Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

[Shellshock] Linux/Unix bug in bash shell

[es] :: Linux :: [Shellshock] Linux/Unix bug in bash shell

Strane: 1 2 3

[ Pregleda: 137851 | Odgovora: 45 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Dejan Lozanovic
Dejan Lozanovic
Beograd

Član broj: 691
Poruke: 2325
193.130.68.*

Jabber: null@elitesecurity.org
Sajt: speedy-order.com


+75 Profil

icon [Shellshock] Linux/Unix bug in bash shell25.09.2014. u 14:15 - pre 115 meseci
Bushan bash

http://arstechnica.com/securit...le-on-anything-with-nix-in-it/


 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12846



+4783 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell25.09.2014. u 14:38 - pre 115 meseci
Baš bušan :)
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
82.208.243.*



+2789 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell26.09.2014. u 18:02 - pre 115 meseci
Izvini, a šta je tu bruka? Je li drugi nemaju propuste ili nema zakrpe? Koliko vidim, zakrpljeno je iz odma'.

USB protokol je bušan. Sva računarska industrija ga koristi i nema rešenja, tj. zakrpa nije moguća, tako da će živeti koliko i USB.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 08:04 - pre 115 meseci
pa nije bas odmah, bilo je pokusaja , pa su iz drugog, treceg puta uspeli :)

jos jedna potvrda da ona open source krilatica "many eyes make all bugs shallow" trazi dopunu,
to vazi pod uslovom da neko gleda uopste

nakon sto je ovo izaslo, gomila ljudi ce poceti da gleda u bash, pa ce biti gomila bagova
al je moralo nesto ovakvo da se desi da bi krenuli
isto kao s openssl-om skoro...
 
Odgovor na temu

ventura

Član broj: 32
Poruke: 7781
*.dynamic.sbb.rs.



+6455 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:07 - pre 115 meseci
Ako je napadač već uspeo da stigne do shella, taj bug u bash-u je najmanja briga...
 
Odgovor na temu

Impaler

Član broj: 89808
Poruke: 183



+33 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:31 - pre 115 meseci
^ za ovaj bug nemoras imati shell. moguce ga je exploitati i remote.
http://www.youtube.com/watch?v=ArEOVHQu9nk&feature=youtu.be
NO FATE
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:33 - pre 115 meseci
Citat:
ventura: Ako je napadač već uspeo da stigne do shella, taj bug u bash-u je najmanja briga...


Ma nemoj? Kao da nema hostova koji daju shell account, i nema gde je koristan?
 
Odgovor na temu

ventura

Član broj: 32
Poruke: 7781
*.dynamic.sbb.rs.



+6455 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:37 - pre 115 meseci
Citat:
bojan_bozovic: Ma nemoj? Kao da nema hostova koji daju shell account, i nema gde je koristan?

Nemam pojma... A i ako ima, ti bivaju exploitani svakodnevno i to u više navrata nevezano za ovaj bash exploit, tako da bi ja u širokom luku zaobišao takve hostere...
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:44 - pre 115 meseci
Citat:
ventura: Nemam pojma... A i ako ima, ti bivaju exploitani svakodnevno i to u više navrata nevezano za ovaj bash exploit, tako da bi ja u širokom luku zaobišao takve hostere...


Treba za mod_wsgi/Python, a možda i shared Javu, nisam siguran (ima i to, mada je retkost jer više se koristi VPS/dedicated).
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:53 - pre 115 meseci


Ja ne znam sta je tacno bruka ovde.

Jedino moze biti za ljude koji zive u nekom virtuelnom svetu gde softver nema bagove.

Na zalost, fakat zivota je: kompleksan softver dolazi sa bagovima. Uvek ce ih biti i neminovno je da se jednom u par godina nadje i po neka rupetina kao sto je ova.

Ljudi koji misle da su instalacijom Linuxa resili problem sigurnosti su najbolje mete posle clueless Windows korisnika. Zapravo, clueless Windows korisnik ce mozda imati vise srece zato sto ce mu komp doci sa nekim AV-om koji ga mozda zastiti donekle. Clueless Linux korisnik koji isto tako pojma nema ali zamislja da je "ekspert" time sto je instalirao neki click-click-next Linux je jos u vecoj opasnosti zato sto >zamislja< da je zasticen.

Jedino resenje koje, zapravo, nikad ne moze biti 100% sigurno je apsolutna paranoja. Od trcanja samo neophodnih procesa/servisa/daemona, preko otvaranja samo neophodnih portova (dakle, opt-in ne opt-out) pa do fizicke izolacije masina koje nemaju sta da traze na javnom Internetu. I, naravno, konstantno patchovanje softvera.

I sa svim tim se ponekad moze provuci neki exploit, ali su bar sanse minimizovane.

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 09:55 - pre 115 meseci
^^ Word.
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
82.208.243.*



+2789 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 13:08 - pre 115 meseci
Evo šta mi je stiglo danas. Juče nije bilo, a na testu od pre neki dan sam prošao kao "neranjiv".

bash (4.3-7ubuntu1.3) trusty-security; urgency=medium

* Updated debian/patches/CVE-2014-7169.diff to also patch y.tab.c in
case it doesn't get regenerated when built (LP: #1374207)

-- Marc Deslauriers <[email protected]> Thu, 25 Sep 2014 21:20:03 -0400

bash (4.3-7ubuntu1.2) trusty-security; urgency=medium

* SECURITY UPDATE: incomplete fix for CVE-2014-6271
- debian/patches/CVE-2014-7169.diff: fix logic in parse.y.
- CVE-2014-7169

-- Marc Deslauriers <[email protected]> Thu, 25 Sep 2014 02:06:49 -0400

bash (4.3-7ubuntu1.1) trusty-security; urgency=medium

* SECURITY UPDATE: incorrect function parsing
- debian/patches/CVE-2014-6271.diff: fix function parsing in
builtins/common.h, builtins/evalstring.c, subst.c, variables.c.
- CVE-2014-6271
...

[Ovu poruku je menjao Gojko Vujovic dana 28.09.2014. u 16:46 GMT+1]
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

tarla

Član broj: 15527
Poruke: 1648



+42 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell27.09.2014. u 21:59 - pre 115 meseci
Citat:
Ivan Dimkovic:

...
Ljudi koji misle da su instalacijom Linuxa resili problem sigurnosti su najbolje mete posle clueless Windows korisnika.


Upravo ako... Posebno mi idu na ganglije ljudi koji za 30-40€ zakupe server, iznabadaju tamo nešto na njemu pa se igraju ozbiljnog servisa... Poslije kriv Linuks i ovaj ili onaj..



 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
46.240.236.*

Jabber: goran.raovic@gmail.com


+44 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell29.09.2014. u 17:23 - pre 115 meseci
Bug moze da se exploituje remote, poenta je da bilo koji software koji injectuje user podatke kroz env varijable u shell je ranjiv. Ogroman broj programa je indirektno ranjiv.

 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
46.240.236.*

Jabber: goran.raovic@gmail.com


+44 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell30.09.2014. u 14:00 - pre 115 meseci
Evo lepog primera :))

https://news.ycombinator.com/item?id=8385332
 
Odgovor na temu

aLtipar
IBM Canada

Član broj: 160093
Poruke: 70
*.dsl.bell.ca.



+10 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell30.09.2014. u 23:50 - pre 115 meseci
Sto se ovog propusta tice, meni su zvanicno javili sledece pre par dana:

"... has become aware of a vulnerability with the Bash shell which is used in many UNIX, Linux and MAC/OSX devices. This vulnerability is officially classified under CVE-2014-6271, CVE-2014-7169 and affects all versions of Bash up to and including version 4.3. The vulnerability allows hackers to gain remote administrative access to these devices. There are patches coming out from vendors to resolve this issue, however the patches do not protect against all scenarios.

If you have a server, appliance and/or a device that uses Bash you need to run this command and check the output to see if the system is vulnerable:
env var='() { ignore this;}; echo vulnerable' bash -c /bin/true

Upon running the above command, an affected version of bash will output "vulnerable".

... network level protection from a lot of these attacks coming from the Internet, however it is important to patch your systems as soon as possible.

