Re: [shell-script] Falha no Bash, "pior que o heartbleed"

[MrBiTs]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

On 09/25/2014 11:57 AM, Alexandre Mulatinho address@hidden [shell-script] wrote:
> 
> 
> Caro MrBits,
> 
> Participo dessa lista há pelo o menos cinco anos, e nunca quis aparecer aqui. 
> O intuito em participar da discussão é porque eu
> li e testei alguns usos desse erro, sou linuxer desde 1999 e isso me preocupa 
> demais porque sei que vários filhos da $#%@& vão
> falar um monte de asneiras do SO amado apartir de agora, já falaram depois do 
> heartbleed mesmo vendo que no open source essas
> correções são descobertas e corrigidas muito mais rapidamente do que em 
> outras plataformas.
> 
> Por favor leia os tweets desse "pequeno" especialista em segurança e tire 
> suas próprias conclusões.
> 
> Link: https://twitter.com/ErrataRob
> 
> Tem várias fotos e exemplos do que já está rolando. ​​ -- Alexandre Mulatinho 
> Weblog: http://alex.mulatinho.net LinkedIn:
> http://br.linkedin.com/in/mulatinho ​

Acho que você não entendeu nada do que eu falei, mesmo com sua estrada. Também 
tenho a minha e não preciso dar carteirada. O
objetivo é esse mesmo: mostrar às pessoas que o problema NÃO ESTÁ no Linux 
(afinal Mac OS-X e Cygwin também usam bash), mas também
não é simplesmente um problema do bash em sí. Até agora não ví uma exploração 
onde o bash seja acessado (remota ou localmente) e o
simples fato de podermos rodar código arbitrário injetado numa variável nos 
permita escalar privilégios em um sistema. Se eu posso
rodar código arbirtrário localmente numa variável, posso rodá-lo sem precisar 
da vulnerabilidade do bash, então o alarde que é
feito não se justifica. Entretanto, ele é bom e ruim. Eu quero mais é que 
centenas de serviços caiam por causa disso. Assim as
pessoas aprendem. Além disso, me contratam pra arrumar os sistemas delas :)

Conheci Rob Graham em 2010 em Chicago, num evento da F5 e ele é 
respeitadíssimo, mas preciso discordar quando leio coisas como
"Cygwin is vulnerable". NÃO É. Pare de usar bash e use zsh e pronto: Cygwin 
fica "invulnerável". Por outro lado, está errado
culpar simplesmente o bash. A culpa é das estrelas... ops, não... isso é um 
filme ruim... a culpa é das pessoas que construíram
ambientes vulneráveis a uma coisa que era feature, comportamento normal do 
produto e que foi magistralmente extrapolado em sua
utilização. Nada de novo no mundo.

- -- 
echo
920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P
| dc

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBCAAGBQJUJDTsAAoJEG7IGPwrPKWrW4QIAKoBjJ59cw7OqMSkkIQDv6t+
eLeo+QuDXcex+h4gMX3U3lJ802+U7cLRpp8GzYFyrgVh7vqOzM2qhcRSqzRG2Q8v
LRNsoI1mPP4c+vLC4bRXfvIQudfWWcNNQ4zIWxS34Av/spOTdXMoc25915wO3ZGn
hHaR+174u/0vWu+7CimyYvi3xutezCpuAN8vLCA3Nb7Z+DbHg2NIWL07YNEjVbH8
uIdt5Y4vlTBm1Ezp9kBTj832AW1UgQnvS3Tt6mY0Q2lVPb3wj26tvpoImdpTo4ej
no2/5Wgb/yauDlQVaF82F0czZQlV3/Emz4OmBi0gk3C854SstnrKp7Nx2rnRz8w=
=onrE
-----END PGP SIGNATURE-----