Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-10-06 12:28:41

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Czy Bug ShellShock jest grozniejszy od Heartbleed

Dzien dobry,

Czy juz wszyscy czytali => http://www.technologyreview.com/view/531286/why-the … n-heartbleed/

Lista bledow jest dostepna tutaj => https://github.com/mubix/shellshocker-pocs

Ostatnio edytowany przez darius (2014-10-08 10:20:05)


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#2  2014-10-06 13:45:23

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Tydzień się spóźniłeś.


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#3  2014-10-06 15:26:40

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

mati75 napisał(-a):

Tydzień się spóźniłeś.

Uprawiasz niekonstruktywne czepialstwo :D

Niektóre ludzie żyją sobie w innych epokach, niektórzy nie wiedzą, że już jest 2014 i Stalin już nie żyje, inni ciągle myślą, że to jest 1982, to tydzień opóźnienia nie jest u nikogo niczym niezwykłym. :D

@darius

Bzdury, błąd w Bashu nie jest ważniejszy od hardcorowej dziury w OpenSSL, bo na błąd Basha masz w każdym systemie sporo różnych mechanizmów obronnych, np na "wielkie zagrożenie zdalne" skryptów CGI i Apacha masz  SElinuxa czy Apparmora, którymi można zablokować każde podejrzane działanie powłoki pozwalając uruchomić interpreter powłoki tylko w chronionym profilu systemu ACL, a tymczasem na sytuację, kiedy OpenSSL ujawnia klucz prywatny serwera nie było żadnej obrony i choćby jednej kropki czy przecinka  w logach.

Także na argument shellshok większe niż heartbleed przypomina się stary wierszyk. :D

To by było na tyle

Ostatnio edytowany przez Jacekalex (2014-10-06 15:36:03)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2014-10-06 16:05:44

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Czy ja wiem, czy tydzień? U was ten skrypt co jest na https://github.com/hannob/bashcheck bez problemu odhacza wszystkie podatności? U mnie 2 z nich w dalszym ciągu są:

Kod:

$ ./bashcheck
Testing /bin/bash ...
GNU bash, version 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

Offline

 

#5  2014-10-06 16:11:57

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

a ja tak z ciekawości: czym mi grozi ten bug na domowym netbooku?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#6  2014-10-06 16:56:37

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

ethanak napisał(-a):

a ja tak z ciekawości: czym mi grozi ten bug na domowym netbooku?

Jak to czym?

Wystarczy, ze masz np Javę  - wtyczkę do FF (tysiące ludzi ma),
a w standardowym systemie Linux przeglądarka może odpalić polecenie /bin/bash z dowolnymi parametrami.

Oczywiście teraz wszystkie najważniejsze przeglądarki mają jakieś piaskownice, ale wystarczy babol w takiej piaskownicy, i gotowe.
Plugin-container z FF woła o powłokę, a w każdej wersji jest około XX błędów i podatności.

Podobnie z innymi programami, nawet raz pamiętam taką dziurę, kiedy wklejenie kawałka loga do okna rozmowy Pidgina (charakterystyczna sekwencja znaków) powodowała natychmiastowe powieszenie Xserwera.

Nie zagłębiałem się w temat, czy to wina Pidgina, biblioteki Gtk, biblioteki libGL ze steru Nvidii czy Xorga, ale niedługo później i Xorg,
i Pidgin i ster Nvidii miały dosyć poważne aktualizacje bezpieczeństwa.

W domowym kompie za FW ryzyko nie jest koszmarnie wielkie, ale też istnieje, jeśli masz pod nosem jakąś niezidentyfikowaną dziurę w innym programie, która pozwala na zdalny dostęp i odpalenie lokalnie powłoki.

Póki nie sprawdzasz każdej linijki kodu każdego programu w kompie, to zawsze masz przed nosem jakąś liczbę nieodkrytych błędów, które ktoś  może wykorzystać, jeśli ma do nich dostęp.

Pojęcie "system bezpieczny i niebezpieczny" to jest pojęcie dwustanowe, bez stanów pośrednich, nieźle je opisuje angielskie przysłowie
"nie można być częściowo w ciąży", przy czym nie ma systemu, w którym nie ma ryzyka wystąpienia błędów, dlatego kryterium przyjmuje formułę:
"albo się poważnie traktuje i łata błędy bez nieuzasadnionej zwłoki, albo się te błędy w większym lub mniejszym stopniu  ignoruje".


To by było na tyle

___


morfik napisał(-a):

Czy ja wiem, czy tydzień? U was ten skrypt co jest na https://github.com/hannob/bashcheck bez problemu odhacza wszystkie podatności? U mnie 2 z nich w dalszym ciągu są:

Kod:

$ ./bashcheck
Testing /bin/bash ...
GNU bash, version 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

U mnie tylko jedna:

Kod:

Testing /bin/bash ...
GNU bash, version 4.2.52(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

Chociaż fakt faktem, ostatnimi czasy były w Gentusiu trzy alarmy z Bashem:
http://security.gentoo.org/glsa/glsa-201410-01.xml
http://security.gentoo.org/glsa/glsa-201409-10.xml
http://security.gentoo.org/glsa/glsa-201409-09.xml

Już w pewnym momencie zaczęło to wyglądać komicznie, u mnie:

     

Kod:

Thu Sep 25 02:30:11 2014 >>> app-shells/bash-4.2_p48
       merge time: 3 minutes and 54 seconds.

     Thu Sep 25 18:34:16 2014 >>> app-shells/bash-4.2_p48-r1
       merge time: 4 minutes and 6 seconds.

     Wed Oct  1 06:08:23 2014 >>> app-shells/bash-4.2_p50
       merge time: 2 minutes and 35 seconds.

     Thu Oct  2 00:31:11 2014 >>> app-shells/bash-4.2_p51
       merge time: 5 minutes and 10 seconds.

     Sun Oct  5 02:12:43 2014 >>> app-shells/bash-4.2_p52
       merge time: 3 minutes and 23 seconds.

Pewnie nie udało się załatać całkowicie Basha dotychczasowymi łatkami,
i trzeba spory kawał kodu przepisać, co musi potrwać.
Któreś Zsh też podobno miało tego babola.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-10-06 17:02:25)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2014-10-06 17:03:53

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Poczytalem tez ten artykul (przetlumaczycie sobie) http://www.silicon.fr/faille-shellshock-bash-tempet … ee-97165.html w ktorym jest cytowany nasz rodak Michal Zalewski (alias Icamtuf) znany odkrywca roznych bledow, ktory 27 i 30 wrzesnia 2014 sygnalizuje dwa powazne (morfik ma dwa i jacekalex jeden)

http://lcamtuf.blogspot.fr/2014/10/bash-bug-how-we- … -cracked.html

Ostatnio edytowany przez darius (2014-10-06 17:51:28)


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#8  2014-10-06 17:56:36

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Jacekalex napisał(-a):

Pojęcie "system bezpieczny i niebezpieczny" to jest pojęcie dwustanowe, bez stanów pośrednich, nieźle je opisuje angielskie przysłowie
"nie można być częściowo w ciąży", przy czym nie ma systemu, w którym nie ma ryzyka wystąpienia błędów, dlatego kryterium przyjmuje formułę:
"albo się poważnie traktuje i łata błędy bez nieuzasadnionej zwłoki, albo się te błędy w większym lub mniejszym stopniu  ignoruje".

Tylko w teorii.
W praktyce nie ma 100% bezpiecznych systemów i zawsze jest się tylko „częściowo w ciąży”.
Dlatego niektóre mniej krytyczne błędy są przez jakiś czas zwyczajnie ignorowane bo naprawa ich powoduje kolejne problemy, a 100% i tak nigdy się nie osiągnie.

Offline

 

#9  2014-10-06 18:02:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

yossarian napisał(-a):

Jacekalex napisał(-a):

Pojęcie "system bezpieczny i niebezpieczny" to jest pojęcie dwustanowe, bez stanów pośrednich, nieźle je opisuje angielskie przysłowie
"nie można być częściowo w ciąży", przy czym nie ma systemu, w którym nie ma ryzyka wystąpienia błędów, dlatego kryterium przyjmuje formułę:
"albo się poważnie traktuje i łata błędy bez nieuzasadnionej zwłoki, albo się te błędy w większym lub mniejszym stopniu  ignoruje".

Tylko w teorii.
W praktyce nie ma 100% bezpiecznych systemów i zawsze jest się tylko „częściowo w ciąży”.
Dlatego niektóre mniej krytyczne błędy są przez jakiś czas zwyczajnie ignorowane bo naprawa ich powoduje kolejne problemy, a 100% i tak nigdy się nie osiągnie.

Nic innego nie napisałem.

Niektóre błędy są łatane dłużej, bo po prostu developerzy poszczególnych aplikacji i systemów nie mają nieskończonej ilości czasu i pieniędzy, żeby zajmować się każdym babolem.

Nawet w szacownych korpo nie da się skutecznie zapewnić bezpiecznego systemu, choć ilość kasy na ten cel w takim np Microsofcie jest taka, jakiej w ekosystemie Linuxa nikt nawet w telewizji nie widział.

Nie mniej jednak, nie jest źle, generalnie i tak mamy dużo bezpieczniejsze systemy, niż M$, Apple czy Android.

Pozdro
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2014-10-06 20:24:59

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

1087

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:13)

Offline

 

#11  2014-10-06 21:41:29

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Kod:

Testing /bin/bash ...
GNU bash, wersja 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#12  2014-10-06 23:21:09

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

No i wszyscy mamy podatne systemy. W końcu windows jest w czymś lepszy niż linux. xD

Ostatnio edytowany przez morfik (2014-10-06 23:21:20)

Offline

 

#13  2014-10-06 23:42:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

morfik napisał(-a):

No i wszyscy mamy podatne systemy. W końcu windows jest w czymś lepszy niż linux. xD

Pod tym jednakże warunkiem, że powłoka systemowa Windows nie ma groźniejszych dziur, zazwyczaj ma takich kilka. :D

Przy okazji, nie wiem, kto jeszcze zauważył, ale Gentuś tutaj zdeklasował rywali, ma tylko  jedną podatność CVE w Bashu, a Debian i Fedora po dwie.
CVE-2014-6277 w Gentusiu jest już załatane,w innych prezentowanych Linuxach dopiero będzie. xD


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#14  2014-10-06 23:55:42

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

M. Zalewski (Icamtuf) zaleca zainstalowanie patcha stworzonego przez inżyniera z Red Hat, Floriana Weiner, ktory opiera się na filtrowaniu zmiennych środowiskowych. Radykalny sposób.


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#15  2014-10-07 00:38:10

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Lepszy sposób, to założenie, że programy dzielą się na te, co będą wkrótce miały hardcorowe dziury, i na te, co już mają hardcorowe dziury. xD

Tutaj macie taki mały sposób, żeby hardcorowo dziurawy Bash nie był taki straszny:
http://jacekalex.sh.dug.net.pl/apparmor/usr.lib64.f … container.txt

I nie jest zbyt istotne dla systemu, jakie zmienne można zadeklarować  w bashu, ważniejsze jest, co realnie można zrobić przy pomocy basha i  tych zmiennych. :D

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2014-10-07 00:44:48)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#16  2014-10-07 08:35:13

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Najnowsza aktualizacja basha w gentoo

Kod:

winnetou@hordeum-vulgare ~ $ /usr/local/src/bashcheck/bashcheck 
Testing /bin/bash ...
GNU bash, version 4.2.53(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#17  2014-10-07 09:36:57

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Zgadza się, przed chwilką zaktualizowałem:

Kod:

Testing /bin/bash ...
GNU bash, version 4.2.53(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

Ciekawe, co tam w Debianach, Buntach i Fedorach słychać. ;)

Debian Jessie - Bash aktualizowany przed minutą - wersja 4.3-10 (wg dpkg):

Kod:

Testing /bin/bash ...
GNU bash, wersja 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

Jak na razie, Gentoo <> Debian Jessie  2:0.
Gentuś ma o dwie dziury w Bashu mniej.
Ciekawe, ile zajmie wyrównanie. :D

Ostatnio edytowany przez Jacekalex (2014-10-07 15:25:02)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#18  2014-10-07 09:38:59

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

The most important fix you need is one of the prefix/suffix-patches. Upstream patch number for this is bash042-050 and bash043-027 (patches for older versions also available). This patch was originally created by RedHat developer Florian Weimer and a modified version was applied by Bash developer Chet Ramey.

Once you have this prefix patch all other vulnerabilities are not exploitable. They are still bugs that should be fixed, but there is nothing to worry about.

Offline

 

#19  2014-10-07 12:26:55

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Debian Sid aktualizowany przed minuta

Kod:

Testing /bin/bash ...
GNU bash, version 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

tez nie daje dobrych nadzieju a obroncy twierdza, ze problem jest rozwiazany.


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#20  2014-10-07 12:42:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

darius napisał(-a):

Debian Sid aktualizowany przed minuta
....
tez nie daje dobrych nadzieju a obroncy twierdza, ze problem jest rozwiazany.

Debian i inne duże uniwersalne dystrybucje mają jeden problem:
Kilka architektur sprzętowych, do tego wydania, stable, oldstable, testing, sid, do tego jeszcze kFreeBSD na innym jaju, a ludzi i kasy trochę jest, ale nie jest to źródło bez dna.

Dlaczego w Gentoo już są załatane obie dziury, a Debian ma opóźnienie?
W Gentoo Developerzy nie zajmują się paczkologią, tylko przygotowują ebuildy i obrabiają bugzillę, natomiast flagi kompilatora, wersje systemu (testing, stable, experimental), architektura, to już problem pacjenta i społeczności.

Dzięki temu każdy pacjent liźnie trochę developerki na własnym kompie,
i cholernie skutecznie poznaje w ten sposób Linuxa, a Developer nie musi paczkować programu na dwadzieścia rożnych wersji i architektur.

Krótko pisząc, z punktu widzenia developerów system dosyć ekologiczny, punktu użyszkodnika bezpieczny,  stabilny i przewidywalny, chyba, że ktoś jest tak odporny na doświadczenia empiryczne, że Debian też jest za trudny. :DDD

Pozdro
;)

Ostatnio edytowany przez Jacekalex (2014-10-07 12:43:10)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#21  2014-10-07 13:05:14

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

1089

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:15)

Offline

 

#22  2014-10-07 13:58:35

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

To co z takiego błędu może wyniknąć to też raczej nikt nie wie. Przecie tak samo było z tym pierwszym shellshockiem --  zaczeli experymentować i nagle się syf zrobił. :] Poza tym, ja próbowałem sobie pobrać źródła debianowe i nałożyć na nie te patche upstreamowe, bo z tego co ludzie piszą, to upstream już załatał wszystkie te dziury i patche są gotowe. Tylko co z tego, że pache są, jak w debianie nie idzie ich założyć, bo sypie błędami? xD Na niezdebianizowanych źródłach, te patche wchodzą bez problemu. Dlatego raczej poczekamy jeszcze zanim te ostatnie łaty wejdą do debiana.

Offline

 

#23  2014-10-07 15:21:53

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

uzytkownikubunt napisał(-a):

Przecież jest wyraźnie napisane: Found non-exploitable - znaleziono błąd, jednak nie jest on wykorzystywalny do ataku.

W zasadzie tak, ale tylko do czasu, aż ktoś nie wpadnie na pomysł, jak go wykorzystać.

W informatyce nie ma rzeczy niemożliwych, są tylko czasem trudniejsze do zrobienia.

A jak wiadomo od czasów starozytnych:

"zdarzają się takie rzeczy na niebie i ziemi, o których nie śniło się największym filozofom"

Pisane z pamięci - nie jest to dosłowny cytat, ale sens jest  właśnie taki.

Ostatnio edytowany przez Jacekalex (2014-10-07 15:23:18)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#24  2014-10-07 16:26:12

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Jacekalex napisał(-a):

uzytkownikubunt napisał(-a):

Przecież jest wyraźnie napisane: Found non-exploitable - znaleziono błąd, jednak nie jest on wykorzystywalny do ataku.

W zasadzie tak, ale tylko do czasu, aż ktoś nie wpadnie na pomysł, jak go wykorzystać.

To samo można napisać o każdym z tysięcy pakietów. O każdym programie, każdym systemie operacyjnym etc.
Dla mnie całe zamieszanie z luką w bashu zakończyło się na:

They are still bugs that should be fixed, but there is nothing to worry about.

Widocznie jestem ignorantem ;)

Offline

 

#25  2014-10-07 16:43:25

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Podobnie podchodzą ci z windowsa, tylko chyba w nieco szerszym zakresie. xD

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)