Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2014-10-07 17:03:59

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

jacekalex napisał(-a):

Krótko pisząc, z punktu widzenia developerów system dosyć ekologiczny, punktu użyszkodnika bezpieczny,  stabilny i przewidywalny, chyba, że ktoś jest tak odporny na doświadczenia empiryczne, że Debian też jest za trudny.

Pozwolisz, ze sobie jednak odpuszcze Twoj ulubiony system. smile

uzytkownikubunt[/quote napisał(-a):


Przecież jest wyraźnie napisane: Found non-exploitable

Nie bede negowal ale wedlug mnie to jest zaklejone kitem co zreszta nie ma duzego znaczenia poniewaz w tym momencie "trenuje" BSD i domyslnie inny shell

Ostatnio edytowany przez darius (2014-10-07 17:55:05)


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#27  2014-10-07 19:28:36

  davidoski - Użytkownik

davidoski
Użytkownik
Skąd: Poznań
Zarejestrowany: 2007-04-17

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Tytuł wątku przypomina stary dowcip: "Kto jest twoim największym ideałem i dlaczego właśnie Lenin?".

Offline

 

#28  2014-10-07 19:29:47

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Cicho bo znów zamkną wątek i jak tak dalej pójdzie to będzie dug tylko do odczytu. xD

Offline

 

#29  2014-10-07 20:10:07

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

davidoski napisał(-a):

Tytuł wątku przypomina stary dowcip

Moze zle przetlumaczylem => http://www.technologyreview.com/view/531286/why-the … n-heartbleed/ ?


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#30  2014-10-07 22:00:03

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

1092

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:19)

Offline

 

#31  2014-10-07 22:14:16

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Ja tam nie widzę nigdzie błędu. W oryginalne i w tym temacie nie widać znaka zapytania. xD Nie jest to zatem pytanie a twierdzenie. Samo "why" o niczym też nie świadczy. Choć co ja tam wiem o gramatyce, ja tylko mówię jak ludzie piszą. xD

Offline

 

#32  2014-10-07 22:23:38

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

1093

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:20)

Offline

 

#33  2014-10-08 01:25:35

  Elder - Członek z ramienia...

Elder
Członek z ramienia...
Skąd: Lubaczów
Zarejestrowany: 2008-05-26
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Po dzisiejszej aktualizacji bash-a (debian sid):

Kod:

sh bashcheck.sh 
-e Testing /bin/bash ...
GNU bash, wersja 4.3.30(1)-release (x86_64-pc-linux-gnu)
-e 
-e Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
-e Not vulnerable to CVE-2014-6271 (original shellshock)
-e Not vulnerable to CVE-2014-7169 (taviso bug)
bashcheck.sh: 50: [: 1: unexpected operator
bashcheck.sh: 50: [: 0: unexpected operator
-e Not vulnerable to CVE-2014-7186 (redir_stack bug)
bashcheck.sh: 3: [: 0: unexpected operator
-e Found non-exploitable CVE-2014-7187 (nested loops off by one)
-e Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
-e Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

Dell M4500 [ i5-540M | NV FX1800M]
linux registered user #481040
http://dl.dropbox.com/u/53204815/snoozer_likelinux_man.gif

Offline

 

#34  2014-10-08 02:34:20

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Kod:

bash (4.3-11) unstable; urgency=medium
 .
   * Apply upstream patches 028 - 030.

I u mnie po instalacji też już fixneło te błędy. xD

Offline

 

#35  2014-10-08 06:41:52

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Znakomity "przewrot" sytuacji od samego rana (Sid)

Kod:

Testing /bin/bash ...
GNU bash, version 4.3.30(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

Chyba trzeba zmienic tytul na "Czy Bug ShellShock jest grozniejszy od Heartbleed" aby nie stresowac ludzi.


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#36  2014-10-08 06:59:34

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.

Od tej dziury w Bashu może oberwać tylko serwer o cukierkowym modelu bezpieczeństwa, a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.

Przez "cukierkową ochronę" rozumiem sytuację, kiedy mamy np twardą skorupę typu firewall (to ma być niby bezpieczeństwo), a po pokonaniu tego podstawowego zabezpieczenia mamy miękkie wnętrze, gdzie praktycznie nie ma żadnych silnych barier zdolnych obronić system przed skompromitowaniem.

Heartbleed był groźniejszy dlatego, że można było z niego korzystać latami bez żadnego śladu, kradnąc  najważniejsze tajemnice, i nie było żadnego mechanizmu wewnątrz systemów operacyjnych, zdolnej do ochrony przed taką podatnością, lub minimalizującego związane z nią ryzyko.

Ostatnio edytowany przez Jacekalex (2014-10-08 14:18:46)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#37  2014-10-08 10:19:40

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Jacekalex napisał(-a):

Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.

Bardzo nie lubie sie "sprzeczac" ale jezeli nic nie wiesz o dziurze to nie jestes zabezpieczony.  A cytowalem faceta godnego zaufania https://www.google.com/search?q=Cesar+Cerrudo&i … mp;channel=sb

a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.

Tak mi sie spodobalo, ze smieje od samego rana. smile


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)