Forum Debian Users Gang

darius · 2014-10-07 17:03:59

[quote=jacekalex]Krótko pisząc, z punktu widzenia developerów system dosyć ekologiczny, punktu użyszkodnika bezpieczny, stabilny i przewidywalny, chyba, że ktoś jest tak odporny na doświadczenia empiryczne, że Debian też jest za trudny.[/quote]
Pozwolisz, ze sobie jednak odpuszcze Twoj ulubiony system. smile
[quote=uzytkownikubunt[/quote]
Przecież jest wyraźnie napisane: Found non-exploitable[/quote]
Nie bede negowal ale wedlug mnie to jest zaklejone kitem co zreszta nie ma duzego znaczenia poniewaz w tym momencie "trenuje" BSD i domyslnie inny shell

Ostatnio edytowany przez darius (2014-10-07 17:55:05)

davidoski · 2014-10-07 19:28:36

Tytuł wątku przypomina stary dowcip: "Kto jest twoim największym ideałem i dlaczego właśnie Lenin?".

morfik · 2014-10-07 19:29:47

Cicho bo znów zamkną wątek i jak tak dalej pójdzie to będzie dug tylko do odczytu. xD

darius · 2014-10-07 20:10:07

[quote=davidoski]Tytuł wątku przypomina stary dowcip[/quote]
Moze zle przetlumaczylem => http://www.technologyreview.com/view/531286/why-the-shellshock-bug-is-worse-than-heartbleed/ ?

uzytkownikubunt · 2014-10-07 22:00:03

1092

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:19)

morfik · 2014-10-07 22:14:16

Ja tam nie widzę nigdzie błędu. W oryginalne i w tym temacie nie widać znaka zapytania. xD Nie jest to zatem pytanie a twierdzenie. Samo "why" o niczym też nie świadczy. Choć co ja tam wiem o gramatyce, ja tylko mówię jak ludzie piszą. xD

uzytkownikubunt · 2014-10-07 22:23:38

1093

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:20)

Elder · 2014-10-08 01:25:35

Po dzisiejszej aktualizacji bash-a (debian sid):

Kod:

sh bashcheck.sh 
-e Testing /bin/bash ...
GNU bash, wersja 4.3.30(1)-release (x86_64-pc-linux-gnu)
-e 
-e Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
-e Not vulnerable to CVE-2014-6271 (original shellshock)
-e Not vulnerable to CVE-2014-7169 (taviso bug)
bashcheck.sh: 50: [: 1: unexpected operator
bashcheck.sh: 50: [: 0: unexpected operator
-e Not vulnerable to CVE-2014-7186 (redir_stack bug)
bashcheck.sh: 3: [: 0: unexpected operator
-e Found non-exploitable CVE-2014-7187 (nested loops off by one)
-e Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
-e Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

morfik · 2014-10-08 02:34:20

Kod:

bash (4.3-11) unstable; urgency=medium
 .
   * Apply upstream patches 028 - 030.

I u mnie po instalacji też już fixneło te błędy. xD

darius · 2014-10-08 06:41:52

Znakomity "przewrot" sytuacji od samego rana (Sid)

Kod:

Testing /bin/bash ...
GNU bash, version 4.3.30(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

Chyba trzeba zmienic tytul na "Czy Bug ShellShock jest grozniejszy od Heartbleed" aby nie stresowac ludzi.

Jacekalex · 2014-10-08 06:59:34

Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.

Od tej dziury w Bashu może oberwać tylko serwer o cukierkowym modelu bezpieczeństwa, a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.

Przez "cukierkową ochronę" rozumiem sytuację, kiedy mamy np twardą skorupę typu firewall (to ma być niby bezpieczeństwo), a po pokonaniu tego podstawowego zabezpieczenia mamy miękkie wnętrze, gdzie praktycznie nie ma żadnych silnych barier zdolnych obronić system przed skompromitowaniem.

Heartbleed był groźniejszy dlatego, że można było z niego korzystać latami bez żadnego śladu, kradnąc najważniejsze tajemnice, i nie było żadnego mechanizmu wewnątrz systemów operacyjnych, zdolnej do ochrony przed taką podatnością, lub minimalizującego związane z nią ryzyko.

Ostatnio edytowany przez Jacekalex (2014-10-08 14:18:46)

darius · 2014-10-08 10:19:40

[quote=Jacekalex]Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.[/quote]
Bardzo nie lubie sie "sprzeczac" ale jezeli nic nie wiesz o dziurze to nie jestes zabezpieczony. A cytowalem faceta godnego zaufania https://www.google.com/search?q=Cesar+Cerrudo&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:unofficial&client=iceweasel-a&channel=sb

a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.[/quote]
Tak mi sie spodobalo, ze smieje od samego rana. smile

Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Time (s)	Query
0.00012	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00186	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.14.6.194' WHERE u.id=1
0.00088	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.14.6.194', 1714383187)
0.00059	SELECT * FROM punbb_online WHERE logged<1714382887
0.00085	DELETE FROM punbb_online WHERE ident='47.128.127.200'
0.00107	DELETE FROM punbb_online WHERE ident='85.208.96.199'
0.00091	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26511 AND t.moved_to IS NULL
0.00008	SELECT search_for, replace_with FROM punbb_censoring
0.00305	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26511 ORDER BY p.id LIMIT 25,25
0.00118	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26511
Total query time: 0.01063 s

Forum Debian Users Gang

Ogłoszenie

#26 2014-10-07 17:03:59

darius - Użytkownik

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

#27 2014-10-07 19:28:36

davidoski - Użytkownik

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

#28 2014-10-07 19:29:47

morfik - Cenzor wirtualnego świata

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

#29 2014-10-07 20:10:07

darius - Użytkownik

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

#30 2014-10-07 22:00:03

uzytkownikubunt - Zbanowany

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

#31 2014-10-07 22:14:16

morfik - Cenzor wirtualnego świata

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

#32 2014-10-07 22:23:38

uzytkownikubunt - Zbanowany

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

#33 2014-10-08 01:25:35

Elder - Członek z ramienia...

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Kod:

#34 2014-10-08 02:34:20

morfik - Cenzor wirtualnego świata

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Kod:

#35 2014-10-08 06:41:52

darius - Użytkownik

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Kod:

#36 2014-10-08 06:59:34

Jacekalex - Podobno człowiek...;)

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

#37 2014-10-08 10:19:40

darius - Użytkownik

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Stopka forum

Informacje debugowania