Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

[Shellshock] Linux/Unix bug in bash shell

[es] :: Linux :: [Shellshock] Linux/Unix bug in bash shell

Strane: 1 2 3

[ Pregleda: 137848 | Odgovora: 45 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Nemke_BG

Član broj: 163822
Poruke: 341
*.mediaworksit.net.

Jabber: Nemke_BG@elitesecurity.org
Sajt: https://www.nmdesign.rs


+45 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell01.10.2014. u 09:33 - pre 115 meseci
Sta ima da razmatra?

Kao ima veliki izbor na sta drugo ce da predje i sto nikad nece imati slican bug?

Da nece mozda sami da dizu svoj OS?

Sve takve institucije zanima samo jedno, da li je uopste i koliko brzo je izdan patch za to.

P.S. Inace, da slazem se bug nije uopste trivijalan i da je daleko opasniji nego sto je heartbleed bio.
...
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell03.10.2014. u 09:19 - pre 115 meseci
For added lulz :



svi zajedno treba da se pokrijemo usima i da cutimo
 
Odgovor na temu

uporna_neznalica
chez_moi

Član broj: 312039
Poruke: 46
*.dynamic.isp.telekom.rs.



+7 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell03.10.2014. u 13:30 - pre 115 meseci
Daleko je od toga da je bug trivijalan.

Ovo je posledica pogresnih izbora koje je Linus vrsio kao tek svrseni student. Prosto je statisticki moralo da dolazi do gresaka.

Inace, ksh, zsh, tsch nisu pogodjeni ovim bagom. Dakle, default shell sva 4 BSD-a i OpenIndiana nisu pogodjeni bagom.
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.dynamic.sbb.rs.

Sajt: mysql.rs


+2377 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell05.10.2014. u 16:36 - pre 115 meseci
@EArthquake to na cmd-u nije bug realno i ne moze da se exploituje, nijedan servis na widowsu ne koristi cmd tako sto mu upucava vrednosti u env

@ventura, ako teras apache + suexec -> bilo ko moze da dobije shell na tvojoj masini, ako teras apache + bilo kakav cgi, ista prica, ako teras bilo koji web server (nginx, khttpd..) koji poziva neki cgi (php, python, perl ...) bilo ko moze da dobije shell na tvojoj masini .. dakle ako pogledamo od web servera nisu busni jedino tomcat, glassfish, wildfly i mozda jos neka sica .. (ok nije ni apache ako teras samo obican mod_php i nista drugo, sve druge kombinacije su busne) ... a kada neko dobije shell na tvojoj masini .. tu ti je dalje vec sve jasno zar ne

meni samo drago sto ja guram tcsh svuda :D
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.176.58.205.tellas.gr.



+1365 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell05.10.2014. u 17:41 - pre 115 meseci
Da ne pretjerujes malo Bogdane? Kako moze da se dobije shell ako pozivas neki cgi?
Ko bi koristio tako nesto ako je fundamentalno busno kao sto ti kazes?
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.com
Via: [es] mailing liste

Sajt: mysql.rs


+2377 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell05.10.2014. u 21:28 - pre 115 meseci
ne preterujem, pogledaj kako radi apache i cgi i bice ti sve jasno,
apache upuca u env ono sto mu dodje u heder i pozove bash ..
najjednostaviniji primer


Code:

wget -U "() { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd" http://neka-adresa/nekiurl




dovoljno je da se nekiurl zove kroz suexec i bum ..
takodje umesto cat /etc/passwd mozes da uradis wget neke svoje skripte
pa onda izvrsis tu svoju skriptu i ona uradi na serveru sta god si
napisao u njoj ..

ono sto shellshok bug ne daje je, ne daje ti privilegiju van one koju
imas, ali to je dovoljno da dobijes shell na remote masini, odatle ces
vec lako dalje .. da ne kazem da ces lagano da dobijes podatke o db
serveru, lokaciju, user, pass i slicno ..

pogledaj npr ovo:
http://blog.sucuri.net/2014/09...ncrease-in-the-wild-day-1.html
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
79.107.238.*



+1365 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell05.10.2014. u 22:05 - pre 115 meseci
Ah, izvini, ja sam skapirao da pricas nevezano za ovaj propust u bash-u.
U pravu si za ovo.
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.com
Via: [es] mailing liste

Sajt: mysql.rs


+2377 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell05.10.2014. u 22:35 - pre 115 meseci
ma vezano za ovaj bug... on je strahovit .. pritom je poznato odavno ..
meni su busili neke servere danima, sve zivo sam probao nisam mogao da
resim problem, onda mi drugar ukrainac rekao zameni bash sa tcsh i neces
imati problem .. pazi to je bilo pre tipa 6-7 godina .. sad voleo bi da
mogu da kazem da sam znao za jadac, ali ocigledno ima njih mnogo koji
jesu ..

inace vec duze vreme teram neke java servere sa nginx ispred i imam
poseban log za nginx koji mi hvata samo vreme, ip, url, refurl i onda to
fail2ban cita i blokira ip-ove koji cimaju url-ove koji imaju u sebi
.php na primer ili mysqladmin ili wp-admin ili bilo sta od tih koje znam
da sigurno nemam ja na serveru, a onda imam poseban moj skript koji za
svaki rotate pravi neki sumarum urlova ... elem ja u ref-url vidjam to
() {.. godinama, nisam imao pojma o cemu je rec ... pogledaj ako imas
stare apache logove sa svojih servera ili ako imas neke sumarije ono %
posete po browser id-u .. ja sam sad kopao neke logove od pre 2 godine
.. i naravno () { je tamo .. neke stvari su mi mnogo jasnije od kada je
objavljen ovaj bug.. naravno posle bitke svi su generali ali zgodno je
pogledati stare logove i videti gde se sve pojavljuje "() {" string ...
sto je najgore mislim da i post deo funkcionise na isti nacin a to nemas
u logovima
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
79.107.238.*



