Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

[Shellshock] Linux/Unix bug in bash shell

[es] :: Linux :: [Shellshock] Linux/Unix bug in bash shell

Strane: 1 2 3

[ Pregleda: 86948 | Odgovora: 43 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Dejan Lozanovic
Dejan Lozanovic
Beograd

Član broj: 691
Poruke: 2325
193.130.68.*

Jabber: null@elitesecurity.org
Sajt: speedy-order.com


Profil

icon [Shellshock] Linux/Unix bug in bash shell25.09.2014. u 14:15 - pre 945 dana i 5h
Bushan bash

http://arstechnica.com/securit...le-on-anything-with-nix-in-it/


 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12135



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell25.09.2014. u 14:38 - pre 945 dana i 5h
Baš bušan :)
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8190
82.208.243.*



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell26.09.2014. u 18:02 - pre 944 dana i 1h
Izvini, a šta je tu bruka? Je li drugi nemaju propuste ili nema zakrpe? Koliko vidim, zakrpljeno je iz odma'.

USB protokol je bušan. Sva računarska industrija ga koristi i nema rešenja, tj. zakrpa nije moguća, tako da će živeti koliko i USB.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

EArthquake
Aleksandar Nikolic
Novi Sad

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.

Sajt: www.phearless.org


Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 08:04 - pre 943 dana i 11h
pa nije bas odmah, bilo je pokusaja , pa su iz drugog, treceg puta uspeli :)

jos jedna potvrda da ona open source krilatica "many eyes make all bugs shallow" trazi dopunu,
to vazi pod uslovom da neko gleda uopste

nakon sto je ovo izaslo, gomila ljudi ce poceti da gleda u bash, pa ce biti gomila bagova
al je moralo nesto ovakvo da se desi da bi krenuli
isto kao s openssl-om skoro...
www.phearless.org
No light, but rather darkness visible
 
Odgovor na temu

ventura

Član broj: 32
Poruke: 7781
*.dynamic.sbb.rs.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:07 - pre 943 dana i 10h
Ako je napadač već uspeo da stigne do shella, taj bug u bash-u je najmanja briga...
 
Odgovor na temu

Impaler

Član broj: 89808
Poruke: 26
*.adsl.net.t-com.hr.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:31 - pre 943 dana i 10h
^ za ovaj bug nemoras imati shell. moguce ga je exploitati i remote.
http://www.youtube.com/watch?v=ArEOVHQu9nk&feature=youtu.be
NO FATE
 
Odgovor na temu

bojan_bozovic
Sir Lancelot

Član broj: 29028
Poruke: 2755
*.dynamic.sbb.rs.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:33 - pre 943 dana i 10h
Citat:
ventura: Ako je napadač već uspeo da stigne do shella, taj bug u bash-u je najmanja briga...


Ma nemoj? Kao da nema hostova koji daju shell account, i nema gde je koristan?
 
Odgovor na temu

ventura

Član broj: 32
Poruke: 7781
*.dynamic.sbb.rs.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:37 - pre 943 dana i 10h
Citat:
bojan_bozovic: Ma nemoj? Kao da nema hostova koji daju shell account, i nema gde je koristan?

Nemam pojma... A i ako ima, ti bivaju exploitani svakodnevno i to u više navrata nevezano za ovaj bash exploit, tako da bi ja u širokom luku zaobišao takve hostere...
 
Odgovor na temu

bojan_bozovic
Sir Lancelot

Član broj: 29028
Poruke: 2755
*.dynamic.sbb.rs.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:44 - pre 943 dana i 9h
Citat:
ventura: Nemam pojma... A i ako ima, ti bivaju exploitani svakodnevno i to u više navrata nevezano za ovaj bash exploit, tako da bi ja u širokom luku zaobišao takve hostere...


Treba za mod_wsgi/Python, a možda i shared Javu, nisam siguran (ima i to, mada je retkost jer više se koristi VPS/dedicated).
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 15369
*.ip.telfort.nl.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:53 - pre 943 dana i 9h


Ja ne znam sta je tacno bruka ovde.

Jedino moze biti za ljude koji zive u nekom virtuelnom svetu gde softver nema bagove.

Na zalost, fakat zivota je: kompleksan softver dolazi sa bagovima. Uvek ce ih biti i neminovno je da se jednom u par godina nadje i po neka rupetina kao sto je ova.

Ljudi koji misle da su instalacijom Linuxa resili problem sigurnosti su najbolje mete posle clueless Windows korisnika. Zapravo, clueless Windows korisnik ce mozda imati vise srece zato sto ce mu komp doci sa nekim AV-om koji ga mozda zastiti donekle. Clueless Linux korisnik koji isto tako pojma nema ali zamislja da je "ekspert" time sto je instalirao neki click-click-next Linux je jos u vecoj opasnosti zato sto >zamislja< da je zasticen.

Jedino resenje koje, zapravo, nikad ne moze biti 100% sigurno je apsolutna paranoja. Od trcanja samo neophodnih procesa/servisa/daemona, preko otvaranja samo neophodnih portova (dakle, opt-in ne opt-out) pa do fizicke izolacije masina koje nemaju sta da traze na javnom Internetu. I, naravno, konstantno patchovanje softvera.

I sa svim tim se ponekad moze provuci neki exploit, ali su bar sanse minimizovane.

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1
Demo Videos: http://www.digicortex.net/node/17
Gallery: http://www.digicortex.net/node/25
 
Odgovor na temu

bojan_bozovic
Sir Lancelot

Član broj: 29028
Poruke: 2755
*.dynamic.sbb.rs.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:55 - pre 943 dana i 9h
^^ Word.
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8190
82.208.243.*



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 13:08 - pre 943 dana i 6h
Evo šta mi je stiglo danas. Juče nije bilo, a na testu od pre neki dan sam prošao kao "neranjiv".

bash (4.3-7ubuntu1.3) trusty-security; urgency=medium

* Updated debian/patches/CVE-2014-7169.diff to also patch y.tab.c in
case it doesn't get regenerated when built (LP: #1374207)

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Thu, 25 Sep 2014 21:20:03 -0400

bash (4.3-7ubuntu1.2) trusty-security; urgency=medium

* SECURITY UPDATE: incomplete fix for CVE-2014-6271
- debian/patches/CVE-2014-7169.diff: fix logic in parse.y.
- CVE-2014-7169

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Thu, 25 Sep 2014 02:06:49 -0400

bash (4.3-7ubuntu1.1) trusty-security; urgency=medium

* SECURITY UPDATE: incorrect function parsing
- debian/patches/CVE-2014-6271.diff: fix function parsing in
builtins/common.h, builtins/evalstring.c, subst.c, variables.c.
- CVE-2014-6271
...

[Ovu poruku je menjao Gojko Vujovic dana 28.09.2014. u 16:46 GMT+1]
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

tarla
Marinko Tarlać

Član broj: 15527
Poruke: 1648



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 21:59 - pre 942 dana i 21h
Citat:
Ivan Dimkovic:

...
Ljudi koji misle da su instalacijom Linuxa resili problem sigurnosti su najbolje mete posle clueless Windows korisnika.


Upravo ako... Posebno mi idu na ganglije ljudi koji za 30-40€ zakupe server, iznabadaju tamo nešto na njemu pa se igraju ozbiljnog servisa... Poslije kriv Linuks i ovaj ili onaj..

Kako se koristi Google
Ne pružam podršku preko privatnih poruka !!!

 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
46.240.236.*

Jabber: goran.raovic@gmail.com


Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell29.09.2014. u 17:23 - pre 941 dana i 2h
Bug moze da se exploituje remote, poenta je da bilo koji software koji injectuje user podatke kroz env varijable u shell je ranjiv. Ogroman broj programa je indirektno ranjiv.

CCIE #22192
 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
46.240.236.*

Jabber: goran.raovic@gmail.com


Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell30.09.2014. u 14:00 - pre 940 dana i 5h
Evo lepog primera :))

https://news.ycombinator.com/item?id=8385332
CCIE #22192
 
Odgovor na temu

aLtipar
IBM Canada

Član broj: 160093
Poruke: 70
*.dsl.bell.ca.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell30.09.2014. u 23:50 - pre 939 dana i 19h
Sto se ovog propusta tice, meni su zvanicno javili sledece pre par dana:

"... has become aware of a vulnerability with the Bash shell which is used in many UNIX, Linux and MAC/OSX devices. This vulnerability is officially classified under CVE-2014-6271, CVE-2014-7169 and affects all versions of Bash up to and including version 4.3. The vulnerability allows hackers to gain remote administrative access to these devices. There are patches coming out from vendors to resolve this issue, however the patches do not protect against all scenarios.

If you have a server, appliance and/or a device that uses Bash you need to run this command and check the output to see if the system is vulnerable:
env var='() { ignore this;}; echo vulnerable' bash -c /bin/true

Upon running the above command, an affected version of bash will output "vulnerable".

... network level protection from a lot of these attacks coming from the Internet, however it is important to patch your systems as soon as possible.

More Information about this vulnerability can be found at:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169"


Kao sto je Impaler vec rekao, ovaj propust moze da se eksploatise i preko neta i to bez shell-a. Napad se relativno lako izvodi i trenutno ne postoji patch koji nudi potpunu zastitu. Ovo ima totalno da unisti percepciju Unix servera kao sigurnosno superiornih u odnosu na M$. Heartbleed je bio mala beba u odnosu na ovaj bug. BackTrack 5.3 je takodje ranjiv, upravo sam probao.

Inace, ovaj clanak iz Arstechnica-e navodi: "... found in use by an active exploit against Web servers..." - tu se pre svega misli na Nessus ili mozda Metasploit/Nexpose kombinaciju.
 
Odgovor na temu

plus_minus

Član broj: 289459
Poruke: 2009



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell01.10.2014. u 00:36 - pre 939 dana i 19h
Ja mislim da se ovde radi samo o dokazu koliko neki m$ www-fanblogeri jesu svesni da m$ polako gubi bitku na tom polju gde inače žestoko viče i sekira se. Ranjive su samo one distribucije ili linuxi koji su bazirane na nečemu što je bazirano od nečega. Čisto sumanjm da je neki fini CentOS ili dobro konfigurisani debian ranjiv na ovo.
about:networking
 
Odgovor na temu

aLtipar
IBM Canada

Član broj: 160093
Poruke: 70
*.dsl.bell.ca.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell01.10.2014. u 00:48 - pre 939 dana i 18h
@Plus_minus - i Debian i CentOS su ranjivi. Oba brenda su vec izbacila nepotpune patch-eve:

https://lists.debian.org/debia...ty-announce/2014/msg00220.html
http://lists.centos.org/piperm...tos/2014-September/146099.html

Inace, jedan ovakav sistemski bug ne mozes da "pokrijes" dobrom konfiguracijom servera. Jedino da iskljucis sve ranjive servise, ali to onda vise nije server...
 
Odgovor na temu

plus_minus

Član broj: 289459
Poruke: 2009



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell01.10.2014. u 01:04 - pre 939 dana i 18h
Majstore o čemu ti pričaš? Znaš li da se bash (kod svih linuxa, pogledaj datume) od tad apdejtovao, ako ne sam, a onda sys/web admin u roku od što pre, pa bar jedno 5 puta do sad.. dakle, svaki aktivni linux, 'normalan' linux.

Citat:

- -------------------------------------------------------------------------
Debian Security Advisory DSA-3032-1 security@debian.org
http://www.debian.org/security/ Florian Weimer
September 24, 2014 http://www.debian.org/security/faq
- -------------------------------------------------------------------------


Citat:

[CentOS] Critical update for bash released today.
Jim Perrin jperrin at centos.org
Wed Sep 24 15:26:24 UTC 2014


A sve i da jeste neki problem, veći problem od svih silnih pedesetak i kusur virusa poznatih za linux, recimo, otići će i ovaj propust u tu kategoriju, kod tih silnih ukoliko nisam u pravu, da je ovo samo jedan stupidni hype te da je opasni bug već prevaziđen .. jer bagova ima skoro pa uvek.
about:networking
 
Odgovor na temu

aLtipar
IBM Canada

Član broj: 160093
Poruke: 70
*.dsl.bell.ca.



Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell01.10.2014. u 05:46 - pre 939 dana i 13h
Ne mozes ovaj bug da nazivas stupidnim hype-om. Poredjenja radi, kada je objavljen Heartbleed, neki klinci su u roku od tri sata pokrali poverljive podatke iz Kanadske Poreske Uprave, koja je nakon toga iskljucila svoje servere. A ovaj bug je bio dostupan danima i jos uvek na vecini sistema nije ispravljen u celini. Pa evo ti ga najnoviji patch za Mac, izasao je pre nekoliko sati, ali nije ispravio celokupan propust, nego je samo sprecio eksploataciju u 2/3 slucajeva. Naravno da ce svaka ustanova posle jednog ovakvog incidenta dobro razmisliti, barem sto se softvera tice, sta i kako dalje.




 
Odgovor na temu

[es] :: Linux :: [Shellshock] Linux/Unix bug in bash shell

Strane: 1 2 3

[ Pregleda: 86948 | Odgovora: 43 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.