Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
Хостинги / Домены / Железо
»
Тема:
Инет опять под угрозой ...
Новая тема
Ответить
цитата
27/09/14 в 00:10
Nux
Цитата:
«Эта уязвимость позволяет злоумышленникам передавать специально созданные переменные окружения, содержащие произвольные команды, которые могут выполняться на уязвимых системах. Это особенно опасно по причине того, что оболочка Bash очень распространена и может быть вызвана приложениями разными способами». Кроме того, в CERT назвали степень проникновения уязвимости высокой (10 баллов), а сложность низкой.
http://www.3dnews.ru/902506
http://blog.kaspersky.ru/what_is_the_bash_vulnerability/5356/
цитата
27/09/14 в 03:06
Evial
вчера еще обновили на серверах
цитата
27/09/14 в 10:57
WorldTraffic
ребята, так а что делать надо? что админам сказать то?
цитата
27/09/14 в 12:02
EvGenius
что-то я не нахожу реального примера использования.
ну да, из командной строки вроде работает. обновился - перестало.
а в реальной жизни, как извне кто-то добраться до bash'а этого сможет?
цитата
27/09/14 в 14:04
nocookie
world-gay-sex писал:
ребята, так а что делать надо? что админам сказать то?
они могут не понять что надо делать, прочитав инфу по ссылкам в первом посте?
цитата
27/09/14 в 18:12
vkusnoserver
world-gay-sex
, в шелле введите:
Код:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Если система уязвима, то:
Код:
vulnerable
this is a test
Если все окей, то:
Код:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
цитата
27/09/14 в 19:26
Evial
Там два патча выходило. После первого патча работал вот такой код
env X='() { (a)=>\' bash -c "echo date"; cat echo
если дату не выводит, то все ок.
цитата
30/09/14 в 21:59
Камилла
Насколько я понимаю, найденная уязвимость уже указывает на то, что над её устранением начали работать... Жаль, конечно, что всё такое... несовершенное, но разве когда-то было иначе?
цитата
30/09/14 в 22:23
Nux
она скорее указывает на то, что те кому нужно ее уже использовали
цитата
03/10/14 в 15:21
Glueon
Кому интересно - технические детали по уязвимости:
http://lwn.net/Articles/614614/
http://lcamtuf.blogspot.com/2014/09/quick-notes-about-bash-bug-its-impact.html
Достаточно занятно
Чекер уязвимостей:
https://github.com/hannob/bashcheck
Цитата:
wget
https://github.com/hannob/bashcheck
/archive/master.zip
unzip master.zip
sh bashcheck-master/bashcheck
цитата
04/10/14 в 21:05
Камилла
Nux писал:
она скорее указывает на то, что те кому нужно ее уже использовали
Ну, это само собой.
Техническая уязвимость - это ещё что. Я тут свежим взглядом посмотрела на название темы и как-то не к месту вспомнила о планах российского правительства на отключение Интернета при определённых внутренне-политических условиях...
Новая тема
Ответить
Эта страница в полной версии