<div dir="ltr">Just heard some coverage over the radio (CBC), and they said something along the lines of:<br><br> " ... it affects everything from doctors' equipment to building lighting". <br><br>Geez, since when do doctors' equipment run Linux with a full bash shell (as opposed to a BusyBox shell like Android and routers)?<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 25, 2014 at 10:36 AM, CrankyOldBugger <span dir="ltr"><<a href="mailto:crankyoldbugger@gmail.com" target="_blank">crankyoldbugger@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">The CBC agrees with you: <a href="http://www.cbc.ca/news/technology/new-bash-computer-bug-may-be-worse-than-heartbleed-1.2777514?cmp=rss" target="_blank">http://www.cbc.ca/news/technology/new-bash-computer-bug-may-be-worse-than-heartbleed-1.2777514?cmp=rss</a><div><br></div><div>And we know how reporters never exaggerate when it comes to technology!</div><div><br></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On 25 September 2014 09:43, Fernando Duran <span dir="ltr"><<a href="mailto:liberosec@yahoo.ca" target="_blank">liberosec@yahoo.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Oh dear, this is going to be worse than Heartbleed.<br>
<br>
I saw this yesterday and I'm terrified, for ex see this guy very easily making a remote server execute arbitrary commands (in this case just a ping): <a href="http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html" target="_blank">http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html</a><br>
<br>
More analysis today: <a href="http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html" target="_blank">http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html</a><br>
<br>
sigh<br>
<br>
---------------------<br>
Fernando Duran<br>
<a href="http://www.fduran.com" target="_blank">http://www.fduran.com</a><br>
<br>
<br>
On Thursday, September 25, 2014 9:36 AM, Khalid Baheyeldin <<a href="mailto:kb@2bits.com" target="_blank">kb@2bits.com</a>> wrote:<br>
<br>
<br>
><br>
><br>
>The test for the vulnerability is typing this in a bash shell:<br>
><br>
>env x='() { :;}; echo vulnerable' bash -c "echo this is a test"<br>
><br>
><br>
>If you get just "this is a test" with some warnings, then you are not vulnerable.<br>
>If you get "vulnerable" as part of the output, then you are.<br>
><br>
>Like many who run a Debian based distro, I use apticron to get email notifications of updates to the exact packages that I have installed. I got notified yesterday noon-ish of the update and got it installed.<br>
><br>
>I did not need to reboot nor start the shells I have open in screen. The output of the test above says I am not vulnerable, but I did not do a before and after on the same machine (although a pristine virtual image does show it is vulnerable).<br>
><br>
><br>
>So, don't think a shell restart is necessary based on the tests above. How is this done? I don't know. There are no shared libraries included in the package (dpkg -L bash).<br>
><br>
><br>
><br>
>On Thu, Sep 25, 2014 at 1:05 AM, B.S. <<a href="mailto:bs27975@yahoo.ca" target="_blank">bs27975@yahoo.ca</a>> wrote:<br>
><br>
>On Wed, 24 Sep 2014 23:21:57 -0400<br>
>>"L.D. Paniak" <<a href="mailto:ldpaniak@fourpisolutions.com" target="_blank">ldpaniak@fourpisolutions.com</a>> wrote:<br>
>><br>
>>> The list should be aware of a newly-announced and particularly nasty<br>
>>> parsing bug with all versions of bash:<br>
>>><br>
>>> <a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271" target="_blank">http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271</a><br>
>>><br>
>>> The combination of "network exploitable" and "authentication not<br>
>>> required"  make this a "10" on the severity scale.<br>
>>><br>
>>> Updated packages for current versions of Ubuntu look to have been<br>
>>> pushed out earlier today:<br>
>>> <a href="https://launchpad.net/ubuntu/+source/bash" target="_blank">https://launchpad.net/ubuntu/+source/bash</a><br>
>><br>
>>Presumably, at the least, a post-update logout/login will be necessary<br>
>>on each machine, if not an entire reboot. (Care to trust that ALL<br>
>>scripts run between turn on and user prompt use sh not bash? And that<br>
>>sh hasn't been inadvertently equivalenced to bash?)<br>
>><br>
>>Given that most of us probably have a command line up (outside of any<br>
>>GUI too!), and thus in memory. Updating will catch any new instances,<br>
>>but not those you're already in the middle of.<br>
>><br>
>>I suppose this means rebooting all servers, too. <sigh?><br>
>><br>
>>I wonder if we should expect to see some further script updates to<br>
>>follow. i.e. 'Inadvertent' taking advantage of 'hole' for non-nefarious<br>
>>purposes now needing tweaking due to the update. (e.g. Things becoming<br>
>>broken, albeit things originally written with the best of intentions.)<br>
>><br>
>><br>
>><br>
>>_______________________________________________<br>
>>kwlug-disc mailing list<br>
>><a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
>><a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
>><br>
><br>
><br>
>--<br>
>Khalid M. Baheyeldin<br>
><a href="http://2bits.com" target="_blank">2bits.com</a>, Inc.<br>
>Fast Reliable Drupal<br>
>Drupal optimization, development, customization and consulting.<br>
>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>
>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>
>For every complex problem, there is an answer that is clear, simple, and wrong." -- H.L. Mencken<br>
><br>
><br>
>_______________________________________________<br>
>kwlug-disc mailing list<br>
><a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
><a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
><br>
><br>
><br>
<br>
<br>
_______________________________________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
</blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com" target="_blank">2bits.com</a>, Inc.<br>Fast Reliable Drupal<br>Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>For every complex problem, there is an answer that is clear, simple, and wrong." -- H.L. Mencken<br>
</div>