https://opennet.ru/openforum/vsluhforumID3/99103.html В дополнение к изначальной выявленной уязвимости (http://www.opennet.ru/opennews/art.shtml?num=40667) в Bash (CVE-2014-6271) и обходному методу (http://www.opennet.ru/opennews/art.shtml?num=40670) атаки (CVE-2014-7169) исследователи безопасности выявили (http://lcamtuf.blogspot.ru/2014/09/bash-bug-apply-unofficial-patch-now.html) ещё три уязвимости, вызванные ошибками в реализации кода разбора функций. Так как разбор функций производится в Bash для всех переменных окружения, данные уязвимости также могут быть легко эксплуатированы через формирование специального содержимого, попадающего в переменные окружения. Уязвимости в bash последние дни появляются достаточно интенсивно и многие эксперты прогнозируют (http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole/), что не все проблемы устранены. Для комплексной проверки систем на подверженность атакам Shellshock подготовлен (https://github.com/hannob/bashcheck) универсальный скрипт.<br><br><br><br>Проблемы CVE-2014-7186 https://opennet.ru/openforum/vsluhforumID3/99103.html#161 Wed, 01 Oct 2014 09:39:03 GMT &gt; ROSA тоже обновила bash <br><br>Видите ли, интересней обратное -- можно сразу в отдельную новость списком оказавшихся неживыми.<br> https://opennet.ru/openforum/vsluhforumID3/99103.html#160 Wed, 01 Oct 2014 09:36:25 GMT &gt; проснулся - первым делом обнови баш <br><br>Да, перечитывал как раз недавно. Хорошая сказка, и дядька был хороший.<br> https://opennet.ru/openforum/vsluhforumID3/99103.html#159 Wed, 01 Oct 2014 09:34:32 GMT &gt;&gt; # ln -s dash /bin/bash <br>&gt; Есть уверенность что в dash нет таких развеселых багов?<br><br>В процитированном сквозит уверенность в том, что /bin/dash есть...<br> https://opennet.ru/openforum/vsluhforumID3/99103.html#158 Wed, 01 Oct 2014 09:19:45 GMT &gt;&gt; Если бы всё было так просто. Шеллы ведь между собой частично не совместимы,<br>&gt;&gt; а скриптописатели так любят улучшения того или иного шелла.<br><br>Мало того -- уж если в шебанге написано /bin/bash, то скриптописатель, вероятно, был грамотней в данном вопросе, чем типово-убунтушный "патч" из #4 (если бы был test -x /bin/bash, можно было бы ещё предположить дебианщика; а если бы работали по /bin/sh -- то даже грамотного).<br><br>&gt;&gt; И "тем или иным шеллом" обычно является баш, ибо самый распространённый.<br>&gt; это у какого дистрибутива так? скажите, чтобы держаться в сторонке.<br>&gt; наоборот, везде (где я видел), соблюдают posix sh, ибо стандарт.<br><br>Да везде, кроме убунты с дебианом. Где dash. У которого свои тараканы, в т.ч. и по части posix -- не стоит строить иллюзий по части безглючности данного шелла.<br> https://opennet.ru/openforum/vsluhforumID3/99103.html#156 Tue, 30 Sep 2014 19:21:51 GMT Понеслась звезда по кочкам.<br>Сейчас начнут копаться в этом баше и еще с десяток подобных сюрпризов нароют<br> https://opennet.ru/openforum/vsluhforumID3/99103.html#155 Tue, 30 Sep 2014 19:15:48 GMT &gt;&gt; Повторюсь, я таких ораторов уже 15 лет наблюдаю, погоды они не делают.<br>&gt; Хе-хе :) Сейчас начнут выносить линукс сервера _тысячами_, гонка идёт кто вперед <br>&gt; good folks or bad one :) <br><br>насколько я понимаю, vunerable -- системы, где:<br><br>1. bash есть линк на /bin/sh. это не все линуксы. дебубунту пролетают, а это много.<br><br>2. используется именно bash (как интерактивный шелл или как обработчик для вызова). опять же, не обязательно все линуксы и не обязательно только линуксы.<br><br>=&gt; это серьёзный баг, но не linux-specific.<br> https://opennet.ru/openforum/vsluhforumID3/99103.html#154 Tue, 30 Sep 2014 19:06:50 GMT &gt; Однако, использовать раскормленный bash (да хотя бы и sh&#124;ash) для cgi etc.?<br><br>http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html<br> https://opennet.ru/openforum/vsluhforumID3/99103.html#153 Tue, 30 Sep 2014 18:25:18 GMT &gt; Внезапно, у ksh (из solaris 11) оказалось иное мнение о shell-совместимости, чем <br>&gt; у bash'а.<br>&gt; Напоровшись на этот прискорбный факт (что-то с циклами afair), перестал ограничивать себя <br>&gt; "#!/bin/sh" - 1x большинство shell-скриптов проекто-зависимы.<br>&gt; Однако, использовать раскормленный bash (да хотя бы и sh&#124;ash) для <br>&gt; cgi etc.?<br><br>Ну, работает же! %) У самого на awk-е веб-сервер написан, и, да, даже не fork, а exec из-под xinetd (в другом варианте - из-под /usr/bin/socket). И ничего. Благо не лицокнижье.<br><br>&gt; Да там же любой чих = запуск нового процесса. (Написал как-то наколеночный <br>&gt; сет вотч-догов на bash'е и решил больше так не делать...) <br><br>Да, баш для обработки строк - тормоз.:D<br> https://opennet.ru/openforum/vsluhforumID3/99103.html#152 Tue, 30 Sep 2014 17:21:38 GMT Внезапно, у ksh (из solaris 11) оказалось иное мнение о shell-совместимости, чем у bash'а.<br>Напоровшись на этот прискорбный факт (что-то с циклами afair), перестал ограничивать себя "#!/bin/sh" - 1x большинство shell-скриптов проекто-зависимы.<br><br> Однако, использовать раскормленный bash (да хотя бы и sh&#124;ash) для cgi etc.?<br>Да там же любой чих = запуск нового процесса. (Написал как-то наколеночный сет вотч-догов на bash'е и решил больше так не делать...)<br>