forum.opennet.ru

"В Bash выявлено ещё четыре уязвимости, эксплуатируемые через..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "В Bash выявлено ещё четыре уязвимости, эксплуатируемые через..."	+5 +/–
Сообщение от solardiz (ok), 29-Сен-14, 13:15
Упомянутый патч от Florian'а, привносящий "BASH_FUNC_имя()", нейтрализует все упомянутые уязвимости (остальные патчи, включая исходный, при этом перестают быть важными для безопасности - они лишь делают парсер более надежным). Во многих дистрибутивах этот патч уже включен. Также, еще до публикации этой новости на OpenNet, мейнтейнер bash выпустил аналогичный патч для всех версий от 2.05b до 4.3 - есть на http://ftp.gnu.org/pub/gnu/bash/ (bash43-027 от 27-Sep-2014 22:38 и т.п. для других версий). Отличие от патча Florian'а в используемом суффиксе - "%%" вместо "()". Для безопасности эффект тот же, но могут быть отличия в проявлении возможных багов с обработкой тех или этих символов в других программах. Наконец, отключить поддержку импорта функций можно и с помощью бинарного патча: http://www.openwall.com/lists/oss-security/2014/09/29/1
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В Bash выявлено ещё четыре уязвимости, эксплуатируемые через..., opennews, 29-Сен-14, 10:11 [смотреть все]

Хорошая новость для утра понедельника , RomanCh, 29-Сен-14, 10:13 (2)
Патч mv bin bash ,-bin ln -s dash bin bash, Гость, 29-Сен-14, 10:18 (4) //
- Если бы всё было так просто Шеллы ведь между собой частично не совместимы, а ск, freehck, 29-Сен-14, 10:28 (7) //
  - это у какого дистрибутива так скажите, чтобы держаться в сторонке наоборот, ве, бедный буратино, 29-Сен-14, 10:39 (12) //
    - Если бы это было не так, то в debian по умолчанию шёл бы именно dash, а не bash , freehck, 29-Сен-14, 10:44 (14)
      - В системных скриптах Debian именно dash и используется ls -l bin sh lr, Аноним, 29-Сен-14, 10:52 (17)
        
        Ну да, конечно А то, что debootstrap в составе минимальной системы вытягивает b, freehck, 29-Сен-14, 11:04 (23)
        
        bash - шелл для пользователей, dash - для системных скриптов В чём противоречие, Аноним, 29-Сен-14, 11:08 (24)
        
        Хм Ну вот смотрите, вы меня тут дружно заминусовали, а между тем, Вы и сами вид, freehck, 29-Сен-14, 11:19 (26)
        
        Я вас не минусовал Отвечал я именно вам про стандартный шелл для скриптов Да и, Аноним, 29-Сен-14, 11:59 (30)
        
        Да, пожалуй, Вы правы Я что-то не с той ноги сегодня встал , freehck, 29-Сен-14, 12:37 (34)
        
        Кармадрочеры не нужны Держи пяток минусов , Аноним, 29-Сен-14, 18:02 (84)
    - Rvm давно видели Я его использовал на suse, redhat, debubuntu -- и везде он раб, й, 29-Сен-14, 13:13 (38)
    - Мало того -- уж если в шебанге написано bin bash, то скриптописатель, вероятно,, Michael Shigorin, 01-Окт-14, 13:19 (158)
  - Скриптописатели на баше ССЗБ Для скриптов есть Bourne Shell, к-й обязан присут, Аноним, 29-Сен-14, 10:48 (16) //
    - Далеко не всем нужны скрипты, работающие на любой POSIX-системе, и далеко не все, Crazy Alex, 29-Сен-14, 11:01 (21)
      - Помнящие переход FreeBSD с perl4 на perl5 а позже и его вынос из base system н, й, 29-Сен-14, 13:14 (39)
    - А если dash не дает каких-то возможностей, то писать велосипед самому Спасибо, , Аноним, 29-Сен-14, 12:02 (31)
      - Общий прогноз пока достаточно пессимистичен, так как при разборе кода функций в , Аноним, 29-Сен-14, 17:22 (75)
    - сразу видно наивного чукотского юношу, который не клепал скрипты на Bourne Shel,, fi, 29-Сен-14, 17:51 (82)
      - захватывающе всклц кто на ком стоял впрс люто плюсую тчк, Andrey Mitrofanov, 29-Сен-14, 18:24 (87)
    - Ню-ню, дорогой Д Артаньян Как насчет HP-UX с ksh по умолчанию Там Борна и, тем, Аноним, 29-Сен-14, 22:12 (114)
      - ksh и есть разновидность Bourne Shell Учи матчасть , Имя, 30-Сен-14, 01:45 (128)
        
