Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Найдет способ обхода патча, устраняющего уязвимость в bash, opennews (??), 25-Сен-14, (0) [смотреть все] КСЖ Все переходим на zsh , Аноним (-), 10:31 , 25-Сен-14, (1) +5 // на dash, фыв (??), 13:36 , 25-Сен-14, (31) –7 1, InuYasha (?), 14:29 , 25-Сен-14, (45) –1 , Stax (ok), 15:14 , 25-Сен-14, (51) +2 Переход вашего конкретного шелла ничего не даст - в нем такую уязвимость все рав, Stax (ok), 15:20 , 25-Сен-14, (52) +2 // Реальная проблема - кластерфак с экранированием и специальной интерпретацией все, Аноним (-), 17:11 , 25-Сен-14, (58) // Только в этом случае опять же не имеет значения, какой у вас шелл Будь у вас хо, Stax (ok), 18:23 , 25-Сен-14, (61) В случае hijack ввода через терминал - да, тип шелла пофигу Не пофигу тип терми, Аноним (-), 19:09 , 25-Сен-14, (66) шшшшш тихо а то поцтеринг услышит, Психиатр (ok), 20:00 , 25-Сен-14, (68) –1 Блин, надо ему написать, доджен же кто-то привести этот пи ц в порядок А ему у, Аноним (-), 17:15 , 26-Сен-14, (102) Мне кажется, не его специализация ему демоны подсистемы нравится писать avahi,, Stax (ok), 12:37 , 27-Сен-14, (116) он спит, Аноним (-), 09:08 , 05-Окт-14, (122) Ну есть, например, Terminology http enlightenment org p php p about terminolo, Stax (ok), 21:00 , 25-Сен-14, (76) +1 В нем выпилили совместимость с древними терминалами, escape кодами и прочей муть, Аноним (-), 17:16 , 26-Сен-14, (103) Угу И сразу ждём поток CVE для Zsh , GotF (ok), 20:43 , 25-Сен-14, (73) Судя по монструозности zsh, ждать подобной уязвимости в его случае придётся ещё , Аноним (-), 22:08 , 25-Сен-14, (80) +1 Переходим на ksh93 , zeroDroid (?), 10:39 , 25-Сен-14, (2) +1 // csh ftw , Аноним (-), 14:58 , 25-Сен-14, (47) –1 // Вот вы все скрипты и переписывайте Вместе с POSIX - , Аноним (-), 22:19 , 25-Сен-14, (81) –1 // Да, скрипты это круто Особенно когда вам ремотный DHCP сервер команд на выполне, Аноним (-), 18:46 , 26-Сен-14, (111) А что должно получиться , Гость (??), 10:42 , 25-Сен-14, (3) // Дату вывести , Аноним (-), 10:50 , 25-Сен-14, (4) // env X a sh -c echo date cat echodatecat echo Нет такого файла и, Аноним (-), 11:17 , 25-Сен-14, (13) // У вас, видимо, sh - это dash, а не bash Не вводите людей в заблуждение , Аноним (-), 13:58 , 25-Сен-14, (34) Потому что надо было так env X a bash -c echo date cat echo Рабо, Аноним (-), 17:12 , 25-Сен-14, (59) env X a sh -c echo date cat echosh X line 1 syntax error nea, ALex_hha (ok), 11:01 , 25-Сен-14, (9) +2 // строка Thu Sep 25 06 59 29 UTC 2014 находится в файле echo, появившемся в ре, Аноним (-), 13:45 , 25-Сен-14, (32) // Дальше можно было и не продолжать Зачем перезаписывать какое-то там echo, если, Аноним (-), 14:11 , 25-Сен-14, (43) // Очевидно, это был терпеливый пример Более доходчивый по Бармину всё же стёр, х, Michael Shigorin (ok), 16:07 , 25-Сен-14, (54) –1 типа такой env X a bash -c test_ echo rm -rf test_, none_first (ok), 13:30 , 26-Сен-14, (94) Kubuntu 14 04, после патча не работает , Аноним (-), 11:07 , 25-Сен-14, (10) // И до патча не должно, если sh dash , Аноним (-), 14:00 , 25-Сен-14, (36) +2 OpenSUSE 13 1 env X a sh -c echo date cat echosh X line 1 synt, CssfPZS (ok), 11:08 , 25-Сен-14, (11) –2 // Это обходной путь, срабатывает, только