+1365 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell06.10.2014. u 08:57 - pre 115 meseci
Ja nemam neke super poznate sajtove pa sam tek par pokusaja imao, od kojih su dosta njih nakon sto sam zakrpio server, nekoliko je od nekih sec blogova koji su skenirali pola interneta (blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html) i bilo je nekih koji su pokusali da pokrenu irc botove, ali koliko sam vidio nisu uspjeli.
U svakom slucaju, poprilicna pi*darija.
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.com
Via: [es] mailing liste

Sajt: mysql.rs


+2377 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell06.10.2014. u 11:15 - pre 115 meseci
nije ni ovo bilo nista super poznato ... a od 27septembra i na mom blogu
(koji nikako ne moze da se racuna kao poznat) ima preko 1000 entrija u
logu dnevno sa () {
 
Odgovor na temu

buda01
Beograd

Član broj: 24949
Poruke: 293
*.dynamic.isp.telekom.rs.



+16 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell06.10.2014. u 21:19 - pre 115 meseci
Jel ovo resava problem:
yum update bash


Kada kazete zamenili ste bash sa tcsh , jel to mislite na default shell u /ets/passwd ?
Kao i u vasim skriptama...
 
Odgovor na temu

tarla

Član broj: 15527
Poruke: 1648



+42 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell07.10.2014. u 02:39 - pre 115 meseci
Biće da je Yahoo nagrabusio sa ovim. http://www.futuresouth.us/yahoo_response.jpg


 
Odgovor na temu

jablan

Član broj: 8286
Poruke: 4541



+710 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell07.10.2014. u 10:15 - pre 115 meseci
Meh... https://news.ycombinator.com/item?id=8418809
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.dynamic.sbb.rs.

Sajt: mysql.rs


+2377 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell07.10.2014. u 14:57 - pre 115 meseci
uh ovo je jos gore nego sto sam mislio ... imam 3 vrste ip kamera kod kuce SVE su afektirane !!!! naravno nema patch-a
 
Odgovor na temu

aLtipar
IBM Canada

Član broj: 160093
Poruke: 70
*.dsl.bell.ca.



+10 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell08.10.2014. u 00:38 - pre 115 meseci
E bas to, inostrani izvori tvrde da su hakeri masovno urnisali ne web servere, nego NAS servere i druge uredjaje sa ranjivom *nix platformom na sebi :)
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.com
Via: [es] mailing liste

Sajt: mysql.rs


+2377 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell08.10.2014. u 06:59 - pre 115 meseci
skroz je ok sto u 90% sprava (ruter, access point, dv risiver, kablovski
risiver, nas, ip kamera...) imam linux, ono sto mi nije jasno je, koji
ce kameri bash .. on je bre velik i glomazan i ... ima bre onih malih
shellova toliko ...
 
Odgovor na temu

newtesla
Aleksander Segedi
CEO / owner
Tim011 Digital doo
N 44.69344 - E 20.38175

Član broj: 147164
Poruke: 1532
178-223-28-42.dynamic.isp.telekom.rs.

Sajt: www.knjigovodja.in.rs


+404 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell08.10.2014. u 22:54 - pre 115 meseci
Čekbre, jesam li ja dobro skapirao da se na Debianu koristi dash, a ne bash?
Kad, tokom pravljenja Nes kafe, umesto da uzmeš mleko iz friza tamo ustvari staviš Nes konzervu - shvatiš koliko je multitasking za*ebana i pipava rabota :)
 
Odgovor na temu

vidonk
Slobodan Vidovic
Niksic

Član broj: 192156
Poruke: 354
37.122.171.*



+9 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell12.10.2014. u 22:44 - pre 115 meseci
Ogromna je frka ispala sa bashom, da ne povjeruješ, i to tolike god stoji da ne povjeruješ. Ali bolje ikad nego nikad

Ajde da postavimo ovako stvari zamislite da MS razvija/održava bash, pojavi se ovaj bug (da napomenem da ovaj bug može da se eksplatiše na bar 5 različitih načina laički rečeno) i sad nakon određenog vremena
MS zakrpi bash ovaj prvi bug koji se pojavio i svi srećni i zadovoljni, i ko zna da li bi ovi ostali ikad bili otkriveni/zakrpljeni sreća naša što je open-source inače

Jedino mi nije jasno jedna stvar sad se ne sjećam gdje sam tačno pročitao "never intended to be secure" pa me posle ovoga ovakav bug i ne iznenađuje toliko
Signaure Hamer Dev .inc
 
Odgovor na temu

DusanSukovic
Dušan Šulović
Na krevetu

Član broj: 35637
Poruke: 1371

Sajt: www.MotoBoem.RS


+460 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell16.10.2014. u 11:11 - pre 115 meseci
Ko vise koristi Linux na serverima? Da li sam nesto propustio? :D


Stane Dolanc: "Bavljenje tehnikom treba da postane svakodnevna potreba coveka.."
 
Odgovor na temu

Srđan Pavlović
Specijalna Edukacija i Rehabilitacija MNRO
Vojvodina, Bačka Palanka

Član broj: 139340
Poruke: 5571
46.17.121.*

Sajt: www.oligofrenolog.com


+382 Profil

icon Re: [Shellshock] Linux/Unix bug in bash shell25.10.2014. u 02:19 - pre 114 meseci
/bin/bash_ga_usrashe
 
Odgovor na temu

[es] :: Linux :: [Shellshock] Linux/Unix bug in bash shell

Strane: 1 2 3

[ Pregleda: 137848 | Odgovora: 45 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.