Forum » Informacijska varnost » Bash is your friend
Bash is your friend
Temo vidijo: vsi
ABX ::
Ta je resna in dejte takoj uredit zadevo če imate apači server. V stilu spusti vse in reši ZDAJ!
Fix za Ubuntu.
http://askubuntu.com/questions/528101/w...
Fix za Ubuntu.
http://askubuntu.com/questions/528101/w...
Vaša inštalacija je uspešno spodletela!
jype ::
Ni fix:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
Ales ::
Tale novica bi že od včeraj morala biti na prvi strani Slo-Techa...
@hojnikb, bug je "samo" v bashu. Če si ti kaj našel, obvesti direktno avtorje dasha in ne piši sem na forum.
@hojnikb, bug je "samo" v bashu. Če si ti kaj našel, obvesti direktno avtorje dasha in ne piši sem na forum.
jype ::
Ales> Tale novica bi že od včeraj morala biti na prvi strani Slo-Techa...
Ne more bit, dokler ni patcha, k bi kdo še not pršu.
Ne more bit, dokler ni patcha, k bi kdo še not pršu.
Ales ::
hojnikb ::
[root@kirkwood ~]# env x='() { :;}; echo vulnerable' bash -c 'echo hello'
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello
[root@kirkwood ~]#
i'm in the clear :)
#brezpodpisa
jype ::
hojnikb> i'm in the clear :)
Nisi, ker:
Nisi, ker:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
hojnikb ::
Then run:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
And if you get:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Then you're all good!
#brezpodpisa
pegasus ::
Eh? Kako je zdej to bug? Js sm mislu da je to feature ... že vidim da bom moral neplanirano nekaj starih skript it popravljat ;)
ABX ::
hojnikb> i'm in the clear :)
Nisi, ker:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
# env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
still vulnerable :(
Mi ne deluje da tvoja koda dela. Ali ni za CLI?
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
jype ::
Očitno deluje, če ti je bash ustvaril datoteko z imenom echo in vanjo zapisal niz "vuln", ne da bi ti to od njega zahteval.
zee ::
Isto za Debian.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
trnvpeti ::
radiokills je izjavil:
In bash si odinštaliral al kako?
tam kjer je se ostal
ko(ce) se bo rabil, se bo dodal
BlaY0 ::
A pa si ti to sploh prebral oziroma razumeš kaj piše?
Tega se lahko bojijo predvsem tisti, ki ne razumejo točno zakaj gre. Recimo razni wannabe {sys,web}admini, ki so do zdaj 3x s CDja inštaliral Ubuntu Linugze pa potem gor zdeployal Wordpress po copy/paste navodilih z YouTubea.
Si pa predstavljam da je takih "{sys,web}adminov" in posledično "postavitev" velika večina.
Drugače pa, strah je ena taka kul zadeva, ki se je in se bo vedno zelo dobro prodajala...
Tega se lahko bojijo predvsem tisti, ki ne razumejo točno zakaj gre. Recimo razni wannabe {sys,web}admini, ki so do zdaj 3x s CDja inštaliral Ubuntu Linugze pa potem gor zdeployal Wordpress po copy/paste navodilih z YouTubea.
Si pa predstavljam da je takih "{sys,web}adminov" in posledično "postavitev" velika večina.
Drugače pa, strah je ena taka kul zadeva, ki se je in se bo vedno zelo dobro prodajala...
js osebno ::
~/media env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :(" echo vuln cat: echo: No such file or directory
A to je pol ok?
johnnyyy ::
Torej če prav razumem, je problem v tem, da bash spremenljivke, ki so ukazi požene.
V primeru, da lahko nekdo oddaljeno požene CGI skripto se le ta zažene pod Apache userjem. Pa me zanima ali je kdo poizkušal ta napad v praksi izvesti in kako se je potem apparmor odzival na to (je preprečil ali ni)?
V primeru, da lahko nekdo oddaljeno požene CGI skripto se le ta zažene pod Apache userjem. Pa me zanima ali je kdo poizkušal ta napad v praksi izvesti in kako se je potem apparmor odzival na to (je preprečil ali ni)?
MrStein ::
Sej oni so tut vulnerable, sam ne vejo še.
Kaj ima to veze? A potem je pravilno, da se na papirni izdaji objavi novica?
(ja ja, vem komu odgovarjam)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
dronyx ::
Ali moraš imeti pri RHEL kupljeno naročnino na support, da lahko preneseš iz interneta popravek za to ranljivost?
ABX ::
Ali moraš imeti pri RHEL kupljeno naročnino na support, da lahko preneseš iz interneta popraveke?
Da
Vaša inštalacija je uspešno spodletela!
SeMiNeSanja ::
Na VSAKI -UX platformi si lahko preneseš bash source kodo, jo prevedeš in namestiš - tudi če nimaš naročnino na support - ampak po 'klasični' metodi.
Sem to zadnjič naredil za 10+ let staro Linux mašino in res ne vem, zakaj naj nebi bilo možno na RHEL...
Sem to zadnjič naredil za 10+ let staro Linux mašino in res ne vem, zakaj naj nebi bilo možno na RHEL...
Ales ::
@dronyx, lahko snameš original Red Hat srpm, ki je prosto dostopen, in iz njega narediš rpm ter namestiš tega. Na ta način ostane tvoja namestitev Red Hat-a praktično enaka upstreamu... Ali pa namestiš rpm direktno iz CentOS-a ali Scientific Linuxa, za večino potreb lahko njihove pakete jemlješ kot čisti ekvivalent.
Sourci za RHEL 6:
http://ftp.redhat.com/pub/redhat/linux/...
Za RHEL 7 pa je upstream source dostopen preko CentOS-a:
https://git.centos.org/project/rpms
Sourci za RHEL 6:
http://ftp.redhat.com/pub/redhat/linux/...
Za RHEL 7 pa je upstream source dostopen preko CentOS-a:
https://git.centos.org/project/rpms
dronyx ::
Ker nisem strokovnjak za Linux bi prosil še za nekaj informacij. Imamo par Linux RHEL strežnikov za katere je z zunanjim izvajalcem sklenjena vzdrževalna pogodba, po kateri morajo tudi nameščati vse kritične popravke. Na strežnikih sicer teče IBM programska oprema, ki je certificirana za točno določene OS, med drugim tudi za določene distribucije Linuxa, tako da smo s tem omejeni. Ob namestitvi sistemov je bila kupljena tudi naročnina na RHEL za eno leto, ki pa je že potekla. Pogodbeni vzdrževalec sicer do sedaj ni nič omenil, da nima dostopa do popravkov, sedaj pa trdi, da brez naročnine do tega nismo upravičeni. Lahko sicer namesti popravek iz CentOS, ampak v tem primeru na "mojo odgovornost", kar v praksi pomeni, da karkoli bo šlo na tem strežniku narobe v prihodnje sem kriv jaz, ker sem dovolil neke bližnjice, ki niso uradno podprte...
Torej v primeru RHEL moraš imeti sklenjeno naročnino na support, če želiš nameščati popravke, tudi kritične? Je ta naročnina vezana na posamezen strežnik, firmo ali kaj drugega? Če je na posamezni strežnik gre predvidevam za letno naročnino in če imaš tak strežnik v produkciji več let ta cifra potem samo raste. Pri MS kupiš enkrat licenco in imaš dostopne popravke za časa življenjske dobe produkta.
Torej tu razlika v ceni potem sploh ni tako velika, kot skušajo nekateri prikazati, saj takšne strežnike ne moreš imeti v produkciji brez dostopa do popravkov.
Torej v primeru RHEL moraš imeti sklenjeno naročnino na support, če želiš nameščati popravke, tudi kritične? Je ta naročnina vezana na posamezen strežnik, firmo ali kaj drugega? Če je na posamezni strežnik gre predvidevam za letno naročnino in če imaš tak strežnik v produkciji več let ta cifra potem samo raste. Pri MS kupiš enkrat licenco in imaš dostopne popravke za časa življenjske dobe produkta.
Torej tu razlika v ceni potem sploh ni tako velika, kot skušajo nekateri prikazati, saj takšne strežnike ne moreš imeti v produkciji brez dostopa do popravkov.
Ales ::
IMHO, težko sodimo o tem, kake so vaše dejanske poslovne potrebe glede certificiranosti oz. uporabe enterprise OS-ov, kot je RHEL, je pa to zanimivo vprašanje. Čudno, da se to sprašujete šele ko zagusti in še to z zamikom treh tednov. Bo mogoče čas, da nekdo dobi nogo zaradi malomarnosti?
Predlagam, da o tem odpreš posebno temo, to res nima kaj dosti veze z bash...
Predlagam, da o tem odpreš posebno temo, to res nima kaj dosti veze z bash...
Invictus ::
Ker nisem strokovnjak za Linux bi prosil še za nekaj informacij. Imamo par Linux RHEL strežnikov za katere je z zunanjim izvajalcem sklenjena vzdrževalna pogodba, po kateri morajo tudi nameščati vse kritične popravke. Na strežnikih sicer teče IBM programska oprema, ki je certificirana za točno določene OS, med drugim tudi za določene distribucije Linuxa, tako da smo s tem omejeni.
Edina zahteva IBM programske opreme je da ima gor knjižnice, ki jih rabi. Sicer oni to vežejo na neko distribucijo, ampak sam sem dajal IBM software na Ubuntu,ki sploh ni podprt.
Glede na to da nimate plačanega supporta za RHEL, predvidevam da ga ne plačujete tudi za IBM.
Sicer pa, če je IBM app tako pomemben, kje za hudiča imaš testni sistem za testiranje popravkov?
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
SeMiNeSanja ::
SeMiNeSanja> tudi tistim, ki ga nočejo?
Meni je vseeno, če ga država noče, ampak če sem jaz z zakonom obvezan poslovati z državo, potem nočem, da to pomeni, da sem obvezan poslovati tudi z naključnimi podjetji, ki so s protizakonitim delovanjem prišla v tak položaj.
Wtf? Od kod imaš logiko, OSS==zakoniti posli / Non-OSS==protizakoniti posli ?!?
To kar ti zganjaš je čisti OSS terorizem! Postajaš OSS taliban, OSS salafist.
Izvajaš OSS đihad in skušaš uvesti OSS šarijo.
Tvoje navajanje 'protizakonitega delovanja' pri zaprtokodnih rešitvah je neposredna žalitev za vse avtorje teh rešitev. Korupcija pri prodaji nekih rešitev podjetjem ali državni upravi nima popolnoma nobene veze s tem, ali je neka rešitev odprtokodna ali zaprtokodna.
Sploh pa mi ni jasno, kaj greš ta svoj OSS đihad vpletati v diskusijo o popravkih bash-a, njihovem nameščanju in podpori pri nameščanju popravkov. Odpri si svojo OSS đihad temo in tam zbiraj somišljenike in v tisti temi izvajaj OSS veronauk in OSS maše.
AndrejO ::
Potegni glavo ven iz peska in povej kako izkoriščanje države za pospeševanje prodaje določenih produktov in (malomarno?) pristajanje javne uprave na sodelovanje pri tem pospeševanju ni nezakonito.
Tvoj problem je samo to, da še nisi pogruntal zakaj se ne spodobi, da bi na upravni enoti izdajali gradbena dovoljenja samo, če jih je pripravil Projektni Biro Moj Prijatelj d.o.o. in to opravičevali z "program ne podpira drugih".
Tvoj problem je samo to, da še nisi pogruntal zakaj se ne spodobi, da bi na upravni enoti izdajali gradbena dovoljenja samo, če jih je pripravil Projektni Biro Moj Prijatelj d.o.o. in to opravičevali z "program ne podpira drugih".
Zgodovina sprememb…
- spremenil: AndrejO ()
SeMiNeSanja ::
Potegni glavo ven iz peska in povej kako izkoriščanje države za pospeševanje prodaje določenih produktov in (malomarno?) pristajanje javne uprave na sodelovanje pri tem pospeševanju ni nezakonito.
Tvoj problem je samo to, da še nisi pogruntal zakaj se ne spodobi, da bi na upravni enoti izdajali gradbena dovoljenja samo, če jih je pripravil Projektni Biro Moj Prijatelj d.o.o. in to opravičevali z "program ne podpira drugih".
Zdaj pa še ti njemu hiteti v podporo?
Preberi kaj je topic.
Pojasni, kaj ima za mešati svoje anti-Windows frustracije v topic o Bash-u.
Kaj ima veze taka ali drugačna zloraba monopola ali korupcija pri nekem OS-u, kot tudi državna uprava in njene nakupovalne navade veze z BASH-om?!?
Kdorkoli gre mešati svoje Linux/OSS/Windows frustracije in travme v temo o BASH-u, je za mene obseden fanatik! Naj odpre svojo temo in tam diskutira do onemoglosti o svoji sveti vojni.
AndrejO ::
SeMiNeSanja je izjavil:
Preberi kaj je topic.
Vsebina zagotovo ni nekaj, kar terja obkladanja, kot so: terorizem, salafist, taliban, đihad. Ali je to po tvoje on-topic?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Bash skriptaOddelek: Programiranje | 3233 (2545) | poweroff |
» | Enterprise operacijski sistemi vs. OSSOddelek: Informacijska varnost | 2038 (1849) | dronyx |
» | Izšla Fedora 16 (strani: 1 2 )Oddelek: Novice / Operacijski sistemi | 12392 (9836) | Ales |
» | BashOddelek: Programiranje | 2301 (1697) | keworkian |
» | Update SVN preko Apache (PHP)Oddelek: Operacijski sistemi | 1030 (972) | Karlos |