если _уже_ установлен патч , h31 (ok), 11:25 , 25-Сен-14, (14) // На обеих машинах патч установлен , CssfPZS (ok), 11:27 , 25-Сен-14, (15) // и тебя не смущает тот факт, что оно выводит дату , тигар (ok), 12:20 , 25-Сен-14, (21) +4 Вообще-то, пример сработал Заметь, команда с датой - выполнилась Что самое при, Аноним (-), 17:15 , 25-Сен-14, (60) –3 Работает, раз файл echo создаётся , Аноним (-), 12:20 , 25-Сен-14, (20) +4 // Ты прав, CssfPZS (ok), 12:27 , 25-Сен-14, (23) Ubuntu 12 04 env X a sh -c echo date cat echodatecat echo Нет, Gadd (?), 11:13 , 25-Сен-14, (12) // Для Ubuntu Debian работает так env X a bash -c echo date cat echo, neol (ok), 13:36 , 25-Сен-14, (30) +1 // Попробовал явно запустить bin bash, результат аналогичный , Аноним (-), 15:05 , 25-Сен-14, (48) // А, тормознул, надо bash еще и в самой конструкции Вон та инструкция для бздунов, Аноним (-), 15:08 , 25-Сен-14, (49) –1 FreeBSD env X a sh -c echo date cat echodatecat echo No such fi, Умник (?), 11:43 , 25-Сен-14, (17) –1 // А причём тут FreeBSD Или намёк на то, что в их ports уже давно используется pat, Xaionaro (ok), 12:11 , 25-Сен-14, (18) // не поверишь, но вчерашний патч для ЭТОГО там есть, в портах, да , тигар (ok), 12:22 , 25-Сен-14, (22) +1 // Он там появился до данной новости или после , Xaionaro (ok), 15:13 , 25-Сен-14, (50) r369185 2014-09-24 20 05 47 0300, тигар (ok), 16:19 , 25-Сен-14, (56) –1 Ну так бы и написали, что в портах FreeBSD проблема была устранена r369185 2014-, Xaionaro (ok), 20:01 , 25-Сен-14, (69) прошу прощения, как-то не привычно, когда на данном ресурсе спрашивают просто по, тигар (ok), 21:56 , 25-Сен-14, (79) +2 Это намек на то, что фрибсдшники не понимают разницы между bash и sh А как еще о, Аноним (-), 14:05 , 25-Сен-14, (41) +7 // а убунтохомяки всё осваивают телепатию и что характерно - всё неудачно , Куяврег (?), 20:17 , 25-Сен-14, (71) –4 Еще один образчик годного батхерта Хомяки vs снобы 2 0 , Аноним (-), 18:24 , 26-Сен-14, (109) Для фряхи и всем тем, у кого bin sh это не баш, нужно заменить в приведенной ко, Аноним (-), 13:02 , 25-Сен-14, (28) +2 // uname -rsFreeBSD 10 0-RELEASE-p9 echo BASH_VERSION4 3 25 1 -release bash --, Аннонннн (?), 15:59 , 26-Сен-14, (101) +1 А я уже давно сделал так emerge dash eselect-sh eselect sh set dash, Аноним (-), 12:47 , 25-Сен-14, (24) ebuild U app-shells bash-4 2_p48-r1 4 2_p48 env X a sh -c , Аноним (-), 12:48 , 25-Сен-14, (25) Думаю, надо написать новый шелл для системдос, а баш выкинуть , Аноним (-), 12:49 , 25-Сен-14, (26) –1 // ЛенартОСу не нужен шелл Можно выкидывать сразу , Andrey Mitrofanov (?), 14:01 , 25-Сен-14, (37) +2 В системдос не должно быть шелла, ибо лишний вектор уязвимости, и Леннарт не одо, Аноним (-), 14:01 , 25-Сен-14, (38) // Не, уязвимсость это новое Основная архитектурная идея s-d ещё c самого начала б, Andrey Mitrofanov (?), 14:13 , 25-Сен-14, (44) +2   // Ну, продолжай цепочку дальше Потому, что линуксойды относятся к разновидности , Аноним (-), 18:11 , 08-Окт-14, (125) –1   Немедленно патчите броузер У вас тэг сарказьм http openforum vsluhforumID3 992, Andrey Mitrofanov (?), 18:45 , 08-Окт-14, (130)   test -d run systemd echo vulnerable , Шерлок Холмс из Опеннета (?), 16:15 , 25-Сен-14, (55) +2 Как бэ статистика опеннета