» »

Bash is your friend

Bash is your friend

Temo vidijo: vsi

denial ::

remote code execution through bash
SELECT finger FROM hand WHERE id=3;

popster ::

malo zahtevno vse skupaj se mi zdi, skop opis tudi

ABX ::

Ta je resna in dejte takoj uredit zadevo če imate apači server. V stilu spusti vse in reši ZDAJ!

Fix za Ubuntu.
http://askubuntu.com/questions/528101/w...
Vaša inštalacija je uspešno spodletela!

jype ::

Ni fix:

env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("

hojnikb ::

a dash je tut affectan ?
#brezpodpisa

Ales ::

Tale novica bi že od včeraj morala biti na prvi strani Slo-Techa...

@hojnikb, bug je "samo" v bashu. Če si ti kaj našel, obvesti direktno avtorje dasha in ne piši sem na forum.

jype ::

Ales> Tale novica bi že od včeraj morala biti na prvi strani Slo-Techa...

Ne more bit, dokler ni patcha, k bi kdo še not pršu.

karafeka ::

Potem pa hvalabogu za 24kur
m.24ur.com/index.php?article_id=4021522

jype ::

Sej oni so tut vulnerable, sam ne vejo še.

Ales ::

jype je izjavil:

Ales> Tale novica bi že od včeraj morala biti na prvi strani Slo-Techa...

Ne more bit, dokler ni patcha, k bi kdo še not pršu.

>:D Ma ne no, sigurno so že uredili... Vse distribucije so dale popravke ven že pred objavo včeraj, moratorij na novico je bil do srede ob 14:00 (UTC)...

hojnikb ::

[root@kirkwood ~]# env x='() { :;}; echo vulnerable' bash -c 'echo hello'
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello
[root@kirkwood ~]#

i'm in the clear :)
#brezpodpisa

jype ::

hojnikb> i'm in the clear :)

Nisi, ker:

env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("

hojnikb ::

Then run:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

And if you get:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Then you're all good!
#brezpodpisa

jype ::

No, you're not.

Patch je preveč šlampast in okol ga prinest je trivialno.

pegasus ::

Eh? Kako je zdej to bug? Js sm mislu da je to feature ... že vidim da bom moral neplanirano nekaj starih skript it popravljat ;)

ABX ::

jype je izjavil:

hojnikb> i'm in the clear :)

Nisi, ker:


 env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("


# env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
still vulnerable :(

Mi ne deluje da tvoja koda dela. Ali ni za CLI?
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

jype ::

Očitno deluje, če ti je bash ustvaril datoteko z imenom echo in vanjo zapisal niz "vuln", ne da bi ti to od njega zahteval.

BaToCarx ::

Za ubuntu je končno popravek ven, ki ne nared echo datoteke.

Bo treba še enga? Kdo ve.

zee ::

Isto za Debian.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

c3p0 ::

CentOS enako, za 5/6/7, čudi me pa, da je Debian zaenkrat izdal popravek le za stable.

trnvpeti ::

zsh(oh-my-zsh) is your friend

c3p0 ::

Uporabljam na OSX oh-my-zsh, cool zadeva.

radiokills ::

In bash si odinštaliral al kako?

trnvpeti ::

radiokills je izjavil:

In bash si odinštaliral al kako?

tam kjer je se ostal
ko(ce) se bo rabil, se bo dodal

trnvpeti ::

sej ne, da je samo 500M+ naprav ogrozeno

BlaY0 ::

A pa si ti to sploh prebral oziroma razumeš kaj piše?

Tega se lahko bojijo predvsem tisti, ki ne razumejo točno zakaj gre. Recimo razni wannabe {sys,web}admini, ki so do zdaj 3x s CDja inštaliral Ubuntu Linugze pa potem gor zdeployal Wordpress po copy/paste navodilih z YouTubea.

Si pa predstavljam da je takih "{sys,web}adminov" in posledično "postavitev" velika večina.

Drugače pa, strah je ena taka kul zadeva, ki se je in se bo vedno zelo dobro prodajala...

js osebno :: 

~/media env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
echo vuln
cat: echo: No such file or directory

A to je pol ok?

jype ::

Ja.

Ozric ::

https://www.digitalocean.com/community/...

johnnyyy ::

Torej če prav razumem, je problem v tem, da bash spremenljivke, ki so ukazi požene.

V primeru, da lahko nekdo oddaljeno požene CGI skripto se le ta zažene pod Apache userjem. Pa me zanima ali je kdo poizkušal ta napad v praksi izvesti in kako se je potem apparmor odzival na to (je preprečil ali ni)?

MrStein ::

jype je izjavil:

Sej oni so tut vulnerable, sam ne vejo še.

Kaj ima to veze? A potem je pravilno, da se na papirni izdaji objavi novica?

(ja ja, vem komu odgovarjam)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jype ::

http://www.dwheeler.com/essays/shellsho...

Kvaliteten povzetek.

Ozric ::

jype je izjavil:

http://www.dwheeler.com/essays/shellsho...

Kvaliteten povzetek.


Hvala.

dronyx ::

Ali moraš imeti pri RHEL kupljeno naročnino na support, da lahko preneseš iz interneta popravek za to ranljivost?

ABX ::

dronyx je izjavil:

Ali moraš imeti pri RHEL kupljeno naročnino na support, da lahko preneseš iz interneta popraveke?


Da
Vaša inštalacija je uspešno spodletela!

SeMiNeSanja ::

Na VSAKI -UX platformi si lahko preneseš bash source kodo, jo prevedeš in namestiš - tudi če nimaš naročnino na support - ampak po 'klasični' metodi.

Sem to zadnjič naredil za 10+ let staro Linux mašino in res ne vem, zakaj naj nebi bilo možno na RHEL...

Ales ::

@dronyx, lahko snameš original Red Hat srpm, ki je prosto dostopen, in iz njega narediš rpm ter namestiš tega. Na ta način ostane tvoja namestitev Red Hat-a praktično enaka upstreamu... Ali pa namestiš rpm direktno iz CentOS-a ali Scientific Linuxa, za večino potreb lahko njihove pakete jemlješ kot čisti ekvivalent.

Sourci za RHEL 6:
http://ftp.redhat.com/pub/redhat/linux/...

Za RHEL 7 pa je upstream source dostopen preko CentOS-a:
https://git.centos.org/project/rpms

dronyx ::

Ker nisem strokovnjak za Linux bi prosil še za nekaj informacij. Imamo par Linux RHEL strežnikov za katere je z zunanjim izvajalcem sklenjena vzdrževalna pogodba, po kateri morajo tudi nameščati vse kritične popravke. Na strežnikih sicer teče IBM programska oprema, ki je certificirana za točno določene OS, med drugim tudi za določene distribucije Linuxa, tako da smo s tem omejeni. Ob namestitvi sistemov je bila kupljena tudi naročnina na RHEL za eno leto, ki pa je že potekla. Pogodbeni vzdrževalec sicer do sedaj ni nič omenil, da nima dostopa do popravkov, sedaj pa trdi, da brez naročnine do tega nismo upravičeni. Lahko sicer namesti popravek iz CentOS, ampak v tem primeru na "mojo odgovornost", kar v praksi pomeni, da karkoli bo šlo na tem strežniku narobe v prihodnje sem kriv jaz, ker sem dovolil neke bližnjice, ki niso uradno podprte...

Torej v primeru RHEL moraš imeti sklenjeno naročnino na support, če želiš nameščati popravke, tudi kritične? Je ta naročnina vezana na posamezen strežnik, firmo ali kaj drugega? Če je na posamezni strežnik gre predvidevam za letno naročnino in če imaš tak strežnik v produkciji več let ta cifra potem samo raste. Pri MS kupiš enkrat licenco in imaš dostopne popravke za časa življenjske dobe produkta.

Torej tu razlika v ceni potem sploh ni tako velika, kot skušajo nekateri prikazati, saj takšne strežnike ne moreš imeti v produkciji brez dostopa do popravkov.

Ales ::

IMHO, težko sodimo o tem, kake so vaše dejanske poslovne potrebe glede certificiranosti oz. uporabe enterprise OS-ov, kot je RHEL, je pa to zanimivo vprašanje. Čudno, da se to sprašujete šele ko zagusti in še to z zamikom treh tednov. Bo mogoče čas, da nekdo dobi nogo zaradi malomarnosti?

Predlagam, da o tem odpreš posebno temo, to res nima kaj dosti veze z bash...

Invictus ::

dronyx je izjavil:

Ker nisem strokovnjak za Linux bi prosil še za nekaj informacij. Imamo par Linux RHEL strežnikov za katere je z zunanjim izvajalcem sklenjena vzdrževalna pogodba, po kateri morajo tudi nameščati vse kritične popravke. Na strežnikih sicer teče IBM programska oprema, ki je certificirana za točno določene OS, med drugim tudi za določene distribucije Linuxa, tako da smo s tem omejeni.

