portada y con solo 11 negativos. Como era eso... ¡10.000 millones de moscas no pueden estar equivocadas! ¡Comamos mierda!.
Pues eso, cuidado con lo que se ve en la portada de Meneame porque muchas veces solo es eso. Mierda.

» autor: --8234--

#131 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:59:22 +0000

#130 " me refiero a que bash está presente en todos los sistemas linux"

Eso es soberamente mentira. Mi movil no usa Bash.

» autor: --125581--

#130 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 13:59:03 +0000

#127 me refiero a que bash está presente en todos los sistemas linux. El nombre de bash está irremediablemente asociado a ese sistema operativo

» autor: --320894--

#129 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:58:04 +0000

#123 ¿Ksh de Mirbsd? No está mal. Aunque prefiero la de openbsd portada, me aseguro que es de calidad

También tengo mg de este sistema en Slackware. La uso por KVM y las clases , si pudiera migraba de nuevo a BSD.

» autor: --125581--

#128 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Patxi_ — Thu, 25 Sep 2014 13:56:52 +0000

#42 #12 tiene razón. Bash no es linux, es un intérprete más del puñado que puedes elegir. De hecho Bash nació cuatro años antes que Linux.

Y eso no tiene que ver nada con la autocrítica, puesto que Bash también es software libre y es otro fallo que tiene que solucionar un proyecto de software libre

PS: de hecho aquí la tienes con el título correcto (vulnerabilidad en Bash) y se ha descartado por irrelevante www.meneame.net/story/grave-vulnerabilidad-bash-cve-2014-6271-permite-

» autor: Patxi_

#127 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:56:46 +0000

#124 " Bash es linux"

No me diga. Joder con los de GNU, usan una shell como kernel.

» autor: --125581--

#126 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Hanxxs — Thu, 25 Sep 2014 13:55:50 +0000

sudo apt-get update && sudo apt-get install bash

Ale, a otra cosa.

» autor: Hanxxs

#125 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--78579-- — Thu, 25 Sep 2014 13:54:24 +0000

#121 pues sí, tienes razón, el titular es sensacionalista.

» autor: --78579--

#124 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 13:53:29 +0000

#7 eres un poco tonto amigo. Bash es linux, lo utiliza todo el mundo en esos sistemas. Cygwin en Windows lo utilizan 3 frikis de ordenadores como tú.

Otro talibán con venda en los ojos

» autor: --320894--

#123 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--348704-- — Thu, 25 Sep 2014 13:51:14 +0000

#97 zsh es vulnerable, pero no necesariamente otras shells.
ksh por ejemplo.

#122 alias

» autor: --348704--

#122 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--115178-- — Thu, 25 Sep 2014 13:51:14 +0000

#63 #29 #47 #70 sudo

» autor: --115178--

#121 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:50:01 +0000

#120 Mira el titular, y reflexiona. Ni afecta a todo internet ni a Linux en particular.

Si quieres vulnerabilidades explícitas para Linux, está el explot que conseguía root hace eones en la rama 2.6 .

Con el titular se puede dar a entender que afecta a Android, y no es el caso.

» autor: --125581--

#120 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--78579-- — Thu, 25 Sep 2014 13:49:10 +0000

#119, vale, ahora pon lo que he dicho en #114 en contexto con el mensaje #12

» autor: --78579--

#119 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:47:02 +0000

#116 Solo que el titular habla de "Linux" y "Todo internet".

Es incorrecto.

» autor: --125581--

#118 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Arlequin — Thu, 25 Sep 2014 13:47:00 +0000

10/10 would shebang again.

» autor: Arlequin

#117 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:43:34 +0000

#116 Creo que GNU/Linux depende de Bash.

» autor: --125581--

#116 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--78579-- — Thu, 25 Sep 2014 13:43:02 +0000

#114 sigo sin poder ignorar la difusión de los sistemas GNU/Linux y cómo se usa bash en ellos. En cualquier caso, no contradice nada de lo que he dicho. Además, hay versiones de bash de Mac OS X que sí que son vulnerables: apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-av

» autor: --78579--

#115 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:39:25 +0000

#114 Linux no es solo GNU/Linux. Y según comentan, la versión de Bash en OSX está anticuada como para ser vulnerable.

Es como demostrar un fallo en ISS y decir que es un fallo de Windows. Pues no, es de ISS.

» autor: --125581--

#114 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--78579-- — Thu, 25 Sep 2014 13:38:36 +0000

#12 te daría la razón si pudiese ignorar cómo y para qué se usa bash en GNU/Linux y Mac OS X en comparación con Windows. Peeero nope, no puedo.

» autor: --78579--

#113 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:35:35 +0000

#112 Aquí lo ves mejor. Por si acaso, para que nada entre por Bash:

/home/ander>cat bug.ksh
#!/bin/pdksh
rm -f echo && env -i X='() { (a)=>' pdksh -c 'echo date'; cat echo
rm -f echo && env -i X='() { (a)=>' pdksh -c 'echo ls -la'; cat echo
rm -f echo && env -i X='() { (a)=>' pdksh -c 'echo wget
bugzilla.redhat.com/';

/home/ander>pdksh ./bug.ksh
date
cat: echo: No existe el fichero o el directorio
ls -la
cat: echo: No existe el fichero o el directorio
wget
pdksh: bugzilla.redhat.com/: not found

Esto es importante, recordemos, ya que si un sistema no usa Bash, no necesita beneficiarse de actualizaciones o chequeos. Por este bug en concreto, claro.

» autor: --125581--

#112 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--179053-- — Thu, 25 Sep 2014 13:34:03 +0000

#106 #108 Ualá muy cierto!!! Me acabo de quedar con el culo torcío (pero muy limpio gracias a #102)

» autor: --179053--

#111 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:33:24 +0000

#108 Si ejecutas bash el fallo no está en otras shells.

» autor: --125581--

#110 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

azenbugranto — Thu, 25 Sep 2014 13:32:52 +0000

Tarde.

Los parches llevan horas disponibles.

» autor: azenbugranto

#109 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:32:42 +0000

#103 /home/ander> env X='() { (a)=>' sh -c "echo date"
sh: X: línea 1: error sintáctico cerca del elemento inesperado `='
sh: X: línea 1: `'
sh: error al importar la definición de la función para `X'

A mamarla.

» autor: --125581--

#108 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--8995-- — Thu, 25 Sep 2014 13:31:40 +0000

#97 : Pues claro, porque estás ejecutando bash dos veces.

» autor: --8995--

#107 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Thu, 25 Sep 2014 13:31:28 +0000

#100 Felicidades.

» autor: Marx

#106 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

gjulianm — Thu, 25 Sep 2014 13:31:10 +0000

#97 No es exactamente así. La línea env x='() { :;}; echo vulnerable' bash -c "echo this is a test" crea la variable de entorno que le pasa luego a bash. Si quieres probar si zsh es vulnerable, la línea sería env x='() { :;}; echo vulnerable' zsh -c "echo this is a test". El problema está en la shell que recibe las variables de entorno, no en la que las crea.

» autor: gjulianm

#105 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

erbeni — Thu, 25 Sep 2014 13:31:01 +0000

#87 ahora que me recuerdas lo de andoid.
Se sabe si afecta a iphone?

» autor: erbeni

#104 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:30:59 +0000

#98 " Y como dicen mas arriba, ocurre no solo en bash, sino en otras muchas shells. "

No va en pdksh, que es la que usa OpenBSD y e instalado en Slackware desde los Slackbuilds.

» autor: --125581--

#103 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--179053-- — Thu, 25 Sep 2014 13:30:53 +0000

#102 Por favor, pero bésamelo. No tenías ninguna falta de ofender, aunque a juzgar por otros comentarios tuyos, es una constante.

» autor: --179053--

#102 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:28:54 +0000

#97 ¿Ejecuto pdksh y te dejo con el culo al aire?

» autor: --125581--

#101 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--8995-- — Thu, 25 Sep 2014 13:28:37 +0000

El titular es erróneo porque la vulnerabilidad no es nueva, sino que lleva ahí mucho tiempo (probablemente años). Es ahora cuando se ha hecho pública.

» autor: --8995--

#100 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

zoezoe — Thu, 25 Sep 2014 13:28:28 +0000

#95 Vale, ya sé lo que querías que supiera.

Item plus del hilo:

Someone has posted large parts of the prenotification as a news
article

» autor: zoezoe

#99 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Itilvte — Thu, 25 Sep 2014 13:28:18 +0000

#25 #33 Cierto solamente corrige el primero. Lo acabo de comprobar.

» autor: Itilvte

#98 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--226642-- — Thu, 25 Sep 2014 13:28:03 +0000

#73 yo me refiero a las 14 paginas de resultados de google, no a todo en general.

Son servidores web normales, incluso de gobiernos. Es bash seguro.

Y como dicen mas arriba, ocurre no solo en bash, sino en otras muchas shells.

» autor: --226642--

#97 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--179053-- — Thu, 25 Sep 2014 13:27:31 +0000

#85 te repito, zsh tambien es vulnerable, cualquier intérprete de shell.

#89 No es afán de tergiversar. Desconocía pdk, le daré un try.
En mi ejemplo ejecuto bash y la vulnerabilidad, luego zsh y la vulnerabilidad de nuevo. Idéntico resultado.

» autor: --179053--

#96 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

pip — Thu, 25 Sep 2014 13:26:01 +0000

En lo que respecta al uso de Bash en CGI a mí me parece un poquito temerario usarlo para algo serio y parseando variables con él. Nunca se me ha pasado por la cabeza que Bash fuese algo seguro per se, aparte de que es tan tremendamente incómodo de programar que para cualquier cosa un poco compleja tiraría de PHP o Perl o lo que sea. Me sorprende que haya tantas web usando Bash como CGI.

» autor: pip

#95 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Thu, 25 Sep 2014 13:25:39 +0000

#92 Pues si las sacaste, exponlas, y si no las sacaste no tiene sentido que lo enlaces.

Que yo no te he mandado leer ningún tocho, te dije directamente lo que quería que supieras.

» autor: Marx

#94 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Puntillo — Thu, 25 Sep 2014 13:24:29 +0000

Creo que este artículo describe bastante bien el riesgo real de este bug tanto para servidores como clientes:
Linux, OS X hit by Shellshock Bash vulnerability [ENG]
www.bit-tech.net/news/bits/2014/09/25/shellshock/1

En concreto en el cuarto párrafo:

The flaw stems from poor handling of user-supplied variables, which can be abused to execute arbitrary code in the context of the affected user or application. For Bash uses like remote access via SSH, this is a minor issue: access to exploit the vulnerability still requires that the user authenticates with valid credentials, meaning it's little more than a jailbreak exploit for those with restricted accounts. A more serious configuration is in web servers which pass user-supplied information through to a Bash shell in order to execute a program or script; these, experts have warned, can be readily exploited to run code under the context of the web server process - potentially leading to file leakage that could reveal user account information.

» autor: Puntillo

#93 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--320894-- — Thu, 25 Sep 2014 13:24:11 +0000

duplicada:

www.meneame.net/go?id=2261396

me cerraron por mi primer comentario

Censura en méneame

» autor: --320894--

#92 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

zoezoe — Thu, 25 Sep 2014 13:24:01 +0000

#82 No lo voy a volver a releer pero del hilo seclists.org/oss-sec/2014/q3/649 se pueden sacar conclusiones.

» autor: zoezoe

#91 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

woopi — Thu, 25 Sep 2014 13:23:11 +0000

#71 Sin duda. Pero sintetizar, omitir o resumir. Pero en este caso es un titular falso.

» autor: woopi

#90 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

rocambolescus — Thu, 25 Sep 2014 13:23:05 +0000

#11 #28 Pues es incorrecto. Es una comparación errónea.

Wine no tiene nada que ver con Windows. Un bug en Windows no afecta a Wine, y viceversa. Wine es compatible con Windows a nivel de interfaz, pero no comparten código (como es lógico, pues Windows es código cerrado).

Sin embargo, sí puedes ejecutar Bash (el auténtico, el de la vulnerabilidad) en Windows, aunque evidentemente no es lo común.

Eso no quita que #7 se la esté cogiendo con papel de fumar . Bash viene instalado por defecto en MacOS y en muchas distros Linux. No viene instalado por defecto en Windows (y el porcentaje de Windows que lo tienen instalado es nimio). Así que por favor seamos racionales.

#15 Sí que permite ejecución remota de código.

» autor: rocambolescus

#89 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:21:10 +0000

#84 "negativo, el fallo está en todos los intérpretes de shell. tanto bash, como shell como cualquier otro que se te ocurra que use sh o "./" para ejecutar un archivo, es vulnerable. "

Probando en pdksh. NO funciona. Por favor, no tergiverses. El fallo está en BASH.

» autor: --125581--

#88 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

pip — Thu, 25 Sep 2014 13:20:52 +0000

Yo entiendo que el fallo es muy grave especialmente para los que estén usando Bash como CGI, por ejemplo. En el uso más normal de Bash como Shell local o remota no veo un fallo grave (no hay escalada de privilegios, los comandos inyectados entiendo que se ejecutan en el mismo espacio de usuario que Bash).

Y no puede hablarse propiamente de un fallo de Linux o de OSX. Sería el equivalente a que PHP permitiese ejecutar comandos arbitrarios a través de peticiones GET, muy grave (mucho más que éste, ya que se usa mucho más), pero no un fallo del sistema operativo.

» autor: pip

#87 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:20:13 +0000

#86 Tampoco bash con el Linux, pues es un kernel. Si usas una distro, te lo comes.

Si usas android, usas Linux, pero no GNU Bash. O muchos routers y aparatos con busybox.

» autor: --125581--

#86 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

erbeni — Thu, 25 Sep 2014 13:19:52 +0000

#58 cigwyn no viene por defecto en la instalación de windows

» autor: erbeni

#85 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:19:13 +0000

#84 El problema también lo tiene Bash. Otras shells no tienen esa vulnerabilidad.

Una cookie también es una variable de entorno. Piensa lo que se puede hacer.

» autor: --125581--

#84 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--179053-- — Thu, 25 Sep 2014 13:18:15 +0000

#1 ¿Meses? Esto lleva años, y hace años que se usa como herramienta propia del sistema. Bash, y otros intérpretes de shell, como zsh (mi favorito), son utilizados como herramienta básica de gestion de un sistema. Si no tuviera el poder de modificar el sistema, no sería util.

Aquí lo nuevo no es el bug, sino su explotación. Quizá no es un problema de vulnerabilidad, sino de una "falta de habilidad" por parte del desarrollador. Permitir que en los servidores web se ejecute una linea de comando desde una query es una animalada, más aun con privilegios de administrador. Es como si a través de una cookie pudiera hacer "apt-get update && apt-get dist-upgrade" y no necesitar ni sudo. Es de temerarios.

#83 negativo, el fallo está en todos los intérpretes de shell. tanto bash, como shell como cualquier otro que se te ocurra que use sh o "./" para ejecutar un archivo, es vulnerable.

» autor: --179053--

#83 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:17:51 +0000

#81 Sigue sin ser "Linux", el fallo está en GNU Bash. Y repito, suma los móviles y dispositivos que usan Linux como embedido, superan a todos los demás de lejos que usan GNU Bash.

En servidores obviamente es otra cosa y están jodidos de verdad ya que usan GNU/Linux.

» autor: --125581--

#82 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Thu, 25 Sep 2014 13:17:15 +0000

#23 #23 Pues no sé qué quieres decirme con eso. Ahí dice que alguien se adelantó y que esta semana planean hacer pública (ya lo hicieron) una vulnerabilidad crítica. No dicen desde cuándo la conocen. Ni si algún otro la conocía de antes. Ni contradice el hecho de que si el descubridor espera a que haya parches antes de hacerlo público, obviamente vas a tener parches cuando se haga público.

Esto data al menos del 14 de este mes, hace 11 días: bugzilla.redhat.com/show_bug.cgi?id=1141597 Mientras que tu enlace es de ayer.

P.D: Y lo que lleve actualizar todo lo afectado, que esto va para meses.

» autor: Marx

#81 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--403407-- — Thu, 25 Sep 2014 13:15:19 +0000

#79 www.cpfirewall.com/how-to-connect-on-cp-splat-or-gaia-gw-with-sftp-scp este tambien es irrelevante ?

» autor: --403407--

#80 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:14:56 +0000

Y ahora el lisssto me dirá de Apache en OBSD, como si lo viera.

¿El mismo apache que OBSD mantiene en la BASE del sistema operativo y no requiere de Bash para funcionar? También lo cambiaron a NGINX, así que bash tampoco está, ni nada GNU como base, que les da urticaria a esa gente.

De hecho para usar Bash en OBSD tuve que instalarla explícitamente tras instalar Gnome. No digo más.

» autor: --125581--

#79 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:13:09 +0000

#78 No, el uso de GNU bash es totalmente ridículo en dispositivos empotrados.

Como mucho la vulnerabilidad es jodida de verdad en servidores.

Y repito, como el otro "lissssto", en otros UNIX bash ni está como base ni se le espera. No está ni glibc por defecto para muchas cosas.

» autor: --125581--

#78 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--403407-- — Thu, 25 Sep 2014 13:11:49 +0000

#68 Es solo una prueba de concepto de posibles vulnerables,se perfectamente que sh no es solo bash, esa forma de contestar tan prepotente te la guardas.

» autor: --403407--

#77 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--6883-- — Thu, 25 Sep 2014 13:10:13 +0000

#8 ¿Un fallo de una aplicación tira por tierra toda la seguridad de Linux?
Entonces en Windows la seguridad es inexistente a todos los efectos.

De todas formas, lo que comenta de explotar un fallo en bash manipulando la cadena useragent de un navegador, como que me tira un pelín para atras.

» autor: --6883--

#76 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:10:05 +0000

#75 Los demonios tampoco usaban Bash. ¿Cuando coño vas a darte cuenta que OBSD no necesita esa shell para lanzar nada?

Si está en /usr/local es por algo.

Tenemos PDKSH como shell estandar. Para TODO.

Dí lo que te dé la gana, no tienes razon. Ningún demonio depende de Bash.

» autor: --125581--

#75 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Cehona — Thu, 25 Sep 2014 13:09:18 +0000

#45 No pretendo hacer un flame contigo, pero por mi sigue con tu "invulnerabilidad".:
linux.slashdot.org/story/14/09/24/1638207/remote-exploit-vulnerability
"The major attack vectors that have been identified in this case are HTTP requests and CGI scripts. Another attack surface is OpenSSH through the use of AcceptEnv variables.
Ahora, como dices, OpenBSD no es vulnerable en puro. Otra cosa son los servicios (o demonios) que instales.

» autor: Cehona

#74 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

dreierfahrer — Thu, 25 Sep 2014 13:07:39 +0000

#26 viene a decir que si tienes un servidor web que use CGI (me dedico a eso y nunca he utilizado*) y use bash ya estas actualizando como un loco... Si no usa CGI tambien: ya estas actualizandolo.

Si eres un usuario no tiene demasiada importancia (actualiza, que ya esta el parche!), realmente si alguien puede ejecutar bash en tu ordenador no necesita hacer nada mas para ejecutar bash...

*mod_python y mod_php no parecen usarlo y java, evidentemente, menos.

» autor: dreierfahrer

#73 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:06:30 +0000

#69 " cierto, pero bash es la shell por defecto en casi todo, asi que mi estimación pseudo-cientifica es que el 99% son de bash. "

Lo dudo, hay más dispositivos no-PC's que sistemas de escritorio. Y no, Bash no es la shell por defecto, ese bloat de GNU no cabe en dispositivos reducidos ni de coña.
GNU Libc, menos.

» autor: --125581--

#72 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:06:03 +0000

#71 Nueva vulnerabilidad en Bash. Esa es la correcta. Hay Linux que funcionan sin Bash.

» autor: --125581--

#71 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--222052-- — Thu, 25 Sep 2014 13:05:31 +0000

[Usuario deshabilitado]

» autor: --222052--

#70 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--416807-- — Thu, 25 Sep 2014 13:05:12 +0000

#63 yum update

» autor: --416807--

#69 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--226642-- — Thu, 25 Sep 2014 13:04:34 +0000

#66 bueno tampoco es tanto, 14 paginas, aunque algunas del gobierno de USA jeje

#68 cierto, pero bash es la shell por defecto en casi todo, asi que mi estimación pseudo-cientifica es que el 99% son de bash.

» autor: --226642--

#68 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:04:25 +0000

#66 sh . Los script de shell pueden ser ejecutados por shells que no sean Bash. Prácticamente todas las demas, incluso Busybox en Android.

¿Qué te creías? ¿sh = bash?

Hala, por ir de listo.

De hecho yo también tengo shell scripts que se usaron para actualizaar la ROM de base sin usar GNU Bash para nada.

» autor: --125581--

#67 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--188054-- — Thu, 25 Sep 2014 13:03:24 +0000

#57 Si el fallo es estrictamente de Windows, probablemente sea un fallo de implementación que estará ausente en esos dos. O al menos no necesariamente presente.

» autor: --188054--

#66 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--403407-- — Thu, 25 Sep 2014 13:02:36 +0000

#34 encrypted.google.com/#q=filetype:sh+:inurl:cgi-bin

» autor: --403407--

#65 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--298049-- — Thu, 25 Sep 2014 13:02:08 +0000

#15 Sí es un exploit remoto pues afecta, por ejemplo, a los servidores web que usen CGI y no incorporen el acelerador mod_cgi para llamar directamente a los scripts saltándose el bash.

» autor: --298049--

#64 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:02:05 +0000

#59 GNU/Linux. En otros dispositivos está Linux sin bash tan alegremente. Routers, móviles, teles...

» autor: --125581--

#63 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

painful — Thu, 25 Sep 2014 13:01:53 +0000

#29 #47 O
$zypper ref && zypper up.
No sólo de apt-get updatevive el hombre...

» autor: painful

#62 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 13:01:07 +0000

#60 Me refiero a que no carga binarios de Linux. Es un shell portado a Windows, nada más.

Con Cygwin los binarios siguen siendo Win32 + capa Cygwi.dll por si quieres compilar algo de Unix como BSDgames.

» autor: --125581--

#61 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

woopi — Thu, 25 Sep 2014 13:00:31 +0000

#41 A ver. El titular dice "Shellshock - La nueva vulnerabilidad para OS X y Linux". Es lo que digo que está mal. La noticia dice otra cosa "Una vulnerabilidad en Bash de Linux, OS X y otros *NIX es un gran problema de seguridad para todo Internet..." No es lo mismo.

» autor: woopi

#60 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--222052-- — Thu, 25 Sep 2014 13:00:12 +0000

[Usuario deshabilitado]

» autor: --222052--

#59 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

angelitoMagno — Thu, 25 Sep 2014 12:59:52 +0000

El titular es sensacionalista porque no afecta a Linux, solo afecta al 99% de las distribuciones Linux.

» autor: angelitoMagno

#58 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 12:58:10 +0000

#55 ¿Con Bash? Ninguno, todos usan busybox.

#57 Cygwin no emula, y con Msysgit (git para Windows) tienes Bash de regalo. O , sorpresa.

» autor: --125581--

#57 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

erbeni — Thu, 25 Sep 2014 12:58:05 +0000

#7 me imagino que diras que cuando sale un exploit en windows es sensanionalista porque tambien afecta a los linux con wine y a los osx con parallels

» autor: erbeni

#56 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 12:57:55 +0000

#54 Windows tiene cosas más chungas. Debido a la brutal complejidad de AD y su homogeneidad, no quiero saber lo que puede ocurrir ahí si es vulnerable una parte del sistema.

» autor: --125581--

#55 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

capitan__nemo — Thu, 25 Sep 2014 12:57:32 +0000

¿Cuantos móviles android (android está basado en linux) que hay en el mercado están afectados?

Fallos de gestión de smartphones ponen en riesgo al usuario: investigadores
www.meneame.net/story/fallos-gestion-smartphones-ponen-riesgo-usuario-
Android, a vueltas con el problema de los parches que nunca llegan
www.meneame.net/story/android-vueltas-problema-parches-nunca-llegan

» autor: capitan__nemo

#54 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--3560-- — Thu, 25 Sep 2014 12:56:22 +0000

#9 Con Windows no hace falta que pase, se cuelan igual

» autor: --3560--

#53 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 12:56:13 +0000

#8 Diras la seguridad de Bash.

Linux tiene sus propios exploits

» autor: --125581--

#52 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 12:53:47 +0000

#49 Otras shells no tienen ese problema al no parsear las funciones en variables tan a la ligera. Hay mundo más allá de GNU Bash.