говорит об обратном Успешно он сработал на Сюсе и Це, Аноним (-), 12:59 , 25-Сен-14, (27) –7 // В генту пофиксили сегодня только около 10 утра - выкатили апдейт сразу в стейбл , Аноним (-), 13:09 , 25-Сен-14, (29) +3 // но у меня bash не установлен на FreeBSD т е для активации уязвимости мне необхо, Аноним (-), 15:34 , 28-Сен-14, (119) –1 Статистика говорит о том, что на Убунту и ФриБСД сидят скрипт-киддисы, которые в, Аноним (-), 14:03 , 25-Сен-14, (39) +3 // не надо проецировать свои проблемы на других , Куяврег (?), 20:40 , 25-Сен-14, (72) –1 // Диагностирован батхерт , Аноним (-), 17:55 , 26-Сен-14, (104) От тебя большего и не ждали , Гость (??), 21:49 , 26-Сен-14, (113) Даже если предположить, что все Убунтоиды, ФриБСДшники и Гентумены ничего не зна, Аноним (-), 11:12 , 26-Сен-14, (91) –1 в tcsh тоже срабатывает - не только в bash , Аноним (-), 13:48 , 25-Сен-14, (33) // Нам ждать ещё и Hовостей И я тоже от череды само-раскапывающихся xxxsh-стюард, Andrey Mitrofanov (?), 14:05 , 25-Сен-14, (40) +2 Молодцы, обошли А фиксить-то будут , vitalif (ok), 14:55 , 25-Сен-14, (46) // Наверное нет , Аноним (-), 20:57 , 25-Сен-14, (75) Где фикс А-а-а-а, мы все умрём , Аноним (-), 15:54 , 25-Сен-14, (53) // Вы так говорите, как будто это что-то плохое, XoRe (ok), 19:06 , 25-Сен-14, (64) +3 сила и мощь опенсорца дыра есть, а исправлять её некому, Аноним (-), 20:02 , 25-Сен-14, (70) –5 // Fix CVE-2014-3659 The original fix in 25 was not enough Obtained from http s, ананимас (?), 21:38 , 25-Сен-14, (77) +1 К моменту вашего комментария, проблема была исправлена на большинстве наших серв, Xaionaro (ok), 21:52 , 25-Сен-14, (78) // в ночи разродились, к моменту написания моего комментария и несколько часов посл, Аноним (-), 09:27 , 26-Сен-14, (87) –3 // Ну, мы пытаемся делать защиту многослойной Если кто-то что-то взломает, ему пон, Xaionaro (ok), 11:30 , 26-Сен-14, (92) Жалуюсь на немощный редхет, у которого есть исходники, работники и что там ещё, , Аноним (-), 12:35 , 26-Сен-14, (93) Лично я ассоциирую Red Hat с Microsoft только уже в мире СПО Не думаю что сто, Xaionaro (ok), 13:43 , 26-Сен-14, (95) –1 Ну да, такие фаготы - 25 работы над ядром воротят А в благодарность их с MS ср, Аноним (-), 17:58 , 26-Сен-14, (105) –2 справедливый подход Превратить гну линукс в системдос это такая же срань, как и, Аноним (-), 20:38 , 26-Сен-14, (112) +1 25 Откуда у вас такая информация Больше всего вносит Intel, и его доля и то л, Xaionaro (ok), 16:57 , 27-Сен-14, (118) –1 На большинстве ваших, а на большинстве остальных И всем дружно костыли городить, Аноним (-), 14:07 , 26-Сен-14, (96) // В каких 171 дистрах 187 заплатка не появилась , Xaionaro (ok), 15:28 , 26-Сен-14, (98) убунта, арч, альт, другие не юзаю сейчас , Аноним (-), 15:59 , 26-Сен-14, (100) Не пользую, не знаю 8230 Один мой коллега сказал, что там фактически сразу появ, Xaionaro (ok), 18:14 , 26-Сен-14, (106) Приехал дважды пофикшеный Фикс на фикс - это круто , Аноним (-), 18:23 , 26-Сен-14, (108) В убунтах давно появилась, я имею ввиду вторую , Аноном (?), 18:42 , 26-Сен-14, (110) В убунте сабжевая команда не работает, в арче ли альте работает после обновлени, Аноним (-), 23:20 , 25-Сен-14, (82) –1 // Вру там просто sh ссылается на dash Уязвимость есть , Аноним (-), 23:22 , 25-Сен-14, (83) –1 CODE env X a sh -c echo date cat echodatecat echo Нет такого, Michael Shigorin (ok), 07:25 , 26-Сен-14, (86) –2 // Тухлость тоже вариант, это да , Аноним (-), 10:17 , 26-Сен-14, (89) // Готов поспорить, CP M неуязвима для этого бага , Аноним (-), 18:22 , 26-Сен-14, (107) ехидно Расскажи это ВВС США после войны в Югославии Продается два слегка поб, Аноним (-), 18:15 , 08-Окт-14, (127) +1 env X a bash -c echo date cat echo , Аноним (-), 15:22 , 26-Сен-14, (97) // В альте баш - дефолт, хотя у Шигорина может быть что угодно , Аноним (-), 15:58 , 26-Сен-14, (99) –1 // zsh, разумеется , Michael Shigorin (ok), 18:24 , 08-Окт-14, (129) Однако же env X a sh -c echo date cat echodatecat echo No such , timur (??), 17:37 , 29-Сен-14, (120) –1 А вот и PoC 1 1 https www trustedsec com september-2014 shellshock-dhcp-rc, Фанатик (?), 09:58 , 26-Сен-14, (88) +2 // Ну хоть Поттеринг нам написал netwrokd, который неуязвим для конкретно этой ошиб, Фанатик (?), 10:33 , 26-Сен-14, (90) на скриншотике слака уязвилась через dhcpcd есличо в слаке апдейтики приехали уж, Аноним (-), 01:34 , 27-Сен-14, (114) REPL - зло , Аноним (-), 15:41 , 27-Сен-14, (117) патчи к башу ваять - все равно что воду ситом вычерпывать , Никъ (?), 22:31 , 04-Окт-14, (121) –1 1,2,3,9,10,11,12,17,24,25,26,27,33,46,53,70,82,86,88,117,121

Сообщения

[Сортировка по времени | RSS]

	44. "Найден способ обхода патча, устраняющего уязвимость в bash"	+2 +/–
	Сообщение от Andrey Mitrofanov (?), 25-Сен-14, 14:13
	>> Думаю, надо написать новый шелл для системдос, а баш выкинуть. > В системдос не должно быть шелла, ибо лишний вектор уязвимости, и Леннарт > не одобряет. Не, уязвимсость это новое. Основная архитектурная идея s-d ещё c самого начала была "любую проблему можно решить конфигом из 5 строчек(*1), поэтому bash^Wшелл не нужен". (*1) формата VAR$n=$m, где n&m - правильно подобранные под задачу целые(*2). (*2) разрядность не уточняется.
	Ответить | Правка | Наверх | Cообщить модератору

	125. "Найден способ обхода патча, устраняющего уязвимость в bash"	–1 +/–
	Сообщение от Аноним (-), 08-Окт-14, 18:11
	>>> Думаю, надо написать новый шелл для системдос, а баш выкинуть. >> В системдос не должно быть шелла, ибо лишний вектор уязвимости, и Леннарт >> не одобряет. > Не, уязвимсость это новое. Основная архитектурная идея s-d ещё c самого начала > была "любую проблему можно решить конфигом из 5 строчек(*1), поэтому bash^Wшелл > не нужен". Ну, продолжай цепочку дальше! "Потому, что линуксойды относятся к разновидности хомо, именуемой No_Script и скрипты не умеют даже читать, не то, что писать". :))))))
	Ответить | Правка | Наверх | Cообщить модератору

	130. "Найден способ обхода патча, устраняющего уязвимость в bash"	+/–
	Сообщение от Andrey Mitrofanov (?), 08-Окт-14, 18:45
	>поэтому bash^Wшелл не нужен". > Ну, продолжай цепочку дальше! "Потому, что линуксойды относятся к разновидности хомо, именуемой > No_Script и скрипты не умеют даже читать, не то, что писать". > :)))))) Немедленно патчите броузер! У вас тэг сарказьм http:/openforum/vsluhforumID3/99256.html#29 в нём сломан -- уязвимость. //Ну или комбо "двойной сарказм" не удалось. Тренеруйтесь ещё!
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема