forum.opennet.ru

"Критическая уязвимость в bash, которая может привести к удал..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Критическая уязвимость в bash, которая может привести к удал..."	+/–
Сообщение от Аноним (-), 25-Сен-14, 08:44
> Вы все идиоты, чтобы применить данную "уязвимость" на удаленной машине, на ней > нужно сначала авторизоваться, попробуйте сами: По ssh не только пользователи работают, но и удалённо запускаются разные агенты, конфигурации, мониторинга и бэкапа.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в bash, которая может привести к удал..., opennews, 24-Сен-14, 20:49 [смотреть все]

и в zsh , Аноним, 24-Сен-14, 20:49 (1) //
- нет в zsh такой беды, Аноним, 24-Сен-14, 21:07 (3) //
  - Таки нет, Crazy Alex, 24-Сен-14, 21:15 (7) //
    - Wheezy, 4 3 17 - нет , анонимус, 24-Сен-14, 22:14 (24)
      - Slackware 14 1 -- пишет, что уязвима, Evergreen, 24-Сен-14, 22:43 (32)
        
        В убунтах приехал апдейт Оперативно , Аноним, 24-Сен-14, 23:34 (43)
        
        Рано радовался, фикс заглючен , Аноним, 25-Сен-14, 19:18 (113)
      - openSUSE 13 1, нету , Аноним, 25-Сен-14, 23:51 (122)
- теперь в новой упаковке и с обновленным вкусом Дырявый баш буквально преобра, qqq, 24-Сен-14, 22:40 (31)
ОПА а в щлюзах на лине наверное тоже такое прокатит на сколько я понял это у, Аноним, 24-Сен-14, 21:03 (2) //
- В шлюзах shell в составе busybox bash слишком толстый , ruata, 24-Сен-14, 21:08 (4) //
  - ну это смотря какие брать а если возьмём IDECO или Kerio , Аноним, 24-Сен-14, 22:14 (25)
- там ash обычно, byu, 24-Сен-14, 21:19 (10) //
  - у нас bash и OpenSSH полноценный , Аноним, 24-Сен-14, 21:29 (14) //
    - Нашли чему радоваться , Аноним, 25-Сен-14, 09:22 (71)
    - Тогда выдавайте вазелин в комплекте , Аноним, 25-Сен-14, 19:20 (115)
    - Напишите ваш ip , XoRe, 26-Сен-14, 13:48 (131)
- насколькокаких-то, Grammar_Nazi, 25-Сен-14, 13:36 (98)
классная уязвимость , Xasd, 24-Сен-14, 21:09 (5)
Вот жесть, Аноним, 24-Сен-14, 21:12 (6)
Да уж Понятия безопасность и защищенность в мире ИТ довольно условны А ско, онаним, 24-Сен-14, 21:15 (8) //
- типичное заблуждение людей люди склонны это врождённая черта людей думать будт, Xasd, 24-Сен-14, 21:20 (11) //
  - а он вам сказал , онаним, 24-Сен-14, 21:34 (16) //
    - знал но не использовал и ни кому не говорил хахаха ну вы как дети маленькие , Xasd, 24-Сен-14, 21:37 (17)
      - Если вы взломали что-либо и поимели доход с данного мероприятия, зачем вам объяв, онаним, 24-Сен-14, 21:44 (18)
        
        зачем объяснять если ты крутишься в научно-инженерном сообществе -- то там приня, Xasd, 24-Сен-14, 21:54 (19)
        
        Меньше знаешь - лучше спишь , онаним, 24-Сен-14, 22:25 (26)
        
        fix Меньше знают - лучше спишь , Trlteam, 25-Сен-14, 13:44 (99)
        
        gt оверквотинг удален Справедливо, но немного сомнительно по той причине чт, Аноним, 24-Сен-14, 22:31 (28)
        Какой же бред то несёте Сможешь, не сможешь, определяется врождёными умственным, metallica, 24-Сен-14, 22:49 (34)
        
        Например , Аноним, 25-Сен-14, 00:27 (51)
        
        В гугеле забанили Первый для примера https ru wikipedia org wiki D0 9B D0 B0, metallica, 25-Сен-14, 11:21 (86)
        
        Ну и Вот же он сам говорит В какой-то момент он заметил, что я интересуюсь ко, Аноним, 25-Сен-14, 15:57 (110)
        Да если вас взломал Ламо - это наверное обидно Ну ладно бы у него еще фа, Аноним, 26-Сен-14, 23:10 (140)
        
        Дяденька, эти преставления устарели, ещё когда Вы в младших классах были -- лет , Michael Shigorin, 25-Сен-14, 02:06 (56)
        
        ну что же я твоего imho не вижу в этом твоём сообщении, Xasd, 25-Сен-14, 03:57 (61)
        
        Потому что я _знаю_, о чём говорю, а не делаю допущения Первые ключевые слова , Michael Shigorin, 25-Сен-14, 04:00 (62)
        
        ды, блин чы чё такой буйный-то расслабся же хоть чуть чуть на меня вот щаз , Xasd, 25-Сен-14, 04:06 (64)
        
        Вы готовы подписаться под этим утверждением и отвечать за него Не выступление , Michael Shigorin, 25-Сен-14, 05:58 (66)
        
        Оптимизм - это хорошо Но почему-то на практике вы в 50 случаев подаете какие-т, Аноним, 26-Сен-14, 23:12 (141)
        
        В надеждах, но не в оценках Можно пример Когда ссылаюсь на сомнительное, так и, Michael Shigorin, 02-Окт-14, 03:24 (159)
        
        Ваши бы слова да богу куда то там К сожалению, ситуация диаметрально противо, Кирилл, 25-Сен-14, 14:38 (106)
        
        Чтоб не сказать ортогонально-перпендикулярная Но нет, мы не такие, мы не крути, Andrey Mitrofanov, 25-Сен-14, 14:46 (107)
        