Edina zahteva IBM programske opreme je da ima gor knjižnice, ki jih rabi. Sicer oni to vežejo na neko distribucijo, ampak sam sem dajal IBM software na Ubuntu,ki sploh ni podprt.

Glede na to da nimate plačanega supporta za RHEL, predvidevam da ga ne plačujete tudi za IBM.

Sicer pa, če je IBM app tako pomemben, kje za hudiča imaš testni sistem za testiranje popravkov?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja> tudi tistim, ki ga nočejo?

Meni je vseeno, če ga država noče, ampak če sem jaz z zakonom obvezan poslovati z državo, potem nočem, da to pomeni, da sem obvezan poslovati tudi z naključnimi podjetji, ki so s protizakonitim delovanjem prišla v tak položaj.

Wtf? Od kod imaš logiko, OSS==zakoniti posli / Non-OSS==protizakoniti posli ?!?
To kar ti zganjaš je čisti OSS terorizem! Postajaš OSS taliban, OSS salafist.
Izvajaš OSS đihad in skušaš uvesti OSS šarijo.

Tvoje navajanje 'protizakonitega delovanja' pri zaprtokodnih rešitvah je neposredna žalitev za vse avtorje teh rešitev. Korupcija pri prodaji nekih rešitev podjetjem ali državni upravi nima popolnoma nobene veze s tem, ali je neka rešitev odprtokodna ali zaprtokodna.

Sploh pa mi ni jasno, kaj greš ta svoj OSS đihad vpletati v diskusijo o popravkih bash-a, njihovem nameščanju in podpori pri nameščanju popravkov. Odpri si svojo OSS đihad temo in tam zbiraj somišljenike in v tisti temi izvajaj OSS veronauk in OSS maše.

AndrejO ::

Potegni glavo ven iz peska in povej kako izkoriščanje države za pospeševanje prodaje določenih produktov in (malomarno?) pristajanje javne uprave na sodelovanje pri tem pospeševanju ni nezakonito.

Tvoj problem je samo to, da še nisi pogruntal zakaj se ne spodobi, da bi na upravni enoti izdajali gradbena dovoljenja samo, če jih je pripravil Projektni Biro Moj Prijatelj d.o.o. in to opravičevali z "program ne podpira drugih".

Zgodovina sprememb…

  • spremenil: AndrejO ()

SeMiNeSanja ::

AndrejO je izjavil:

Potegni glavo ven iz peska in povej kako izkoriščanje države za pospeševanje prodaje določenih produktov in (malomarno?) pristajanje javne uprave na sodelovanje pri tem pospeševanju ni nezakonito.

Tvoj problem je samo to, da še nisi pogruntal zakaj se ne spodobi, da bi na upravni enoti izdajali gradbena dovoljenja samo, če jih je pripravil Projektni Biro Moj Prijatelj d.o.o. in to opravičevali z "program ne podpira drugih".

Zdaj pa še ti njemu hiteti v podporo?

Preberi kaj je topic.
Pojasni, kaj ima za mešati svoje anti-Windows frustracije v topic o Bash-u.
Kaj ima veze taka ali drugačna zloraba monopola ali korupcija pri nekem OS-u, kot tudi državna uprava in njene nakupovalne navade veze z BASH-om?!?

Kdorkoli gre mešati svoje Linux/OSS/Windows frustracije in travme v temo o BASH-u, je za mene obseden fanatik! Naj odpre svojo temo in tam diskutira do onemoglosti o svoji sveti vojni.

Gandalfar ::

Gandalfar je premaknil sporočila v Enterprise operacijski sistemi vs. OSS.

AndrejO ::

SeMiNeSanja je izjavil:

Preberi kaj je topic.

Vsebina zagotovo ni nekaj, kar terja obkladanja, kot so: terorizem, salafist, taliban, đihad. Ali je to po tvoje on-topic?

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bash skripta

Oddelek: Programiranje		243182 (2494) poweroff
»

Enterprise operacijski sistemi vs. OSS

Oddelek: Informacijska varnost		171993 (1804) dronyx
»

Izšla Fedora 16 (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi		5912275 (9719) Ales
»

Bash

Oddelek: Programiranje		192269 (1665) keworkian
»

Update SVN preko Apache (PHP)

Oddelek: Operacijski sistemi		51011 (953) Karlos

Več podobnih tem