        Внезапно, у ksh из solaris 11 оказалось иное мнение о shell-совместимости, чем, PnDx, 30-Сен-14, 21:21 (152)
        
        Ну, работает же У самого на awk-е веб-сервер написан, и, да, даже не fork, а, Andrey Mitrofanov, 30-Сен-14, 22:25 (153)
        http blog erratasec com 2014 09 bash-shellshock-scan-of-internet html, й, 30-Сен-14, 23:06 (154)
  - bin sh ващето И башизмы мало кто любил А меньше всего их любят те, у кого н, Клыкастый, 29-Сен-14, 11:22 (27) //
    - В присутствии фанбоев неприлично упоминать о существовании чего-либо, кроме лину, YetAnotherOnanym, 29-Сен-14, 13:16 (41)
      - А много ли тут людей помнят, какой был bin sh, скажем, в солярке аж до 11 верси, й, 29-Сен-14, 13:22 (48)
        
        ksh93И таки да - писали, но потом всё накрылось , Аноним, 29-Сен-14, 20:34 (102)
        
        Это с 11-ой До 11-ой там совсем другое было, погуглите Вкратце там был доисто, й, 29-Сен-14, 23:08 (125)
    - Вы знаете, я уже лет пятнадцать периодически наблюдаю истерику в массах пишите , й, 29-Сен-14, 13:17 (42)
      - процветают это факт прискорбный потому что в общем-то говорят правильно напр, Клыкастый, 29-Сен-14, 14:58 (57)
        
        Ну, раз прискорбный -- возьмите и перепишите как правильно Оно же GPL А то расс, й, 29-Сен-14, 15:14 (60)
        
        Хе-хе Сейчас начнут выносить линукс сервера _тысячами_, гонка идёт кто вперед, Аноним, 29-Сен-14, 20:37 (103)
        
        насколько я понимаю, vunerable -- системы, где 1 bash есть линк на bin sh это, й, 30-Сен-14, 23:15 (155)
        
        ну тут нечего удивительного - много народу прикладывает руку к продукту В сво, fi, 29-Сен-14, 18:19 (86)
- Есть уверенность что в dash нет таких развеселых багов , Аноним, 29-Сен-14, 10:33 (9) //
  - Вероятность наличия в нем таких нежданчиков все же ниже на порядок, потому что э, Аноним, 29-Сен-14, 17:24 (76) //
    - То есть есть _не_уверенность Оки-доки , Andrey Mitrofanov, 29-Сен-14, 18:26 (88)
      - А вам таки нужна _уверенность_ Тогда выключите компьютер, вынесите его на помой, Аноним, 29-Сен-14, 19:39 (98)
  - По крайней мере он значительно проще, так что и багов должно быть меньше , www2, 29-Сен-14, 18:44 (92) //
    - В общем, так оно и есть К ShellShock он неуязвим by design , Аноним, 30-Сен-14, 13:40 (146)
  - В процитированном сквозит уверенность в том, что bin dash есть , Michael Shigorin, 01-Окт-14, 13:34 (159)
- Не, зачем bin sh - bin dash, а тем кто использует bin bash в скриптах, отор, Аноним, 29-Сен-14, 18:56 (94) //
  - На лоре писали что dash тоже уязвим , абрывалг, 29-Сен-14, 19:57 (101) //
    - Весьма авторитетный источник Особенно если учесть, что dash не умеет в функции , Аноним, 29-Сен-14, 20:43 (107)
      - Оно таки большая проблема И позарез нужны ну просто каждому , Аноним, 29-Сен-14, 22:15 (117)
        
        Не видел, чтобы кто-то их использовал всерьез Собственно, поэтому их отсутствие, Аноним, 30-Сен-14, 13:38 (145)
- apt-get updateapt-get upgradegit clone https github com hannob bashcheck gitba, agaga, 29-Сен-14, 20:48 (108) //
  - А знаете, что здесь самое интересное То, что dash изначально был not vulnerable, Аноним, 30-Сен-14, 13:36 (144)
Всё логично - если в компоненте продукта проявляется большинство багов, они и бу, Аноним, 29-Сен-14, 10:22 (6)
Дядюшка Берштейн cpeт кирпичами от такой подставы , Аноним, 29-Сен-14, 10:32 (8) //
- Угу По ссылке нет bashа - нет проблемы Там же со слов автора - дядюшка в ку, tipa_admin, 29-Сен-14, 15:33 (62)
Какая то ошибка в скрипте проверки , Аноним, 29-Сен-14, 10:34 (10) //
- lol, dead bash, 29-Сен-14, 11:03 (22)
проснулся - первым делом обнови баш, бедный буратино, 29-Сен-14, 10:37 (11) //
- Кстати да, в генте сегодня прилетело уже 4-е обновление его со дня, когда обнару, Аноним, 29-Сен-14, 10:40 (13)
- s обнови удали , Аноним, 29-Сен-14, 20:41 (106)
- Да, перечитывал как раз недавно Хорошая сказка, и дядька был хороший , Michael Shigorin, 01-Окт-14, 13:36 (160)
Следующая новость В связи с последними событиями bash переименован в resheto , клоун, 29-Сен-14, 10:47 (15)
Вот тебе и одобреная столманом лицензия не защитила , Аноним, 29-Сен-14, 10:57 (19) //
- http www fsf org news free-software-foundation-statement-on-the-gnu-bash-shell, Аноним, 29-Сен-14, 11:01 (20) //
  - а шо отвественности нету а чем тогда бонус GPL перед MIT , Аноним, 29-Сен-14, 21:15 (110) //
    - Хочешь ответственности Райвоенкомат ждёт тебя , Andrey Mitrofanov, 30-Сен-14, 09:32 (135)
Упомянутый патч от Florian а, привносящий BASH_FUNC_имя , нейтрализует все уп , solardiz, 29-Сен-14, 13:15 (40)
А другие скорлупки кто-нибудь проверять собирается , YetAnotherOnanym, 29-Сен-14, 13:19 (44) //
- возможно кто-то прямо сейчас и проверяет или уже проверил и теперь занимается п, Нанобот, 29-Сен-14, 14:40 (55)
ROSA тоже обновила bash, Аноним, 29-Сен-14, 13:20 (45) //
- Видите ли, интересней обратное -- можно сразу в отдельную новость списком оказав, Michael Shigorin, 01-Окт-14, 13:39 (161)
Побежал проверять, а все дырки уже закрыты, GG, 29-Сен-14, 13:22 (47)
Debian GNU Linux testing, bash 4 3-9 2 Not vulnerable to CVE-2014-6271 original, Аноним, 29-Сен-14, 13:45 (50)
Блин, а на debian 6 так и не вышло обновление, с 7-го вручную поставил , AnonymousSL, 29-Сен-14, 14:02 (52) //
- Загугли, как прописать в sources list squeeze-lts, будет обновляться На опеннет, Аскар, 29-Сен-14, 16:59 (70)
Хоть бы обходной путь то пофиксили Уже 3 дня известна уязвимость А криков про , Аноним, 29-Сен-14, 14:12 (53) //
- Обходной путь давно известен - отключить бинарным ключом Но онанимусы видимо Вы, edwin, 29-Сен-14, 17:00 (71)
- 2014-09-29 14 122014-09-26 21 44 Фонд СПО указал, что процесс устранения уязвим, Andrey Mitrofanov, 29-Сен-14, 18:37 (89)
нужно срочно разработать новый,совершенный форк баша - librebash , Аноним из 9Б, 29-Сен-14, 14:37 (54) //
- ты неправильно прочитал мысли Поттеринга, жди bashd, IMHO, 29-Сен-14, 14:57 (56) //
  - вся та затея sd - попытка заменить баш Читая между строк, неудивительно, что бу, manster, 29-Сен-14, 15:10 (59) //
    - И все когда-либо написанные на нём И на любых прочих шелах И ещё немного dhcp, Andrey Mitrofanov, 29-Сен-14, 15:48 (63)
      - Народу нужен новый баш, соответсвующий настоящим реалиям и без проблем с сабшелл, manster, 29-Сен-14, 16:21 (66)
        
        А вы попробуйте переписать какой-нибудь баш-скрипт на питоне , Ordu, 30-Сен-14, 14:40 (147)
      - Слишком много неалфавитных символов Xasd, перелогинься , Аноним, 30-Сен-14, 10:30 (139)
    - В пору конкуренции с upstart, аудиторы, нанятые канониклом, пытались найти дырки, Аноним, 29-Сен-14, 17:30 (78)
      - найдут еще плохо искали , manster, 29-Сен-14, 17:55 (83)
        
        Просто они с РХ больше взяли , Andrey Mitrofanov, 29-Сен-14, 18:40 (90)
        Хорошо искали На карты была поставлена честь корпорации и лично Марка Ш , Аноним, 29-Сен-14, 20:38 (104)
        
        Ну, за дырки кто-то другой заплатил больше И , Andrey Mitrofanov, 30-Сен-14, 09:34 (136)
        
        Вряд ли коммерческая компания, у которой все доходы и расходы строго по ведомост, Аноним, 30-Сен-14, 13:33 (142)
Лошары ls -la bin shlrwxrwxrwx 1 root root 4 янв 10 2014 bin sh - dev nu, pavlinux, 29-Сен-14, 16:54 (68) //
- А в чём ты набрал команду zcat proc config gz 124 grep SCRIPT и как у теб, Аскар, 29-Сен-14, 17:03 (72) //
  - Очевидно, в юзерском шелле, который прописан в passwd Hint кроме баша, есть и , Аноним, 29-Сен-14, 17:33 (79) //
    - dash тоже уязвим , абрывалг, 29-Сен-14, 19:56 (100)
      - Во-первых, при чем тут dash Более удобные и фичастые - это не про него, явно , Аноним, 29-Сен-14, 20:39 (105)
        
        ОнониМ, ну, покажите же, ваши прелести cat etc shells , vi, 29-Сен-14, 23:35 (127)
    - Нельзя SystemdOS - не линукс , Аноним, 30-Сен-14, 10:32 (140)
      - systemd Linux, нравится вам это или нет, по факту сейчас является стандартом лин, Аноним, 30-Сен-14, 13:34 (143)
- С тапка пишешь , Аноним, 29-Сен-14, 17:17 (73)
Апокалипсис грядет Покайтесь Все быстро переползаем на оффтоп PS хорошо, Pahanivo, 29-Сен-14, 19:36 (97)
А томкат сервер как тоже уязвим , Аноним, 29-Сен-14, 20:50 (109)
В этом весь GNU тый софт , Аноним, 29-Сен-14, 21:23 (111) //
- В проприетарном уязвимости признавать не выгодно - продажи падают, Аноним, 29-Сен-14, 22:22 (121) //
  - Да, там вас просто имеют за ваши деньги, и те кто продал и те кто хакнул ПыСы, Pahanivo, 30-Сен-14, 10:13 (138)
плохая OpenSUSE, даже уязвимости в ней не работают , Аноним, 29-Сен-14, 21:48 (112)
hardened gentoo code Vulnerable to CVE-2014-6271 original shellshock Vulnerable, Анонище, 29-Сен-14, 22:11 (113)
В Debian wheezy выполнил apt-get install zshchsh -s bin zsh username mv bin , Igor, 29-Сен-14, 23:24 (126) //
- Угу, а теперь погрепай на наличие вхождений bin bash в usr bin 124 sbin , soko1, 30-Сен-14, 02:43 (129) //
  - Совершенно верно Только можно и так mv bin bash bak bash ln -s bin zsh bin , Igor, 30-Сен-14, 10:40 (141)
- Я в дебиане просто делал apt-get update и apt-get dist-upgrade и все что ест, Аноним, 30-Сен-14, 03:14 (130) //
  - Таких обновлений в дебиане было уже минимум три за пару дней И вот-вот выйдут н, soko1, 30-Сен-14, 03:46 (131) //
    - Точно Только что выполнил обновление сервера на дебиане через dist-upgrade Те, Victor, 30-Сен-14, 05:15 (133)
- usr bin zsh, Аноним, 30-Сен-14, 07:23 (134)
Арчик кросавчег Not vulnerable to CVE-2014-6271 original shellshock Not vulnera, Классический Анонимус, 30-Сен-14, 04:54 (132)
Это не баг Это фича Так было задумано с самого начала , Аноним, 30-Сен-14, 09:51 (137)
А почему не Михаль , Аноним, 30-Сен-14, 19:13 (148) //
- Или Ми 769 хал , Аноним, 30-Сен-14, 19:15 (149)
- https pl wikipedia org wiki Micha C5 82_ZalewskiMicha 322 ZalewskiМи 769 ха, Аноним, 30-Сен-14, 19:18 (150) //
  - https upload wikimedia org wikipedia commons 0 0c Pl-Micha C5 82 ogg, Аноним, 30-Сен-14, 19:19 (151)
Понеслась звезда по кочкам Сейчас начнут копаться в этом баше и еще с десяток по, Анжелика, 30-Сен-14, 23:21 (156)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру