forum.opennet.ru

"В Bash выявлено ещё четыре уязвимости, эксплуатируемые через..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

. "В Bash выявлено ещё четыре уязвимости, эксплуатируемые через..."	+/–
Сообщение от Michael Shigorin (ok), 01-Окт-14, 13:19
>> Если бы всё было так просто. Шеллы ведь между собой частично не совместимы, >> а скриптописатели так любят улучшения того или иного шелла. Мало того -- уж если в шебанге написано /bin/bash, то скриптописатель, вероятно, был грамотней в данном вопросе, чем типово-убунтушный "патч" из #4 (если бы был test -x /bin/bash, можно было бы ещё предположить дебианщика; а если бы работали по /bin/sh -- то даже грамотного). >> И "тем или иным шеллом" обычно является баш, ибо самый распространённый. > это у какого дистрибутива так? скажите, чтобы держаться в сторонке. > наоборот, везде (где я видел), соблюдают posix sh, ибо стандарт. Да везде, кроме убунты с дебианом. Где dash. У которого свои тараканы, в т.ч. и по части posix -- не стоит строить иллюзий по части безглючности данного шелла.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В Bash выявлено ещё четыре уязвимости, эксплуатируемые через..., opennews, 29-Сен-14, 10:11 [смотреть все]

Хорошая новость для утра понедельника , RomanCh, 29-Сен-14, 10:13 (2)
Патч mv bin bash ,-bin ln -s dash bin bash, Гость, 29-Сен-14, 10:18 (4) //
- Если бы всё было так просто Шеллы ведь между собой частично не совместимы, а ск, freehck, 29-Сен-14, 10:28 (7) //
  - это у какого дистрибутива так скажите, чтобы держаться в сторонке наоборот, ве, бедный буратино, 29-Сен-14, 10:39 (12) //
    - Если бы это было не так, то в debian по умолчанию шёл бы именно dash, а не bash , freehck, 29-Сен-14, 10:44 (14)
      - В системных скриптах Debian именно dash и используется ls -l bin sh lr, Аноним, 29-Сен-14, 10:52 (17)
        
        Ну да, конечно А то, что debootstrap в составе минимальной системы вытягивает b, freehck, 29-Сен-14, 11:04 (23)
        
        bash - шелл для пользователей, dash - для системных скриптов В чём противоречие, Аноним, 29-Сен-14, 11:08 (24)
        
        Хм Ну вот смотрите, вы меня тут дружно заминусовали, а между тем, Вы и сами вид, freehck, 29-Сен-14, 11:19 (26)
        
        Я вас не минусовал Отвечал я именно вам про стандартный шелл для скриптов Да и, Аноним, 29-Сен-14, 11:59 (30)
        
        Да, пожалуй, Вы правы Я что-то не с той ноги сегодня встал , freehck, 29-Сен-14, 12:37 (34)
        
        Кармадрочеры не нужны Держи пяток минусов , Аноним, 29-Сен-14, 18:02 (84)
    - Rvm давно видели Я его использовал на suse, redhat, debubuntu -- и везде он раб, й, 29-Сен-14, 13:13 (38)
    - Мало того -- уж если в шебанге написано bin bash, то скриптописатель, вероятно, , Michael Shigorin, 01-Окт-14, 13:19 (158)
  - Скриптописатели на баше ССЗБ Для скриптов есть Bourne Shell, к-й обязан присут, Аноним, 29-Сен-14, 10:48 (16) //
    - Далеко не всем нужны скрипты, работающие на любой POSIX-системе, и далеко не все, Crazy Alex, 29-Сен-14, 11:01 (21)
      - Помнящие переход FreeBSD с perl4 на perl5 а позже и его вынос из base system н, й, 29-Сен-14, 13:14 (39)
    - А если dash не дает каких-то возможностей, то писать велосипед самому Спасибо, , Аноним, 29-Сен-14, 12:02 (31)
      - Общий прогноз пока достаточно пессимистичен, так как при разборе кода функций в , Аноним, 29-Сен-14, 17:22 (75)
    - сразу видно наивного чукотского юношу, который не клепал скрипты на Bourne Shel,, fi, 29-Сен-14, 17:51 (82)
      - захватывающе всклц кто на ком стоял впрс люто плюсую тчк, Andrey Mitrofanov, 29-Сен-14, 18:24 (87)
    - Ню-ню, дорогой Д Артаньян Как насчет HP-UX с ksh по умолчанию Там Борна и, тем, Аноним, 29-Сен-14, 22:12 (114)
      - ksh и есть разновидность Bourne Shell Учи матчасть , Имя, 30-Сен-14, 01:45 (128)
        
        Внезапно, у ksh из solaris 11 оказалось иное мнение о shell-совместимости, чем, PnDx, 30-Сен-14, 21:21 (152)
        
        Ну, работает же У самого на awk-е веб-сервер написан, и, да, даже не fork, а, Andrey Mitrofanov, 30-Сен-14, 22:25 (153)
        http blog erratasec com 2014 09 bash-shellshock-scan-of-internet html, й, 30-Сен-14, 23:06 (154)
  - bin sh ващето И башизмы мало кто любил А меньше всего их любят те, у кого н, Клыкастый, 29-Сен-14, 11:22 (27) //
    - В присутствии фанбоев неприлично упоминать о существовании чего-либо, кроме лину, YetAnotherOnanym, 29-Сен-14, 13:16 (41)
      - А много ли тут людей помнят, какой был bin sh, скажем, в солярке аж до 11 верси, й, 29-Сен-14, 13:22 (48)
        
        ksh93И таки да - писали, но потом всё накрылось , Аноним, 29-Сен-14, 20:34 (102)
        
        Это с 11-ой До 11-ой там совсем другое было, погуглите Вкратце там был доисто, й, 29-Сен-14, 23:08 (125)
    - Вы знаете, я уже лет пятнадцать периодически наблюдаю истерику в массах пишите , й, 29-Сен-14, 13:17 (42)
      - процветают это факт прискорбный потому что в общем-то говорят правильно напр, Клыкастый, 29-Сен-14, 14:58 (57)
        
        Ну, раз прискорбный -- возьмите и перепишите как правильно Оно же GPL А то расс, й, 29-Сен-14, 15:14 (60)
        
        Хе-хе Сейчас начнут выносить линукс сервера _тысячами_, гонка идёт кто вперед, Аноним, 29-Сен-14, 20:37 (103)
        
        насколько я понимаю, vunerable -- системы, где 1 bash есть линк на bin sh это, й, 30-Сен-14, 23:15 (155)
        
        ну тут нечего удивительного - много народу прикладывает руку к продукту В сво, fi, 29-Сен-14, 18:19 (86)
- Есть уверенность что в dash нет таких развеселых багов , Аноним, 29-Сен-14, 10:33 (9) //
  - Вероятность наличия в нем таких нежданчиков все же ниже на порядок, потому что э, Аноним, 29-Сен-14, 17:24 (76) //
    - То есть есть _не_уверенность Оки-доки , Andrey Mitrofanov, 29-Сен-14, 18:26 (88)
      - А вам таки нужна _уверенность_ Тогда выключите компьютер, вынесите его на помой, Аноним, 29-Сен-14, 19:39 (98)
  - По крайней мере он значительно проще, так что и багов должно быть меньше , www2, 29-Сен-14, 18:44 (92) //
    - В общем, так оно и есть К ShellShock он неуязвим by design , Аноним, 30-Сен-14, 13:40 (146)
  - В процитированном сквозит уверенность в том, что bin dash есть , Michael Shigorin, 01-Окт-14, 13:34 (159)
- Не, зачем bin sh - bin dash, а тем кто использует bin bash в скриптах, отор, Аноним, 29-Сен-14, 18:56 (94) //
  - На лоре писали что dash тоже уязвим , абрывалг, 29-Сен-14, 19:57 (101) //
    - Весьма авторитетный источник Особенно если учесть, что dash не умеет в функции , Аноним, 29-Сен-14, 20:43 (107)
      - Оно таки большая проблема И позарез нужны ну просто каждому , Аноним, 29-Сен-14, 22:15 (117)
        
        Не видел, чтобы кто-то их использовал всерьез Собственно, поэтому их отсутствие, Аноним, 30-Сен-14, 13:38 (145)
- apt-get updateapt-get upgradegit clone https github com hannob bashcheck gitba, agaga, 29-Сен-14, 20:48 (108) //
  - А знаете, что здесь самое интересное То, что dash изначально был not vulnerable, Аноним, 30-Сен-14, 13:36 (144)
Всё логично - если в компоненте продукта проявляется большинство багов, они и бу, Аноним, 29-Сен-14, 10:22 (6)
Дядюшка Берштейн cpeт кирпичами от такой подставы , Аноним, 29-Сен-14, 10:32 (8) //
- Угу По ссылке нет bashа - нет проблемы Там же со слов автора - дядюшка в ку, tipa_admin, 29-Сен-14, 15:33 (62)
Какая то ошибка в скрипте проверки , Аноним, 29-Сен-14, 10:34 (10) //
- lol, dead bash, 29-Сен-14, 11:03 (22)
проснулся - первым делом обнови баш, бедный буратино, 29-Сен-14, 10:37 (11) //
- Кстати да, в генте сегодня прилетело уже 4-е обновление его со дня, когда обнару, Аноним, 29-Сен-14, 10:40 (13)
- s обнови удали , Аноним, 29-Сен-14, 20:41 (106)
- Да, перечитывал как раз недавно Хорошая сказка, и дядька был хороший , Michael Shigorin, 01-Окт-14, 13:36 (160)
Следующая новость В связи с последними событиями bash переименован в resheto , клоун, 29-Сен-14, 10:47 (15)
Вот тебе и одобреная столманом лицензия не защитила , Аноним, 29-Сен-14, 10:57 (19) //
- http www fsf org news free-software-foundation-statement-on-the-gnu-bash-shell, Аноним, 29-Сен-14, 11:01 (20) //
  - а шо отвественности нету а чем тогда бонус GPL перед MIT , Аноним, 29-Сен-14, 21:15 (110) //
    - Хочешь ответственности Райвоенкомат ждёт тебя , Andrey Mitrofanov, 30-Сен-14, 09:32 (135)
Упомянутый патч от Florian а, привносящий BASH_FUNC_имя , нейтрализует все уп, solardiz, 29-Сен-14, 13:15 (40)
А другие скорлупки кто-нибудь проверять собирается , YetAnotherOnanym, 29-Сен-14, 13:19 (44) //
- возможно кто-то прямо сейчас и проверяет или уже проверил и теперь занимается п, Нанобот, 29-Сен-14, 14:40 (55)
ROSA тоже обновила bash, Аноним, 29-Сен-14, 13:20 (45) //
- Видите ли, интересней обратное -- можно сразу в отдельную новость списком оказав, Michael Shigorin, 01-Окт-14, 13:39 (161)
Побежал проверять, а все дырки уже закрыты, GG, 29-Сен-14, 13:22 (47)
Debian GNU Linux testing, bash 4 3-9 2 Not vulnerable to CVE-2014-6271 original, Аноним, 29-Сен-14, 13:45 (50)
Блин, а на debian 6 так и не вышло обновление, с 7-го вручную поставил , AnonymousSL, 29-Сен-14, 14:02 (52) //
- Загугли, как прописать в sources list squeeze-lts, будет обновляться На опеннет, Аскар, 29-Сен-14, 16:59 (70)
Хоть бы обходной путь то пофиксили Уже 3 дня известна уязвимость А криков про , Аноним, 29-Сен-14, 14:12 (53) //
- Обходной путь давно известен - отключить бинарным ключом Но онанимусы видимо Вы, edwin, 29-Сен-14, 17:00 (71)
- 2014-09-29 14 122014-09-26 21 44 Фонд СПО указал, что процесс устранения уязвим, Andrey Mitrofanov, 29-Сен-14, 18:37 (89)
нужно срочно разработать новый,совершенный форк баша - librebash , Аноним из 9Б, 29-Сен-14, 14:37 (54) //
- ты неправильно прочитал мысли Поттеринга, жди bashd, IMHO, 29-Сен-14, 14:57 (56) //
  - вся та затея sd - попытка заменить баш Читая между строк, неудивительно, что бу, manster, 29-Сен-14, 15:10 (59) //
    - И все когда-либо написанные на нём И на любых прочих шелах И ещё немного dhcp, Andrey Mitrofanov, 29-Сен-14, 15:48 (63)
      - Народу нужен новый баш, соответсвующий настоящим реалиям и без проблем с сабшелл, manster, 29-Сен-14, 16:21 (66)
        
        А вы попробуйте переписать какой-нибудь баш-скрипт на питоне , Ordu, 30-Сен-14, 14:40 (147)
      - Слишком много неалфавитных символов Xasd, перелогинься , Аноним, 30-Сен-14, 10:30 (139)
    - В пору конкуренции с upstart, аудиторы, нанятые канониклом, пытались найти дырки, Аноним, 29-Сен-14, 17:30 (78)
      - найдут еще плохо искали , manster, 29-Сен-14, 17:55 (83)
        
        Просто они с РХ больше взяли , Andrey Mitrofanov, 29-Сен-14, 18:40 (90)
        Хорошо искали На карты была поставлена честь корпорации и лично Марка Ш , Аноним, 29-Сен-14, 20:38 (104)
        
        Ну, за дырки кто-то другой заплатил больше И , Andrey Mitrofanov, 30-Сен-14, 09:34 (136)
        
        Вряд ли коммерческая компания, у которой все доходы и расходы строго по ведомост, Аноним, 30-Сен-14, 13:33 (142)
Лошары ls -la bin shlrwxrwxrwx 1 root root 4 янв 10 2014 bin sh - dev nu, pavlinux, 29-Сен-14, 16:54 (68) //
- А в чём ты набрал команду zcat proc config gz 124 grep SCRIPT и как у теб, Аскар, 29-Сен-14, 17:03 (72) //
  - Очевидно, в юзерском шелле, который прописан в passwd Hint кроме баша, есть и , Аноним, 29-Сен-14, 17:33 (79) //
    - dash тоже уязвим , абрывалг, 29-Сен-14, 19:56 (100)
      - Во-первых, при чем тут dash Более удобные и фичастые - это не про него, явно , Аноним, 29-Сен-14, 20:39 (105)
        
        ОнониМ, ну, покажите же, ваши прелести cat etc shells , vi, 29-Сен-14, 23:35 (127)
    - Нельзя SystemdOS - не линукс , Аноним, 30-Сен-14, 10:32 (140)
      - systemd Linux, нравится вам это или нет, по факту сейчас является стандартом лин, Аноним, 30-Сен-14, 13:34 (143)
- С тапка пишешь , Аноним, 29-Сен-14, 17:17 (73)
Апокалипсис грядет Покайтесь Все быстро переползаем на оффтоп PS хорошо, Pahanivo, 29-Сен-14, 19:36 (97)
А томкат сервер как тоже уязвим , Аноним, 29-Сен-14, 20:50 (109)
В этом весь GNU тый софт , Аноним, 29-Сен-14, 21:23 (111) //
- В проприетарном уязвимости признавать не выгодно - продажи падают, Аноним, 29-Сен-14, 22:22 (121) //
  - Да, там вас просто имеют за ваши деньги, и те кто продал и те кто хакнул ПыСы, Pahanivo, 30-Сен-14, 10:13 (138)
плохая OpenSUSE, даже уязвимости в ней не работают , Аноним, 29-Сен-14, 21:48 (112)
hardened gentoo code Vulnerable to CVE-2014-6271 original shellshock Vulnerable, Анонище, 29-Сен-14, 22:11 (113)
В Debian wheezy выполнил apt-get install zshchsh -s bin zsh username mv bin , Igor, 29-Сен-14, 23:24 (126) //
- Угу, а теперь погрепай на наличие вхождений bin bash в usr bin 124 sbin , soko1, 30-Сен-14, 02:43 (129) //
  - Совершенно верно Только можно и так mv bin bash bak bash ln -s bin zsh bin , Igor, 30-Сен-14, 10:40 (141)
- Я в дебиане просто делал apt-get update и apt-get dist-upgrade и все что ест, Аноним, 30-Сен-14, 03:14 (130) //
  - Таких обновлений в дебиане было уже минимум три за пару дней И вот-вот выйдут н, soko1, 30-Сен-14, 03:46 (131) //
    - Точно Только что выполнил обновление сервера на дебиане через dist-upgrade Те, Victor, 30-Сен-14, 05:15 (133)
- usr bin zsh, Аноним, 30-Сен-14, 07:23 (134)
Арчик кросавчег Not vulnerable to CVE-2014-6271 original shellshock Not vulnera, Классический Анонимус, 30-Сен-14, 04:54 (132)
Это не баг Это фича Так было задумано с самого начала , Аноним, 30-Сен-14, 09:51 (137)
А почему не Михаль , Аноним, 30-Сен-14, 19:13 (148) //
- Или Ми 769 хал , Аноним, 30-Сен-14, 19:15 (149)
- https pl wikipedia org wiki Micha C5 82_ZalewskiMicha 322 ZalewskiМи 769 ха, Аноним, 30-Сен-14, 19:18 (150) //
  - https upload wikimedia org wikipedia commons 0 0c Pl-Micha C5 82 ogg, Аноним, 30-Сен-14, 19:19 (151)
Понеслась звезда по кочкам Сейчас начнут копаться в этом баше и еще с десяток по, Анжелика, 30-Сен-14, 23:21 (156)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру