Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
- Forum Debian Users Gang
- » Luźne rozmówki
- » Czy Bug ShellShock jest grozniejszy od Heartbleed
#26 2014-10-07 17:03:59
darius - 
Użytkownik
- darius
- Użytkownik
- Skąd: Paryz/Wilanow
- Zarejestrowany: 2014-03-21
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
jacekalex napisał(-a):
Krótko pisząc, z punktu widzenia developerów system dosyć ekologiczny, punktu użyszkodnika bezpieczny, stabilny i przewidywalny, chyba, że ktoś jest tak odporny na doświadczenia empiryczne, że Debian też jest za trudny.
Pozwolisz, ze sobie jednak odpuszcze Twoj ulubiony system. smile
uzytkownikubunt[/quote napisał(-a):
Przecież jest wyraźnie napisane: Found non-exploitable
Nie bede negowal ale wedlug mnie to jest zaklejone kitem co zreszta nie ma duzego znaczenia poniewaz w tym momencie "trenuje" BSD i domyslnie inny shell
Ostatnio edytowany przez darius (2014-10-07 17:55:05)
Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux
Offline
#27 2014-10-07 19:28:36
davidoski - Użytkownik
- davidoski
- Użytkownik
- Skąd: Poznań
- Zarejestrowany: 2007-04-17
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
Tytuł wątku przypomina stary dowcip: "Kto jest twoim największym ideałem i dlaczego właśnie Lenin?".
Offline
#28 2014-10-07 19:29:47
morfik - Cenzor wirtualnego świata
#29 2014-10-07 20:10:07
darius - Użytkownik
- darius
- Użytkownik
- Skąd: Paryz/Wilanow
- Zarejestrowany: 2014-03-21
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
davidoski napisał(-a):
Tytuł wątku przypomina stary dowcip
Moze zle przetlumaczylem => http://www.technologyreview.com/view/531286/why-the … n-heartbleed/ ?
Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux
Offline
#30 2014-10-07 22:00:03
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
1092
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:19)
Offline
#31 2014-10-07 22:14:16
morfik - Cenzor wirtualnego świata
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
Ja tam nie widzę nigdzie błędu. W oryginalne i w tym temacie nie widać znaka zapytania. xD Nie jest to zatem pytanie a twierdzenie. Samo "why" o niczym też nie świadczy. Choć co ja tam wiem o gramatyce, ja tylko mówię jak ludzie piszą. xD
Offline
#32 2014-10-07 22:23:38
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
1093
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:20)
Offline
#33 2014-10-08 01:25:35
Elder - Członek z ramienia...
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
Po dzisiejszej aktualizacji bash-a (debian sid):
Kod:
sh bashcheck.sh -e Testing /bin/bash ... GNU bash, wersja 4.3.30(1)-release (x86_64-pc-linux-gnu) -e -e Variable function parser pre/suffixed [%%, upstream], bugs not exploitable -e Not vulnerable to CVE-2014-6271 (original shellshock) -e Not vulnerable to CVE-2014-7169 (taviso bug) bashcheck.sh: 50: [: 1: unexpected operator bashcheck.sh: 50: [: 0: unexpected operator -e Not vulnerable to CVE-2014-7186 (redir_stack bug) bashcheck.sh: 3: [: 0: unexpected operator -e Found non-exploitable CVE-2014-7187 (nested loops off by one) -e Not vulnerable to CVE-2014-6277 (lcamtuf bug #1) -e Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)
Dell M4500 [ i5-540M | NV FX1800M]
linux registered user #481040
Offline
#34 2014-10-08 02:34:20
morfik - Cenzor wirtualnego świata
#35 2014-10-08 06:41:52
darius - Użytkownik
- darius
- Użytkownik
- Skąd: Paryz/Wilanow
- Zarejestrowany: 2014-03-21
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
Znakomity "przewrot" sytuacji od samego rana (Sid)
Kod:
Testing /bin/bash ... GNU bash, version 4.3.30(1)-release (x86_64-pc-linux-gnu) Variable function parser pre/suffixed [%%, upstream], bugs not exploitable Not vulnerable to CVE-2014-6271 (original shellshock) Not vulnerable to CVE-2014-7169 (taviso bug) Not vulnerable to CVE-2014-7186 (redir_stack bug) Test for CVE-2014-7187 not reliable without address sanitizer Not vulnerable to CVE-2014-6277 (lcamtuf bug #1) Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)
Chyba trzeba zmienic tytul na "Czy Bug ShellShock jest grozniejszy od Heartbleed" aby nie stresowac ludzi.
Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux
Offline
#36 2014-10-08 06:59:34
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.
Od tej dziury w Bashu może oberwać tylko serwer o cukierkowym modelu bezpieczeństwa, a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.
Przez "cukierkową ochronę" rozumiem sytuację, kiedy mamy np twardą skorupę typu firewall (to ma być niby bezpieczeństwo), a po pokonaniu tego podstawowego zabezpieczenia mamy miękkie wnętrze, gdzie praktycznie nie ma żadnych silnych barier zdolnych obronić system przed skompromitowaniem.
Heartbleed był groźniejszy dlatego, że można było z niego korzystać latami bez żadnego śladu, kradnąc najważniejsze tajemnice, i nie było żadnego mechanizmu wewnątrz systemów operacyjnych, zdolnej do ochrony przed taką podatnością, lub minimalizującego związane z nią ryzyko.
Ostatnio edytowany przez Jacekalex (2014-10-08 14:18:46)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#37 2014-10-08 10:19:40
darius - Użytkownik
- darius
- Użytkownik
- Skąd: Paryz/Wilanow
- Zarejestrowany: 2014-03-21
Re: Czy Bug ShellShock jest grozniejszy od Heartbleed
Jacekalex napisał(-a):
Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.
Bardzo nie lubie sie "sprzeczac" ale jezeli nic nie wiesz o dziurze to nie jestes zabezpieczony. A cytowalem faceta godnego zaufania https://www.google.com/search?q=Cesar+Cerrudo&i … mp;channel=sb
a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.
Tak mi sie spodobalo, ze smieje od samego rana. smile
Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux
Offline
- Forum Debian Users Gang
- » Luźne rozmówki
- » Czy Bug ShellShock jest grozniejszy od Heartbleed