More Information about this vulnerability can be found at:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169"


Kao sto je Impaler vec rekao, ovaj propust moze da se eksploatise i preko neta i to bez shell-a. Napad se relativno lako izvodi i trenutno ne postoji patch koji nudi potpunu zastitu. Ovo ima totalno da unisti percepciju Unix servera kao sigurnosno superiornih u odnosu na M$. Heartbleed je bio mala beba u odnosu na ovaj bug. BackTrack 5.3 je takodje ranjiv, upravo sam probao.

Inace, ovaj clanak iz Arstechnica-e navodi: "... found in use by an active exploit against Web servers..." - tu se pre svega misli na Nessus ili mozda Metasploit/Nexpose kombinaciju.
 
Odgovor na temu

plus_minus

Član broj: 289459
Poruke: 2242
*.dynamic.isp.telekom.rs.

Sajt: https://hardcoder.xyz


+2247 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell01.10.2014. u 00:36 - pre 115 meseci
Ja mislim da se ovde radi samo o dokazu koliko neki m$ www-fanblogeri jesu svesni da m$ polako gubi bitku na tom polju gde inače žestoko viče i sekira se. Ranjive su samo one distribucije ili linuxi koji su bazirane na nečemu što je bazirano od nečega. Čisto sumanjm da je neki fini CentOS ili dobro konfigurisani debian ranjiv na ovo.
about:networking
 
Odgovor na temu

aLtipar
IBM Canada

Član broj: 160093
Poruke: 70
*.dsl.bell.ca.



+10 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell01.10.2014. u 00:48 - pre 115 meseci
@Plus_minus - i Debian i CentOS su ranjivi. Oba brenda su vec izbacila nepotpune patch-eve:

https://lists.debian.org/debia...ty-announce/2014/msg00220.html
http://lists.centos.org/piperm...tos/2014-September/146099.html

Inace, jedan ovakav sistemski bug ne mozes da "pokrijes" dobrom konfiguracijom servera. Jedino da iskljucis sve ranjive servise, ali to onda vise nije server...
 
Odgovor na temu

plus_minus

Član broj: 289459
Poruke: 2242
*.dynamic.isp.telekom.rs.

Sajt: https://hardcoder.xyz


+2247 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell01.10.2014. u 01:04 - pre 115 meseci
Majstore o čemu ti pričaš? Znaš li da se bash (kod svih linuxa, pogledaj datume) od tad apdejtovao, ako ne sam, a onda sys/web admin u roku od što pre, pa bar jedno 5 puta do sad.. dakle, svaki aktivni linux, 'normalan' linux.

Citat:

- -------------------------------------------------------------------------
Debian Security Advisory DSA-3032-1 [email protected]
http://www.debian.org/security/ Florian Weimer
September 24, 2014 http://www.debian.org/security/faq
- -------------------------------------------------------------------------


Citat:

[CentOS] Critical update for bash released today.
Jim Perrin jperrin at centos.org
Wed Sep 24 15:26:24 UTC 2014


A sve i da jeste neki problem, veći problem od svih silnih pedesetak i kusur virusa poznatih za linux, recimo, otići će i ovaj propust u tu kategoriju, kod tih silnih ukoliko nisam u pravu, da je ovo samo jedan stupidni hype te da je opasni bug već prevaziđen .. jer bagova ima skoro pa uvek.
about:networking
 
Odgovor na temu

aLtipar
IBM Canada

Član broj: 160093
Poruke: 70
*.dsl.bell.ca.



+10 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell01.10.2014. u 05:46 - pre 115 meseci
Ne mozes ovaj bug da nazivas stupidnim hype-om. Poredjenja radi, kada je objavljen Heartbleed, neki klinci su u roku od tri sata pokrali poverljive podatke iz Kanadske Poreske Uprave, koja je nakon toga iskljucila svoje servere. A ovaj bug je bio dostupan danima i jos uvek na vecini sistema nije ispravljen u celini. Pa evo ti ga najnoviji patch za Mac, izasao je pre nekoliko sati, ali nije ispravio celokupan propust, nego je samo sprecio eksploataciju u 2/3 slucajeva. Naravno da ce svaka ustanova posle jednog ovakvog incidenta dobro razmisliti, barem sto se softvera tice, sta i kako dalje.




 
Odgovor na temu

[es] :: Linux :: [Shellshock] Linux/Unix bug in bash shell

Strane: 1 2 3

[ Pregleda: 137851 | Odgovora: 45 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.