Facebook tira avanti, i conti sono a posto

Ma le patch?
Aho cantinari, com'è sta storia?Delle 2 una:1) Alfonso e la sua fonte si stanno divertendo a vedere dove shellshock poteva arrivare con una macchina non patchata e ci prendono per il naso....2) Le patch non funzionano / non sono affidabili / non vengono applicate e quindi siamo punto e a capo.

Re: Ma le patch?
- Scritto da: maxsix> Aho cantinari, com'è sta storia? > Delle 2 una:> 1) Alfonso e la sua fonte si stanno divertendo a> vedere dove shellshock poteva arrivare con una> macchina non patchata e ci prendono per il> naso....Alfonso prende in gio sè stesso, il mestiere del giornalista, inconsapevolmente e conseguentemente, prende per il naso i lettori.Sconsiglio fortemente la lettura di qualsiasi suo articolo.

Re: Ma le patch?
La patch si chiama Windows server.Pretendi troppo da volontari informatici pluribocciati. Vuoi la patch? Te la scrivi e te la installi.E zitto.

Re: Ma le patch?
- Scritto da: Winner> La patch si chiama Windows server.> Quindi mi stai dicendo che è meglio spegnere tutti i bidet con Linux e giustiziare sommariamente i vari sysadministrator?Aho, Panda Rossa, questo ce l'ha con te.

Re: Ma le patch?
beccate er floppete d'er cuoco http://www.tomshw.it/cont/news/apple-sim-snobbata-dagli-operatori-c-e-solo-un-si-in-europa/60202/1.html

Re: Ma le patch?
Forse ce l'ha con chi non sa neppure che una shell per i server SMTP più diffusi (Sendmail e Postfix ) normalmente non c'è su nessuna distro.Se apri il file passwd (e shadow) vedi questo:postfix:x:AA:BB:Postfix Daemon:/var/spool/postfix:/bin/false

Re: Ma le patch?
Non diciamo imbecillate per favore nessun Mailserver bene configurato ha una shell! <b> postfix:x:AA:BB:Postfix Daemon:/var/spool/postfix:/bin/false </b>

Re: Ma le patch?
Sei veramente intelligente.Peccato che shellshock esiste anche su windows.prova queste linee in una cmd:>set pippo=pluto^&ping localhost>echo %pippo%Bye.

Re: Ma le patch?
Che fai? Cambi nick e ti rispondi da solo? Lo hanno capito tutti che sei quell' incompetente di maxmink.

Re: Ma le patch?
- Scritto da: Winner> La patch si chiama Windows server.Quale? Quello con l' interfaccia grafica di wincagotto? :@> > Pretendi troppo da volontari informaticiOcchio alle preposizioni...> pluribocciati.> Vuoi la patch? Te la scrivi e te> la> installi.Ma come?! Non c' è già winservercagotto 2012 (newbie)? Il server con l' interfaccia grafica metro :D?> > E zitto.(troll4)(troll3)(troll2)

Re: Ma le patch?
- Scritto da: maxsix> Aho cantinari, com'è sta storia?> > Delle 2 una:> 2) Le patch non funzionano / non sono affidabili> / non vengono applicate e quindi siamo punto e a> capo.Stanno ricompilando il kernel quando avranno finito, forse ti risponderanno... :D

Re: Ma le patch?
se ma ner frattempo er mecco de macssucchio viene attaccato co stesso ascellasciocca

Re: Ma le patch?
- Scritto da: maxsix> Aho cantinari, com'è sta storia?c'hanno messo sopra quer mondezza de meccossete (rotfl)

Re: Ma le patch?
Ma che state addì ?Non c'è affatto una shell per i daemon di posta SMTP o perlomeno non nei più diffusi (Sendmail e Postfix) .Basterebbe avere aperto almeno una volta il file passwd (e shadow) per rendersene conto.Ad esempio:postfix:x:AA:BB:Postfix Daemon:/var/spool/postfix:/bin/falseQuel "/bin/false" in fondo alla riga dice tutto.Questo ovviamente non esclude che si possano fare script (ad esempio accessibili via http) che richiamano via shell i suddetti servers ma francamente mi paare che siamo sempre nel campo del niubbo.Me in quel caso non è certo colpa del server SMTP che una shell non ce la ha.Si può configurare male ?Certo che si può ma questa è una pessima idea (ieri oggi e domani e con qualunque shell).Vorrei capire (e nessuno me lo ha ancora spiegato) cosa possa spingere qualcuno a esporre una QUALUNQUE shell su un servizio in rete.Se uno è niubbo lo è punto e basta.

Re: Ma le patch?
- Scritto da: maxsix> Aho cantinari, com'è sta storia?e' semplice. hanno documentato UNA violazione (il resto era spam). io ne farei un articolo sul washington post.quando ce ne saranno 10000 basate sul parsing delle header smtp, ci riguarderemo.

Re: Ma le patch?
- Scritto da: bubba> - Scritto da: maxsix> > Aho cantinari, com'è sta storia?> e' semplice. hanno documentato UNA violazione (il> resto era spam). io ne farei un articolo sul> washington> post.Boh dall'articolo di zdnet non traspare molto sta cosa dell'UNA.Ma ti voglio credere.> quando ce ne saranno 10000 basate sul parsing> delle header smtp, ci> riguarderemo.Beh questo direi che è un caso, dei tanti, che chi sa, sistema e sta zitto il più possibile.Immagina tu le cause.PS: ah, non ti arrabbiare, ho cambiato idea. Non ti credo.

Re: Ma le patch?
- Scritto da: maxsix> Beh questo direi che è un caso, dei tanti, che> chi sa, sistema e sta zitto il piùTu non sei tra quelli.. il "che sa" ti esclude automaticamente se non hai ancora imparato a leggere e a distinguere "/bin/sh" (che è nell'exploit) e "/bin/bash" hai un problema.> possibile.> Immagina tu le cause.C'è poco da immaginare su Mac "/bin/bash" e "/bin/sh" sono la stessa cosa... il che la dice lunga su quanto tu possa "ridere".> > Non> ti> credo.Azzzz!Siamo tutti preoccupati da quel che crede o non crede uno che non sa neppure leggere i link che posta!(rotfl)(rotfl)

Re: Ma le patch?
- Scritto da: maxsix> - Scritto da: bubba> > - Scritto da: maxsix> > > Aho cantinari, com'è sta storia?> > e' semplice. hanno documentato UNA> violazione> (il> > resto era spam). io ne farei un articolo sul> > washington> > post.> > Boh dall'articolo di zdnet non traspare molto sta> cosa> dell'UNA.beh se non sai leggere non e' colpa mia. Al limite fatti aiutare da siri.> > quando ce ne saranno 10000 basate sul parsing> > delle header smtp, ci> > riguarderemo.> > Beh questo direi che è un caso, dei tanti, che> chi sa, sistema e sta zitto il più> possibile.> Immagina tu le cause.che chi ha comprato un macmini e ha installato pkg LAMP-like 6 anni fa lo deve reinstallare... internet non cadra' per questo.Cmq piu' seriamente, e' chiaro che la combo header/script parser/bash buggata e' decisamente poco probabile. MA cionondimeno nella miliardata di sistemi running e' certo possibile. Rimarra' sotto il rumore di fondo, a meno che i soliti hacker russi non trovino un qualche pkg/framework buggato che ha una certa diffusione e che nessuno ha patchato (perche' anziano,abbandonato,whatever). Allora magari arrivano tranquillamente a 10000... ma tutte basate sulla stessa cfg di default buggata... cioe' rimane comunque 1 singolo pkg (ancorche' dannoso)... > PS: ah, non ti arrabbiare, ho cambiato idea. Non> ti> credo.hai delle idee tue? whoa. pensavo arrivassero solo con iMessage

Re: Ma le patch?
- Scritto da: maxsix> 2) Le patch non funzionano / non sono affidabili> / <b> non vengono applicate </b> Chi è causa del suo mal... tu le hai applicate le patch? So che non hai un server, ma se lo combini con uno dei tanti buchi di OSX... La prudenza non è mai troppa.

Re: Ma le patch?
Più che altro nel suo caso la "prudenza" è inutile.Apple's Shellshock patch for Macs is incompletehttp://www.cnet.com/news/apples-shellshock-patch-incomplete-say-experts/

ma nvedi sto
ma che cagatone 'sto eppolpai http://www.zerohedge.com/news/2014-10-28/angry-tim-cook-issues-veiled-threat-retailers-shunning-apple-payfloppete floppete floppete (rotfl)

Re: ma nvedi sto
- Scritto da: XXXXXXXne> ma che cagatone 'sto eppolpai> http://www.zerohedge.com/news/2014-10-28/angry-tim> A coso, c'è l'articolo apposta.Vai li c'è una scatola di schiaffoni pronta.Quando entri bussa, chiedi permesso, e vedi se c'è Bertuccia o il sottoscritto.

Re: ma nvedi sto
- Scritto da: maxsix> A coso, c'è l'articolo apposta.> Vai li c'è una scatola di schiaffoni pronta.te dò ncarcio nXXXX che te faccio diventà XXXXXo

Re: ma nvedi sto
- Scritto da: XXXXXXXne> - Scritto da: maxsix> > > A coso, c'è l'articolo apposta.> > Vai li c'è una scatola di schiaffoni pronta.> > te dò ncarcio nXXXX che te faccio diventà XXXXXoLo è gia, come tutti gli applefan...[img]http://images.appshopper.com/screenshots/321/414510.jpg[/img]

Re: ma nvedi sto
- Scritto da: XXXXXXXne> - Scritto da: maxsix> > > A coso, c'è l'articolo apposta.> > Vai li c'è una scatola di schiaffoni pronta.> > te dò ncarcio nXXXX che te faccio diventà XXXXXoTu dici.Sarà.Anche no.

Re: ma nvedi sto
Più che il permesso bisognerebbe che bertuccia e tu sapeste cosa dite :postfix:x:AA:BB:Postfix Daemon:/var/spool/postfix:/bin/falseMa ovviamente è puramente utopico.

Re: ma nvedi sto
- Scritto da: archimandrito> Più che il permesso bisognerebbe che bertuccia e> tu sapeste cosa dite> :> postfix:x:AA:BB:Postfix> Daemon:/var/spool/postfix:/bin/false> Ma ovviamente è puramente utopico.Parla con lui.http://www.zdnet.com/shellshock-attacks-mail-servers-7000035094/Leggi il veicolo d'attacco.http://pastebin.com/rbezRTPVRipeti con me:The bug had been in the Bash shell for 20 years and was widely deployed in a configuration that made it easy to exploit.Many of those vulnerable configurations are on forgotten systems, long considered stable and which may be difficult to patch.Ora traduci qui sotto:........................PS: Collione non è che ti fai un nick nuovo e registrato non ti sgamiamo in 1x2 eh.PS2: Senza di noi non puoi starePS3: Gigi è XXXXXXXtissimo con te. Sappilo.

ma sto mec è na tracetia
http://cxsecurity.com/issue/WLB-2014100174pieno de buchi, nun se arripija più (rotfl)

Re: ma sto mec è na tracetia
pare 'no sgolabasda!

Reda, daje su
Insomma c'è tanta roba oggi da scrivere.Dal mega buco samsung/android al samsung S6 che salta il periodo di natale lasciando aperti i portoni a Apple.Su datevi da fare che qua i cantinari spingono.

Re: Reda, daje su
- Scritto da: maxsix> Su datevi da fare che qua i cantinari spingono.t'o spingono, ma forte ehhhhhh (rotfl)

shellshock
Leggo sotto di gente che non crede che si possa bucare un server via mail...Faccio presente che su vecchissimi server che usano, solo per esempio, sendmail nella configurazio puo essere presente una cosa del genere (da sendemail.cf):Mprog, P=/bin/sh, F=lsDFMoqeu9, S=EnvFromL/HdrFromL, R=EnvToL/HdrToL, D=$z:/, T=X-Unix/X-Unix/X-Unix, A=sh -c $u...che si potrebbe attivare in presenza di un qualche filtro presente, magare nel file alias per gestire, che so una mailing list, tipo majordomo od altro.Gira depotenziata, non root, e non ho fatto reali verifiche su come vengono gestiti gli argomenti passati ma tecnicamente... fa da pensare.

Re: shellshock
Da da pensare ma da da pensare (eventualmente) a prescindere da Bash!Se uno configura in modo da richiamare una shell ha un problema a prescindere da quale shell chiama!E poi (ripeto) il problema non è SMTP bensì l'agent di "delivery" e sopratutto cosa fa L'agent di delivery (parsing oppure no e di quali headers e con quali filtri?) Onestamente mi pare che (ammesso che ci sia il problema "niubbo") la questione si porrebbe qualunque sia la shell verso cui "esci" in modo non controllato (che sia bash o altro non mi pare cambi granchè la sostanza).

Re: shellshock
Forse non ti è chiaro!Nel caso di specie è irrilevante che sia o non sia bash!Il problema è che possa in uno script qualunque richiamre la shell (quale che essa sia) senza fare parsing degli argomenti..Se lo fai ci sono decine di exploit che funzionano (bash o non bash).Mi pare abbastanza semplice!

Re: shellshock
- Scritto da: Gianni> Il sistema ha 17 anni ed il kenel è stato> ricompilato da "poco".> :)P.S.Il kernel?E cosa c'entra il kernel con Bash?1) Il kernel se ne strafotte di quale shell tu usi e anche che sia o non sia patchata!Bash è un "programma" (aka applicazione)... 2) il sistema può anche averne cento di anni resta il fatto che se tu passi alla shell argomenti senza controllo sei a rischio qualsiasi shell tu usi!

Re: shellshock
Era solo per dire che il sistema è molto più vecchio di quello che risulta dalla data di compilazione del kernel.. e solo per dire che le shell erano utilizzate eccome. Quella è una configurazione generata dai template originali del sendmail, non è che qualche sysadmin ci ha messo dentro del suo.

Re: ma nvedi sto
Più che altro a differenza di te so leggere.Certo capire la differenza che c'è tra scrivere "/bin/bash" e "/bin/sh" per uno che usa il Mac è complicato...dato che la situazione sul Mac si presenta così:lrwxrwxrwx 1 root root 4 2006-04-08 14:47 /bin/sh -> bashDa:http://apple.stackexchange.com/questions/143208/how-to-restore-a-removed-bin-sh-file"The quick and fix:sudo ln -sf bash /bin/shas it will create a symlink pointing from /bin/sh to /bin/bash just like every other UNIX and Linux distribution. "Certo che (ripeti) bisognerebbe sapere leggere....

Re: ma nvedi sto
- Scritto da: archimandrito> Più che altro a differenza di te so leggere.> Certo capire la differenza che c'è tra scrivere> "/bin/bash" e "/bin/sh" per uno che usa il Mac è> complicato...> dato che la situazione sul Mac si presenta così:> lrwxrwxrwx 1 root root 4 2006-04-08 14:47> /bin/sh ->> bash> > Da:> > http://apple.stackexchange.com/questions/143208/ho> > "The quick and fix:> > sudo ln -sf bash /bin/sh> as it will create a symlink pointing from /bin/sh> to /bin/bash just like every other UNIX and Linux> distribution.> "> > Certo che (ripeti) bisognerebbe sapere leggere....Ora dimmi, per quale motivo stai saltando intorno alla questione Mac?No dimmelo.Ti avverto, eh.Stai per prendere una delle solite sberlone a cui il tuo predeXXXXXre era tanto affezionato.Pensaci bene eh, torno tra 2 orette a vedere.

Re: ma nvedi sto
Perchè dire: "apple schifezza" = vittoria totale in tutti i dibattiti (win).

Re: ma nvedi sto
- Scritto da: Winner> Perchè dire: "apple schifezza" = vittoria totale> in tutti i dibattiti> (win).Ah ecco.Me pareva.Ma dico, allora si sta parlando di shellbug di mailer demon, di server non aggiornati e bla bla bla e ti salta fuori sto sgherro che alza il dito urlando e ma "il mac, e ma la patch, e ma ...".Uno di primo acchito dice, boh questo ha avuto un incontro ravvicinato con un ragade e soffre proviamo a lasciarlo perdere.Poi il suddetto continua a inseguirti sempre con il dito alzato farfugliando sempre le stesse cose.Allora uno dice, ma allora questo è proprio rinXXXXXXXXto nell'animo.Ed eccoci qua con "archimandrito" il collione 2.0.Bellissimo.

Re: ma nvedi sto
- Scritto da: maxsix> Ora dimmi, per quale motivo stai saltando intorno> alla questione> Mac?> No dimmelo.Facile il Mac usa bash!> > Ti avverto, eh.uhuuhhhChe paura!(rotfl)(rotfl)

Re: ma nvedi sto
povero applefag, mac ha bash, e prenditi sta trave

olio di ricino
Sta XXXXXXX da niubbi (shellnoob) le tirate fuori tutte le volte che apple e microsoft vengono sXXXXXte su PI, siete dei clown prezzolati (win)(apple).

Re: Ma le patch?
- Scritto da: maxsix> Ma lol, guarda coso ancient, ti hanno già> sbugiardato.> Dai collione fai il bravo.Amico caro.... "ti hanno chi?"Tu no perchè non sai leggere.l'articolo neppure (perchè c'è scritto esattamente quello che ho riportato) quindi a chi ti riferisci?Qui uno di quelli che non ha nulla da ridere sei tu!Ripeto:lrwxrwxrwx 1 root root 4 2013-04-08 14:47 /bin/sh -> bash (e questo è su un Mac) vedi te.....Hai patchato?(rotfl)(rotfl)

Re: Ma le patch?
Tra l'altro, non si riesce a capire cosa abbia da ironizzare maxsix visto che si sta parlando di una falla risalente ai tempi di UNIX e quindi presente anche su MacOSX.Apple se ne è uscita con le solite ultime parole famose: "I nostri SO sono al sicuro"; dopo una settimana hanno rilasciato una patch che non si sa neppure se funzioni (tanto gli apple-fan si bevono qualsiasi panzana).

Re: Ma le patch?
No si sa già <b> che non funziona! </b> (è diverso)......"Apple's Shellshock patch for Macs is incomplete"http://www.cnet.com/news/apples-shellshock-patch-incomplete-say-experts/

Re: shellshock
Veramente il Legu è della vostra stessa (poco) simpatica combriccola closed vs resto del mondo.Che succede? Non vi riconoscete più?Te lo spiego io cosa sta succedendo: da quando ios è diventato android-like e windows si accinge alla linarizzazione con la combo oneget + powershell non ci state capendo più niente.

Ancora con il condizionale ...
<I> La crisi Shellshock si fa sempre più seria </I> Ah si? <I> A un mese dalla scoperta del bug noto come Shellshock, i rischi di questa nuova vulnerabilità "sistemica" si allargano, invece di diminuire </I> Ma dove? <I> Un malintenzionato potrebbe inviare una email con un header "infetto" </I> Potrebbe? <I> Uno dei problemi più spinosi posti dalla scoperta di Shellshock è il fatto che il baco coinvolga anche sistemi molto vecchi o non aggiornati </I> E grazie al ....Insomma, si cerca di spremere la notizia come un limone, ma se il limone è già stato abbondantemente spremuto ...

Re: Ancora con il condizionale ...
FUD al fine di compensare le figuracce rimediate dagli altri... si quei due lì (apple)(win).

Re: Ancora con il condizionale ...
- Scritto da: Alvaro Vitali> <I> La crisi Shellshock si fa sempre più> seria </I>> > > Ah si?Eh sì... Serissima!!! "Decinaie" e "dicinaie" di sistemi in ginocchio soprattutto in quel di Neverlands> > <I> A un mese dalla scoperta del bug noto> come Shellshock, i rischi di questa nuova> vulnerabilità "sistemica" si allargano, invece di> diminuire </I>> > > Ma dove?Neverlands. Detto sopra.> <I> Un malintenzionato potrebbe inviare> una email con un header "infetto" </I>> > > Potrebbe?Dipende.Se il malintenzionato è di cattivo umore, se ha dormito male, se si sente dispettoso... > <I> Uno dei problemi più spinosi posti> dalla scoperta di Shellshock è il fatto che il> baco coinvolga anche sistemi molto vecchi o non> aggiornati </I>> > > E grazie al ....Ma tu pensa... Un baco che coinvolge sistemi molto vecchi o non aggiornati.Una notiziona!(rotfl)(rotfl)(rotfl)Voto all'articolo: appena un gradino sopra quello di Libero (http://is.gd/upjV7s) :D

Re: Ancora con il condizionale ...
Scherzi? La differenza è che su libero sono ben pagati, mentre qui fanno la fame.

Re: Ancora con il condizionale ...
- Scritto da: due utenti> Scherzi? La differenza è che su libero sono ben> pagati, mentre qui fanno la> fame.E qui il cantinaro M5S esce con tutto il suo livore.Ma dimmi invece di star qua a dare dei morti di fame a chi cerca di tirare avanti la propria carretta perché non vai a piantare qualche gazebo in giro con un cartello e un megafono?Una campagna conto la disinformazione su shellshock.Io ti propongo una coabitazione del parcheggio con Gigi.Non so se è contento, alla mal parata, ovviamente negherò tutto.Gigi con i cestelli della friggitrice ha dimostrato di essere un tipo parecchio pericoloso.

PostaCertificat@ sta spammando
Sta arrivando spam (malevolo ??) da PostaCertificat@, quello di Governo Italiano per dialogare con Enti Pubblici, e gestito da Poste Italiane. Ci sarà dietro Shellshock ???