» autor: --125581--

#51 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

woopi — Thu, 25 Sep 2014 12:53:31 +0000

#42 No es por ser quisquilloso, pero es que precisamente bash no es parte de Linux. Que conste que me da igual, Linux tendrá sus vulnerabilidades, seguro. Pero no es el caso.

» autor: woopi

#50 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 12:53:08 +0000

#48 En Plan9 puedes llamar a la shell rc(1) como WSGI . Por ejemplo, en WERC, un "anti-framework " . Pero ni de coña es tan inseguro como lanzar Bash.

» autor: --125581--

#49 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

barbarroja — Thu, 25 Sep 2014 12:52:10 +0000

Los parches NO ARREGLAN AL 100% el problema. Y lo entiendo, no se puede andar a la ligera corrigiendo el parser de bash, pueden destrozar mucho más de lo que arreglen. Me dedico a estas cosas y es muy delicado tocar esta pieza...

» autor: barbarroja

#48 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

CapitanObvio — Thu, 25 Sep 2014 12:51:44 +0000

Para funcionar, los programas necesitan datos. Supongamos un servidor de Internet que llama a un script de bash para generar una página web

upload.wikimedia.org/wikipedia/commons/8/81/Roto2.svg

» autor: CapitanObvio

#47 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--416807-- — Thu, 25 Sep 2014 12:51:11 +0000

#29 apt-get update && apt-get upgrade

» autor: --416807--

#46 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--127714-- — Thu, 25 Sep 2014 12:51:07 +0000

Cada vez que sale una noticia de seguridad esto se vuelve una mierda.

» autor: --127714--

#45 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 12:49:55 +0000

#40 " diciendo que soy invulnerable por usar otra shell."

Si no tienes bash, no eres vulnerable. Repito, en OpenBSD ni siquiera está en el sistema base. Ni como dependencia de CUPS.

#42 "Sólo se librarían aquellos que no hagan uso de él, y estate tú mirando a ver si no hay ningún proceso en segundo plano haciendo uso de bash para alguna de sus funciones..."

Hay Linux sin bash, con BusyBox.

Olvidas millones de dispositivos HW que usan Linux SIN Bash o GNU Coreutils.

» autor: --125581--

#44 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

elhobbit — Thu, 25 Sep 2014 12:49:39 +0000

Que yo sepa, RedHat/Centos y Ubuntu ya tienen actualización del paquete que anula el Bug. Y las demás importantes supongo que también tienen ya la correción hecha.

» autor: elhobbit

#43 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

triturator — Thu, 25 Sep 2014 12:49:07 +0000

#2 El problema no es que no haya parche. Para cualquier bug, el parche sale casi instantáneamente.

El problema es qué pasa con los servidores cuyo administrador no se ha enterado de esto. O que no se mantienen. O que no se pueden actualizar así como así porque son críticos y hay que planificar este tipo de cosas. Ahí es donde está el problema, porque pueden pasar meses hasta que se arregle, si se arregla.

» autor: triturator

#42 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

neotobarra2 — Thu, 25 Sep 2014 12:49:06 +0000

#12 Joder, cómo sois algunos de exquisitos cuando se trata de vulnerabilidades relacionadas con sistemas operativos Linux... ¿Te imaginas que se descubre una vulnerabilidad grave que afecta al Administrador de Tareas de Windows y alguien lo vota negativo porque "la vulnerabilidad no es de Windows sino del Administrador de Tareas"? Bash es una parte importante de Linux, por tanto una vulnerabilidad en bash compromete a una cantidad enorme de sistemas Linux. Sólo se librarían aquellos que no hagan uso de él, y estate tú mirando a ver si no hay ningún proceso en segundo plano haciendo uso de bash para alguna de sus funciones...

Y respecto a lo de #7, es evidentemente obvio pero eso no cambia nada. Además es una excusa malísima, es como si yo digo que una vulnerabilidad en Windows también afecta a Linux si estás usando una máquina virtual con el Windows 7 en el VirtualBox que tienes instalado en tu Ubuntu.

Lo mejor del software libre es la continua capacidad de detectar vulnerabilidades y corregirlas, cosa que se lleva a cabo por parte de toda la comunidad debido a que es un proyecto libre y abierto. Para que esto siga siendo así, hace falta una gran capacidad autocrítica para seguir buscando y corrigiendo errores, y lo primero para eso es no menospreciarlos y admitir su importancia. Tu actitud es justo la opuesta: no sólo quitarles importancia sino tratar de quitar a Linux de en medio para que no le salpique la mierda. Esa actitud es propia de muchos defensores de Linux y así lo único que se consigue en mi opinión es perjudicar al proyecto.

» autor: neotobarra2

#41 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--222052-- — Thu, 25 Sep 2014 12:48:55 +0000

[Usuario deshabilitado]

» autor: --222052--

#40 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Cehona — Thu, 25 Sep 2014 12:47:43 +0000

#19 Yo tambien uso Powershell en vez de CMD en windows, no por ello cuando sale un parche de windows voy de lisssto, diciendo que soy invulnerable por usar otra shell.
Para los que usen bash en Ubuntu.:
sudo apt-get update && sudo apt-get install bash

askubuntu.com/questions/528101/what-is-the-cve-2014-6271-bash-vulnerab

P.D.:

» autor: Cehona

#39 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

woopi — Thu, 25 Sep 2014 12:47:24 +0000

#31 Ni maletines ni tonterías. El titular de la noticia ahora es correcto. El de menéame no está bien: es una vulnerabilidad de bash.

» autor: woopi

#38 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

RobinWood7 — Thu, 25 Sep 2014 12:45:54 +0000

#9 Claro que no. En Windows sólo te instalan barras de navegadores, malware, spyware y demás lindezas en cuanto le dejas el ordenador a tu hermana/sobrino/cuñado/padres

» autor: RobinWood7

#37 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

satchafunkilus — Thu, 25 Sep 2014 12:44:36 +0000

#9 ¿Y tu como lo sabes? ¿Has visto el código fuente de Windows?

» autor: satchafunkilus

#36 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Alkafer — Thu, 25 Sep 2014 12:42:39 +0000

#29 Gracias, he puesto el Synaptic a actualizar y ahí me aparece el parche.

» autor: Alkafer

#35 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--343064-- — Thu, 25 Sep 2014 12:42:22 +0000

[Usuario deshabilitado]

» autor: --343064--

#34 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--226642-- — Thu, 25 Sep 2014 12:42:12 +0000

El ejemplo más llamativo es el de los servidores que generan páginas con bash

Eso existe aún? Si con todos los micro-frameworks y lenguajes específicos para web, aún usas bash para cgi, mereces lo que te pase.

» autor: --226642--

#33 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--432651-- — Thu, 25 Sep 2014 12:42:02 +0000

#25 Son dos fallos en realidad, lee el artículo, ese solo parchea el primero.

» autor: --432651--

#32 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Stash — Thu, 25 Sep 2014 12:41:26 +0000

Empecemos diciendo que si no gestionas ningún servidor expuesto a Internet no deberías preocuparte, probablemente
No te jode, y si estás muerto también puedes dejar de preocuparte...

» autor: Stash

#31 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--222052-- — Thu, 25 Sep 2014 12:40:00 +0000

[Usuario deshabilitado]

» autor: --222052--

#30 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

woopi — Thu, 25 Sep 2014 12:39:26 +0000

Errónea, al menos el titular...

» autor: woopi

#29 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

letra — Thu, 25 Sep 2014 12:38:17 +0000

#26 $ apt-get update

» autor: letra

#28 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--212323-- — Thu, 25 Sep 2014 12:36:51 +0000

[Usuario deshabilitado]

» autor: --212323--

#27 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

ElPerroDeLosCinco — Thu, 25 Sep 2014 12:36:48 +0000

¿Pero entonces este tampoco será el año de Linux en los PCs de escritorio?

» autor: ElPerroDeLosCinco

#26 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Alkafer — Thu, 25 Sep 2014 12:34:37 +0000

¿Alguien que lo explique en cristiano para los que usamos Linux pero no somos expertos?
¡Gracias!

» autor: Alkafer

#25 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Itilvte — Thu, 25 Sep 2014 12:31:59 +0000

En ubuntu sacaron el parche hace más de 20horas www.ubuntu.com/usn/usn-2362-1/ solo tienes que actualizar el sistema

» autor: Itilvte

#24 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--10803-- — Thu, 25 Sep 2014 12:20:40 +0000

Parchear el fallo en OS X:

apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-av

» autor: --10803--

#23 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

zoezoe — Thu, 25 Sep 2014 12:17:39 +0000

#21

Someone has posted large parts of the prenotification as a news
article, so in the interest of full disclosure, here is what we wrote to the non-vendors (vendors also received patches):

Debian and other GNU/Linux vendors plan to disclose a critical,
remotely exploitable security vulnerability in bash this week, related to the processing of environment variables. Stephane Chazelas discovered it, and CVE-2014-6271 has been assigned to it.

The issue is currently under embargo (not public), and you receive
this message as a courtesy notification because we assume that you
have network-based filtering capabilities, so that you can work on
ways to protect a significant number of customers. However, you
should not yet distribute IPS/IDS signatures, publicly or to
customers.

seclists.org/oss-sec/2014/q3/650

» autor: zoezoe

#22 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 12:15:18 +0000

#20 " 2º ¿Utilizan CUPS printing system HP UX, AIX o Solaris? Pues ya tienes otro vector. "

¿Otro "lissssto". OpenBSD usa bash para usar CUPS? NO.

Y tampoco usamos el mismo cliente o servidor de dhcp de ISC.

Puedes vivir con pdksh perfectamente.

Hala, a trollear a casa.

En muchos UNIX bash es opcional

» autor: --125581--

#21 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Marx — Thu, 25 Sep 2014 12:14:27 +0000

#2 #17 Teniendo en cuenta que el descubridor estuvo esperando a que se publicasen los parches antes de anunciarlo, como para no haberlos.

Pero se filtró antes de tiempo y los parches se precipitaron.

Ahora ¿cuánto tiempo hace que otra gente no tan buena lo sabe y lo explota? puede que ningún otro lo haya encontrado, o puede que sí, sea como fuere, vaya agujero de seguridad.

» autor: Marx

#20 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Cehona — Thu, 25 Sep 2014 12:13:57 +0000

#15 El Cacao es buen sustituto del sexo, aunque prefiero lo último.:
1º Remote exploit OSX
apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-av
Por no decir un DHCP comprometido.
2º ¿Utilizan CUPS printing system HP UX, AIX o Solaris? Pues ya tienes otro vector.

» autor: Cehona

#19 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 12:09:51 +0000

#13 Yo uso pdksh. No es en todos los unix.

Y Ubuntu/Debian usan dash como /bin/sh . Bash es opcional.

» autor: --125581--

#18 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--125581-- — Thu, 25 Sep 2014 12:09:25 +0000

¿Quién es listo que permite funciones como variables ?

» autor: --125581--

#17 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

zoezoe — Thu, 25 Sep 2014 12:06:30 +0000

#14 La vulnerabilidad de bash parcheada:

box.jisko.net/i/378f1b7a.png

...y descartada de ayer:

www.meneame.net/c/15458871

» autor: zoezoe

#16 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

ralph — Thu, 25 Sep 2014 12:05:32 +0000

#12 Pues el que mira el dedo eres tu, que porque el titular lo haga mas entendible al publico que no sabe lo que es bash, lo descartas...

» autor: ralph

#15 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--8234-- — Thu, 25 Sep 2014 12:02:41 +0000

#13 ¿Vaya kakao no?
1) No es un exploit remoto.
2) Linux y OS X != todos los Unix. Es mas HP UX, AIX o Solaris NO usan ni instalan Bash Shell por defecto.

» autor: --8234--

#14 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--171278-- — Thu, 25 Sep 2014 11:59:41 +0000

En archlinux acaban de subir una actualización de bash... en el test que ofrece la página al final no imprime en ningún caso vulnerable

^-^

que eficiencia los de arch

» autor: --171278--

#13 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Cehona — Thu, 25 Sep 2014 11:58:17 +0000

#12 ¿Sensacionalista un exploit remoto en todos los Unix y sus derivados?

» autor: Cehona

#12 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--8234-- — Thu, 25 Sep 2014 11:54:37 +0000

#11 No mires el dedo.
La cuestión es que la vulnerabilidad no es de ni Linux ni de Os X, ni siquiera de Windows.

Es de Bash. El titular desde mi punto de vista es sensacionalista e inexacto.

» autor: --8234--

#11 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

ralph — Thu, 25 Sep 2014 11:52:07 +0000

#7 Eso es como decir que una vulnerabilidad en Windows afectara a Linux tambien si tienes Wine instalado...

» autor: ralph

#10 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

MabelArce — Thu, 25 Sep 2014 11:48:07 +0000

#9 GO TO #7

» autor: MabelArce

#9 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--450592-- — Thu, 25 Sep 2014 11:47:20 +0000

Esto con Windows no pasa

» autor: --450592--

#8 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Nova6K0 — Thu, 25 Sep 2014 11:40:57 +0000

Es gravísimo. Es más esto en parte tira por tierra lo de la seguridad de Linux, menos mal que al menos se reparará pronto.

Salu2

» autor: Nova6K0

#7 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--8234-- — Thu, 25 Sep 2014 11:36:06 +0000

También es una vulnerabilidad para Windows si tienes instalado Cygwin. Creo que se debería corregir el titular porque es incorrecto. No es una vulnerabilidad solo para OS X ni Linux, aunque el titular seguro que así vende mucho más.

» autor: --8234--

#6 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--403407-- — Thu, 25 Sep 2014 11:29:53 +0000

#2 El parche no esta completo, y se pueda saltar

» autor: --403407--

#5 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--403407-- — Thu, 25 Sep 2014 11:28:46 +0000

#2 Ya se esta liando parda, hay PoC y exploit por todos lados

» autor: --403407--

#4 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

joseitor — Thu, 25 Sep 2014 11:25:07 +0000

#3 bastante menos

» autor: joseitor

#3 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

sidez — Thu, 25 Sep 2014 11:23:12 +0000

Uff, esta www.meneame.net/go?id=2261838 llegó un minuto antes, aunque a mi juicio es menos completa.

» autor: sidez

#2 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

--126779-- — Thu, 25 Sep 2014 11:18:04 +0000

Se puede liar parda
pero bueno, unas horas, y ya empiezan a aparecer parches

» autor: --126779--

#1 Shellshock - La nueva vulnerabilidad para OS X y Linux calificada 10/10

Catacroc — Thu, 25 Sep 2014 11:16:48 +0000

De piedra, me he quedado de piedra. Y esto no es una cosa de ayer, que igual hace meses que 'alguno' lo sabe y se habra estado forrando a hacer maldades.

» autor: Catacroc