Master-X
Форум | Новости | Статьи
Главная » Форум » Хостинги / Домены / Железо » 
Тема: Инет опять под угрозой ...
цитата
27/09/14 в 00:10
 Nux
Цитата:
«Эта уязвимость позволяет злоумышленникам передавать специально созданные переменные окружения, содержащие произвольные команды, которые могут выполняться на уязвимых системах. Это особенно опасно по причине того, что оболочка Bash очень распространена и может быть вызвана приложениями разными способами». Кроме того, в CERT назвали степень проникновения уязвимости высокой (10 баллов), а сложность низкой.



http://www.3dnews.ru/902506

http://blog.kaspersky.ru/what_is_the_bash_vulnerability/5356/
цитата
27/09/14 в 03:06
 Evial
вчера еще обновили на серверах icon_rolleyes.gif smail54.gif
цитата
27/09/14 в 10:57
 WorldTraffic
ребята, так а что делать надо? что админам сказать то?
цитата
27/09/14 в 12:02
 EvGenius
что-то я не нахожу реального примера использования.
ну да, из командной строки вроде работает. обновился - перестало.

а в реальной жизни, как извне кто-то добраться до bash'а этого сможет?
цитата
27/09/14 в 14:04
 nocookie
world-gay-sex писал:
ребята, так а что делать надо? что админам сказать то?


они могут не понять что надо делать, прочитав инфу по ссылкам в первом посте?
цитата
27/09/14 в 18:12
 vkusnoserver
world-gay-sex, в шелле введите:
Код:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Если система уязвима, то:
Код:
vulnerable
this is a test

Если все окей, то:
Код:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
цитата
27/09/14 в 19:26
 Evial
Там два патча выходило. После первого патча работал вот такой код

env X='() { (a)=>\' bash -c "echo date"; cat echo

если дату не выводит, то все ок.
цитата
30/09/14 в 21:59
 Камилла
Насколько я понимаю, найденная уязвимость уже указывает на то, что над её устранением начали работать... Жаль, конечно, что всё такое... несовершенное, но разве когда-то было иначе?
цитата
30/09/14 в 22:23
 Nux
она скорее указывает на то, что те кому нужно ее уже использовали icon_smile.gif
цитата
03/10/14 в 15:21
 Glueon
Кому интересно - технические детали по уязвимости:
http://lwn.net/Articles/614614/
http://lcamtuf.blogspot.com/2014/09/quick-notes-about-bash-bug-its-impact.html
Достаточно занятно icon_cool.gif

Чекер уязвимостей: https://github.com/hannob/bashcheck
Цитата:
wget https://github.com/hannob/bashcheck/archive/master.zip
unzip master.zip
sh bashcheck-master/bashcheck
цитата
04/10/14 в 21:05
 Камилла
Nux писал:
она скорее указывает на то, что те кому нужно ее уже использовали icon_smile.gif

Ну, это само собой.

Техническая уязвимость - это ещё что. Я тут свежим взглядом посмотрела на название темы и как-то не к месту вспомнила о планах российского правительства на отключение Интернета при определённых внутренне-политических условиях... icon_rolleyes.gif icon_smile.gif


Эта страница в полной версии