        Бред Бага старая, и ей пользовались лет 5 как Другое дело, что знало малое кол, Майк, 25-Сен-14, 18:09 (111)
  - думать здесь нужна запятая будто ни кто -пишется слитно как можно предполо, snake7, 25-Сен-14, 18:14 (112) //
    - вмемориз , fx, 26-Сен-14, 11:57 (129)
  - 1 Новое предложение, юноша, надобно начинать с заглавной буквы, а не со строчно, dddshka, 26-Сен-14, 13:28 (130)
- Согласен, даже если брать - супер сборку для безопасности , то всегда когда ниб, Аноним, 24-Сен-14, 22:37 (30)
проверил на bash 2 05 десятилетней давности - работает, Нанобот, 24-Сен-14, 21:27 (12) //
- спс, а OpenSSH какой , Аноним, 24-Сен-14, 21:31 (15) //
  - 3 6 1, Нанобот, 24-Сен-14, 21:58 (20)
- BASH_VERSION 1 14 7 1 тоже с дырками , Sylvia, 24-Сен-14, 22:10 (22)
--- Package bash i386 0 3 2-33 el5 1 set to be updated, Аноним, 24-Сен-14, 22:07 (21) //
- Здравствуй, брат , Аноним, 24-Сен-14, 22:48 (33)
Интересно сколько уверенных в суперсекурности своего openbsd, жиливсе эти годы с, metallica, 24-Сен-14, 22:52 (35) //
- а в openbsd по-умолчанию стоит bash и он по-умолчанию предлагается в качестве s, aurved, 24-Сен-14, 23:12 (37) //
  - есть идиоты, которые ставят bash сами, а не оно приходит депендами в комплекте к, тигар, 25-Сен-14, 00:22 (50) //
    - Братьев что ли ищешь, животное , Andrey Mitrofanov, 25-Сен-14, 10:39 (82)
      - ты был первым из отозвавшихся, судя по кол-ву минусиков на то-самое-сообщение, и, тигар, 25-Сен-14, 12:25 (93)
- И сколько же Такие заявления нужно начинать с примеров, а не с голословных обви, бедный буратино, 25-Сен-14, 07:07 (68) //
  - Тебе нужно - ты и начинай , Аноним, 02-Окт-14, 00:01 (152)
Не, ну конечно экранирование в шелле всегда вымораживало Но чтоб настолько , Аноним, 24-Сен-14, 23:19 (39) //
- Безотносительно http git altlinux org people legion packages p libshell git , Michael Shigorin, 25-Сен-14, 04:02 (63) //
  - Настолько злобный код вымораживает даже видавшего виды сишника ассемблерщика А , Аноним, 25-Сен-14, 19:27 (116) //
    - потому что ты дурак, извини , arisu, 26-Сен-14, 03:53 (126)
      - Сабж показывает что бывает и горе от ума , Аноним, 26-Сен-14, 23:18 (142)
    - Регэксами или eval ом , Michael Shigorin, 02-Окт-14, 03:32 (160)
- Это не экранирование , Andrey Mitrofanov, 25-Сен-14, 10:40 (83) //
  - Но похоже по общему смыслу , Аноним, 25-Сен-14, 19:31 (120)
Звучит эпично, но где, собственно, уязвимость Если я могу выполнить любую ком, Аноним, 24-Сен-14, 23:35 (44) //
- часто бывает ситуация когда ты можешь повлиять на переменные окружения ты делае, Xasd, 25-Сен-14, 00:07 (48) //
  - Что-то ни одна ситуация не приходит в голову Можно хоть какой-нибудь пример , Аноним, 25-Сен-14, 02:19 (57) //
    - Навирху же Solar Disigner написал про обход прибитого к ключу command Ждём пр, Andrey Mitrofanov, 25-Сен-14, 10:44 (84)
    - CGI, AlexAT, 25-Сен-14, 22:47 (121)
    - DHCP сервер может передать переменную в ответе DHCP клиент в nix её схавает и _, XoRe, 26-Сен-14, 13:58 (132)
      - Садись, два Ох, чего-то препод из меня , Andrey Mitrofanov, 26-Сен-14, 14:39 (135)
        
        Ничего, это уже давно так - кто-то умеет, а кто-то преподает Или вы думаете, что, XoRe, 04-Окт-14, 12:47 (167)
  - Надо ещё и чтобы с этими изменёнными переменными окружения ещё и bash бы стартан, Аноним, 25-Сен-14, 02:46 (59) //
    - Он по дефолту на многих серваках, особенно в случае CGI, XoRe, 26-Сен-14, 13:59 (133)
- А уязвимость в том что немало софта получает переменные окружения снаружи , Аноним, 25-Сен-14, 19:28 (117)
Мде OS X 10 9 xтаже беда , Аноним, 24-Сен-14, 23:37 (45)
bash уязвим, а вот через ssh не получилось даже себя запывнить , Аноним, 24-Сен-14, 23:45 (46)
ктулху благослови unattended-upgrades в дебиановыхполез проверять на всякий есть, asavah, 25-Сен-14, 00:02 (47) //
- А все запущенные bash перезапустились Я так тоже обновлися от heartbleed автомат, Аноним, 25-Сен-14, 00:11 (49) //
  - А в уже запущенном bash эту уязвимость не выйдет эксплуатировать Только в новом, Stax, 25-Сен-14, 00:38 (52)
  - unattended-upgrades умеет перезапускать сервер после обновлений при необходимост, Etch, 25-Сен-14, 02:22 (58)
а куда писать-то тест в любую открытую консоль что-то не работает , emg81, 25-Сен-14, 01:37 (55)
в OpenBSD - ksh , бедный буратино, 25-Сен-14, 07:05 (67)
Вы все идиоты, чтобы применить данную уязвимость на удаленной машине, на ней н, Адекват, 25-Сен-14, 07:41 (69) //
- По ssh не только пользователи работают, но и удалённо запускаются разные агенты, , Аноним, 25-Сен-14, 08:44 (70) //
  - Без авторизации , Адекват, 25-Сен-14, 09:25 (72) //
    - Без пароля по незашифрованному ключу, с _жёстко заланной command для ключа ко, Andrey Mitrofanov, 25-Сен-14, 10:30 (80)
      - ну значит работает, но для очень редких случаев , Адекват, 25-Сен-14, 12:00 (89)
        
        Второй же вариант уже cpanel , GGI на bash и транслирование апачем http-за, Andrey Mitrofanov, 25-Сен-14, 13:49 (102)
      - ssh да и shell столько всего умеют что надо быть завзятым оптимистом чтобы предп, Аноним, 25-Сен-14, 19:29 (118)
  - man sshd_config AcceptEnv 8230 The default is not to accept any environment var, Moomintroll, 25-Сен-14, 10:06 (77)
  - и им зачем-то выдают bash в качестве login shell а почему сразу не ключи от ква, arisu, 25-Сен-14, 13:45 (100) //
    - А что ты им предлагаешь выдавать restricted shell А он у вас в пингвинусах е , Аноним, 02-Окт-14, 00:05 (155)
      - Да есть, есть И rbash, и более специальные PS Вы там что, опять волшебного ку, Michael Shigorin, 02-Окт-14, 03:13 (158)
      - прикинь, есть но лично тебе его использовать запрещено , arisu, 02-Окт-14, 07:47 (162)
- Что ви знаете про CGI , XoRe, 26-Сен-14, 14:01 (134) //
  - Древний и бестолковый протокол, который должен умереть жестокой смертью , Аноним, 26-Сен-14, 23:20 (143) //
    - Или кто-то путает с CGA или одно из двух, QuAzI, 27-Сен-14, 13:29 (147)
    - Ну вот пока все шаред хостинги переползут с него на fastcgi и uwsgi, будут DDoS , XoRe, 04-Окт-14, 12:49 (168)
Бред какой-тоОн тогда не только в bash, но еще в fish shell присутствует А это , Bookman300, 25-Сен-14, 09:33 (73) //
- Ну как видим, работает Значит не фэйк Факты штука упрямая , Аноним, 25-Сен-14, 19:30 (119) //
  - Я не вижу, у меня на XUbuntu 14 04 не работает И вообще не могу понять что авто, ggss, 28-Сен-14, 20:05 (149) //
    - Пропатчили уже, больше никак не работает, GG, 28-Сен-14, 21:25 (150)
Я не понял, они нашли bashrc , Аноним, 25-Сен-14, 09:45 (74)
GNU во всей красе Не, только zsh, только подальше от GNU , Аноним, 25-Сен-14, 09:52 (75) //
- env x echo vulnerable bash -c echo this is a test bash внимание , Я, 25-Сен-14, 10:04 (76) //
  - testuser front env x echo vulnerable bash -c echo this is a tes, Anonimous, 25-Сен-14, 12:13 (91)
Никогда не использовал bash, точнее пытался, но изучить возможности стандартног, Сергей, 25-Сен-14, 10:16 (78) //
- Если бы в sh была история команд и автодополнение - пользовался бы только им По, www2, 25-Сен-14, 12:47 (94) //
  - За использование bash в скриптах надо вообще убивать , Аноним, 25-Сен-14, 13:29 (97) //
    - а за перл награждать, ага , arisu, 25-Сен-14, 13:46 (101)
  - В каком sh dash можно собирать с libedit , Led, 25-Сен-14, 14:36 (105)
  - Тоже изначально только из-за этого переключался на tcsh, а потом постепенно, что, Alatar, 26-Сен-14, 22:18 (139)
Я реально не понимаю эту новость Если я верно понял оригинальное описание уязви, Аноним, 25-Сен-14, 10:37 (81) //
- Ну, а теперь вспомните всякие gitlab-ы дающие доступ на запуск конкретного скри, Xaionaro, 25-Сен-14, 12:08 (90) //
  - Да это очевидно, где spawn ится shell - там дыра Просто написано так, как будто, Аноним, 25-Сен-14, 12:48 (95) //
    - Я привёл примеры удалённых запусков произвольного кода в очень нередких ситуация, Xaionaro, 25-Сен-14, 15:10 (109)
Может имелось видуВместо env X a sh -c echo date cat echoЭто env , Аноним, 25-Сен-14, 11:12 (85) //
- эм, зачем Чтоб сделать нерабочий скрипт еще более нерабочим D, Аноним, 25-Сен-14, 12:23 (92)
Hex String, говорите one echo 1 one1 unset one one echo 2 o, Andrey Mitrofanov, 25-Сен-14, 11:35 (87) //
- Да даже без этого, идея всё равно обречена, ибо всякие https-ы с ssh-ами трафик , Xaionaro, 25-Сен-14, 11:50 (88)
- А можете прояснить - что делает эта строка iptables using -m string --hex-string, 123, 26-Сен-14, 21:31 (136) //
  - , AlexAT, 26-Сен-14, 21:51 (137)
  - Дерьмовый метод, особенно для вёбни Допустим function x будет не залить , AlexAT, 26-Сен-14, 21:52 (138) //
    - Да вообще расстреливать таких админов через повешивание Потом будет туева хуча , Аноним, 26-Сен-14, 23:22 (144)
      - Эй, умник А ты примерно представляешь себе, сколько скриптов перестанет враз ра, Аноним, 02-Окт-14, 00:07 (156)
        
        ну, ты же нам расскажешь, правда то, что ты единственный свой скрипт с 171 пр, arisu, 02-Окт-14, 07:45 (161)
и все равно вместо того чтобы выдать новую минорную версию мантейнер продолжает , ODESKBY, 25-Сен-14, 13:23 (96) //
- Это и есть 4 3 pl25 ttps ftp gnu org gnu bash bash-4 2-patches bash42-048ttp, Andrey Mitrofanov, 25-Сен-14, 13:56 (103) //
  - Уже пропатчил http seclists org oss-sec 2014 q3 698, solardiz, 26-Сен-14, 01:12 (123)
Не вкурил И где тут такая прям страшная уязвимость , Кирилл, 25-Сен-14, 14:33 (104) //
- Вот Вот же 1 Позитивный коментарий , Andrey Mitrofanov, 25-Сен-14, 14:47 (108)
user pc env x echo vulnerable bash -c echo this is a test bas, Люблю арч, 26-Сен-14, 01:17 (124)
GNU bash, version 4 0 35 1 -release i686-pc-linux-gnu env x echo v, Аноним, 26-Сен-14, 03:53 (125)
Спасибо , Аноним, 26-Сен-14, 08:59 (127)
А как проверить, будет уязвимость работать через http сервер , Аноним, 26-Сен-14, 09:58 (128) //
- Отсылаешь такую конструкцию в хидерах и смотришь выполнилась ли команда Если не, Аноним, 26-Сен-14, 23:24 (145)
Давно знал что bash выполняет переменные при запуске Из-за бывали ситуации ког, anonymous, 27-Сен-14, 12:59 (146)
Вроде пофиксили наконец , GG, 28-Сен-14, 10:29 (148) //
- А скрипты, переставшие работать, вы тоже все пофиксили , Аноним, 02-Окт-14, 00:08 (157) //
  - Покажите хоть один применяемый обиходе скрипт, в котором используется экспорт фу, Аноним, 02-Окт-14, 07:54 (163) //
    - глупость, которую изначально не надо было делать, но увы 8230 , arisu, 02-Окт-14, 08:21 (164)
      - Я тебе, как умнику записному скажу в субшел определённые функции по любому _нуж, Andrey Mitrofanov, 02-Окт-14, 09:52 (165)
        
        8230 и делать это через envvars было глупо , arisu, 02-Окт-14, 09:58 (166)
Люди, не могу найти пример удаленного использования Вот у меня bash старый и лок, Аноним, 07-Ноя-14, 15:32 (169)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру