Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-10-06 12:28:41

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Czy Bug ShellShock jest grozniejszy od Heartbleed

Dzien dobry,

Czy juz wszyscy czytali => http://www.technologyreview.com/view/531286/why-the-shellshock-bug-is-worse-than-heartbleed/

Lista bledow jest dostepna tutaj => https://github.com/mubix/shellshocker-pocs

Ostatnio edytowany przez darius (2014-10-08 10:20:05)


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#2  2014-10-06 13:45:23

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Tydzień się spóźniłeś.


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#3  2014-10-06 15:26:40

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=mati75]Tydzień się spóźniłeś.[/quote]
Uprawiasz niekonstruktywne czepialstwo :D

Niektóre ludzie żyją sobie w innych epokach, niektórzy nie wiedzą, że już jest 2014 i Stalin już nie żyje, inni ciągle myślą, że to jest 1982, to tydzień opóźnienia nie jest u nikogo niczym niezwykłym. :D

[b]@darius[/b]

Bzdury, błąd w Bashu nie jest ważniejszy od hardcorowej dziury w OpenSSL, bo na błąd Basha masz w każdym systemie sporo różnych mechanizmów obronnych, np na "wielkie zagrożenie zdalne" skryptów CGI i Apacha masz  SElinuxa czy Apparmora, którymi można zablokować każde podejrzane działanie powłoki pozwalając uruchomić interpreter powłoki tylko w chronionym profilu systemu ACL, a tymczasem na sytuację, kiedy OpenSSL ujawnia klucz prywatny serwera nie było żadnej obrony i choćby jednej kropki czy przecinka  w logach.

Także na argument shellshok większe niż heartbleed przypomina się stary [url=http://janbrzechwa.w.interia.pl/stobajek/niepieprzpietrze.html]wierszyk[/url]. :D

To by było na tyle

Ostatnio edytowany przez Jacekalex (2014-10-06 15:36:03)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2014-10-06 16:05:44

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Czy ja wiem, czy tydzień? U was ten skrypt co jest na https://github.com/hannob/bashcheck bez problemu odhacza wszystkie podatności? U mnie 2 z nich w dalszym ciągu są:

Kod:

$ ./bashcheck
Testing /bin/bash ...
GNU bash, version 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

Offline

 

#5  2014-10-06 16:11:57

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

a ja tak z ciekawości: czym mi grozi ten bug na domowym netbooku?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#6  2014-10-06 16:56:37

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=ethanak]a ja tak z ciekawości: czym mi grozi ten bug na domowym netbooku?[/quote]
Jak to czym?

Wystarczy, ze masz np Javę  - wtyczkę do FF (tysiące ludzi ma),
a w standardowym systemie Linux przeglądarka może odpalić polecenie /bin/bash z dowolnymi parametrami.

Oczywiście teraz wszystkie najważniejsze przeglądarki mają jakieś piaskownice, ale wystarczy babol w takiej piaskownicy, i gotowe.
Plugin-container z FF woła o powłokę, a w każdej wersji jest około XX błędów i podatności.

Podobnie z innymi programami, nawet raz pamiętam taką dziurę, kiedy wklejenie kawałka loga do okna rozmowy Pidgina (charakterystyczna sekwencja znaków) powodowała natychmiastowe powieszenie Xserwera.

Nie zagłębiałem się w temat, czy to wina Pidgina, biblioteki Gtk, biblioteki libGL ze steru Nvidii czy Xorga, ale niedługo później i Xorg,
i Pidgin i ster Nvidii miały dosyć poważne aktualizacje bezpieczeństwa.

W domowym kompie za FW ryzyko nie jest koszmarnie wielkie, ale też istnieje, jeśli masz pod nosem jakąś niezidentyfikowaną dziurę w innym programie, która pozwala na zdalny dostęp i odpalenie lokalnie powłoki.

Póki nie sprawdzasz każdej linijki kodu każdego programu w kompie, to zawsze masz przed nosem jakąś liczbę nieodkrytych błędów, które ktoś  może wykorzystać, jeśli ma do nich dostęp.

Pojęcie "system bezpieczny i niebezpieczny" to jest pojęcie dwustanowe, bez stanów pośrednich, nieźle je opisuje angielskie przysłowie
"nie można być częściowo w ciąży", przy czym nie ma systemu, w którym nie ma ryzyka wystąpienia błędów, dlatego kryterium przyjmuje formułę:
"albo się poważnie traktuje i łata błędy bez nieuzasadnionej zwłoki, albo się te błędy w większym lub mniejszym stopniu  ignoruje".


To by było na tyle

___


[quote=morfik]Czy ja wiem, czy tydzień? U was ten skrypt co jest na https://github.com/hannob/bashcheck bez problemu odhacza wszystkie podatności? U mnie 2 z nich w dalszym ciągu są:

Kod:

$ ./bashcheck
Testing /bin/bash ...
GNU bash, version 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

[/quote]
U mnie tylko jedna:

Kod:

Testing /bin/bash ...
GNU bash, version 4.2.52(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

Chociaż fakt faktem, ostatnimi czasy były w Gentusiu trzy alarmy z Bashem:
http://security.gentoo.org/glsa/glsa-201410-01.xml
http://security.gentoo.org/glsa/glsa-201409-10.xml
http://security.gentoo.org/glsa/glsa-201409-09.xml

Już w pewnym momencie zaczęło to wyglądać komicznie, u mnie:

     

Kod:

Thu Sep 25 02:30:11 2014 >>> app-shells/bash-4.2_p48
       merge time: 3 minutes and 54 seconds.

     Thu Sep 25 18:34:16 2014 >>> app-shells/bash-4.2_p48-r1
       merge time: 4 minutes and 6 seconds.

     Wed Oct  1 06:08:23 2014 >>> app-shells/bash-4.2_p50
       merge time: 2 minutes and 35 seconds.

     Thu Oct  2 00:31:11 2014 >>> app-shells/bash-4.2_p51
       merge time: 5 minutes and 10 seconds.

     Sun Oct  5 02:12:43 2014 >>> app-shells/bash-4.2_p52
       merge time: 3 minutes and 23 seconds.

Pewnie nie udało się załatać całkowicie Basha dotychczasowymi łatkami,
i trzeba spory kawał kodu przepisać, co musi potrwać.
Któreś Zsh też podobno miało tego babola.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-10-06 17:02:25)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2014-10-06 17:03:53

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Poczytalem tez ten artykul (przetlumaczycie sobie) http://www.silicon.fr/faille-shellshock-bash-tempete-loin-terminee-97165.html w ktorym jest cytowany nasz rodak [url=http://pl.wikipedia.org/wiki/Michał_Zalewski]Michal Zalewski[/url] (alias Icamtuf) znany odkrywca roznych bledow, ktory 27 i 30 wrzesnia 2014 sygnalizuje dwa powazne (morfik ma dwa i jacekalex jeden)

http://lcamtuf.blogspot.fr/2014/10/bash-bug-how-we-finally-cracked.html

Ostatnio edytowany przez darius (2014-10-06 17:51:28)


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#8  2014-10-06 17:56:36

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=Jacekalex]Pojęcie "system bezpieczny i niebezpieczny" to jest pojęcie dwustanowe, bez stanów pośrednich, nieźle je opisuje angielskie przysłowie
"nie można być częściowo w ciąży", przy czym nie ma systemu, w którym nie ma ryzyka wystąpienia błędów, dlatego kryterium przyjmuje formułę:
"albo się poważnie traktuje i łata błędy bez nieuzasadnionej zwłoki, albo się te błędy w większym lub mniejszym stopniu  ignoruje".[/quote]
Tylko w teorii.
W praktyce nie ma 100% bezpiecznych systemów i zawsze jest się tylko „częściowo w ciąży”.
Dlatego niektóre mniej krytyczne błędy są przez jakiś czas zwyczajnie ignorowane bo naprawa ich powoduje kolejne problemy, a 100% i tak nigdy się nie osiągnie.

Offline

 

#9  2014-10-06 18:02:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=yossarian][quote=Jacekalex]Pojęcie "system bezpieczny i niebezpieczny" to jest pojęcie dwustanowe, bez stanów pośrednich, nieźle je opisuje angielskie przysłowie
"nie można być częściowo w ciąży", przy czym nie ma systemu, w którym nie ma ryzyka wystąpienia błędów, dlatego kryterium przyjmuje formułę:
"albo się poważnie traktuje i łata błędy bez nieuzasadnionej zwłoki, albo się te błędy w większym lub mniejszym stopniu  ignoruje".[/quote]
Tylko w teorii.
W praktyce nie ma 100% bezpiecznych systemów i zawsze jest się tylko „częściowo w ciąży”.
Dlatego niektóre mniej krytyczne błędy są przez jakiś czas zwyczajnie ignorowane bo naprawa ich powoduje kolejne problemy, a 100% i tak nigdy się nie osiągnie.[/quote]
Nic innego nie napisałem.

Niektóre błędy są łatane dłużej, bo po prostu developerzy poszczególnych aplikacji i systemów nie mają nieskończonej ilości czasu i pieniędzy, żeby zajmować się każdym babolem.

Nawet w szacownych korpo nie da się skutecznie zapewnić bezpiecznego systemu, choć ilość kasy na ten cel w takim np Microsofcie jest taka, jakiej w ekosystemie Linuxa nikt nawet w telewizji nie widział.

Nie mniej jednak, nie jest źle, generalnie i tak mamy dużo bezpieczniejsze systemy, niż M$, Apple czy Android.

Pozdro
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2014-10-06 20:24:59

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

1087

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:13)

Offline

 

#11  2014-10-06 21:41:29

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Kod:

Testing /bin/bash ...
GNU bash, wersja 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#12  2014-10-06 23:21:09

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

No i wszyscy mamy podatne systemy. W końcu windows jest w czymś lepszy niż linux. xD

Ostatnio edytowany przez morfik (2014-10-06 23:21:20)

Offline

 

#13  2014-10-06 23:42:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=morfik]No i wszyscy mamy podatne systemy. W końcu windows jest w czymś lepszy niż linux. xD[/quote]
Pod tym jednakże warunkiem, że powłoka systemowa Windows nie ma groźniejszych dziur, zazwyczaj ma takich kilka. :D

Przy okazji, nie wiem, kto jeszcze zauważył, ale Gentuś tutaj zdeklasował rywali, ma tylko  jedną podatność CVE w Bashu, a Debian i Fedora po dwie.
CVE-2014-6277 w Gentusiu jest już załatane,w innych prezentowanych Linuxach dopiero będzie. xD


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#14  2014-10-06 23:55:42

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

M. Zalewski (Icamtuf) zaleca zainstalowanie patcha stworzonego przez inżyniera z Red Hat, Floriana Weiner, ktory opiera się na filtrowaniu zmiennych środowiskowych. Radykalny sposób.


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#15  2014-10-07 00:38:10

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Lepszy sposób, to założenie, że programy dzielą się na te, co będą wkrótce miały hardcorowe dziury, i na te, co już mają hardcorowe dziury. xD

Tutaj macie taki mały sposób, żeby hardcorowo dziurawy Bash nie był taki straszny:
http://jacekalex.sh.dug.net.pl/apparmor/usr.lib64.firefox.plugin-container.txt

I nie jest zbyt istotne dla systemu, jakie zmienne można zadeklarować  w bashu, ważniejsze jest, co realnie można zrobić przy pomocy basha i  tych zmiennych. :D

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2014-10-07 00:44:48)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#16  2014-10-07 08:35:13

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Najnowsza aktualizacja basha w gentoo

Kod:

winnetou@hordeum-vulgare ~ $ /usr/local/src/bashcheck/bashcheck 
Testing /bin/bash ...
GNU bash, version 4.2.53(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]

Offline

 

#17  2014-10-07 09:36:57

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Zgadza się, przed chwilką zaktualizowałem:

Kod:

Testing /bin/bash ...
GNU bash, version 4.2.53(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

Ciekawe, co tam w Debianach, Buntach i Fedorach słychać. ;)

Debian Jessie - Bash aktualizowany przed minutą - wersja 4.3-10 (wg dpkg):

Kod:

Testing /bin/bash ...
GNU bash, wersja 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

Jak na razie, Gentoo <> Debian Jessie  2:0.
Gentuś ma o dwie dziury w Bashu mniej.
Ciekawe, ile zajmie wyrównanie. :D

Ostatnio edytowany przez Jacekalex (2014-10-07 15:25:02)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#18  2014-10-07 09:38:59

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

The most important fix you need is one of the prefix/suffix-patches. Upstream patch number for this is bash042-050 and bash043-027 (patches for older versions also available). This patch was originally created by RedHat developer Florian Weimer and a modified version was applied by Bash developer Chet Ramey.

[b]Once you have this prefix patch all other vulnerabilities are not exploitable. They are still bugs that should be fixed, but there is nothing to worry about.[/b][/quote]

Offline

 

#19  2014-10-07 12:26:55

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Debian Sid aktualizowany przed minuta

Kod:

Testing /bin/bash ...
GNU bash, version 4.3.27(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

tez nie daje dobrych nadzieju a obroncy twierdza, ze problem jest rozwiazany.


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#20  2014-10-07 12:42:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=darius]Debian Sid aktualizowany przed minuta
....
tez nie daje dobrych nadzieju a obroncy twierdza, ze problem jest rozwiazany.[/quote]
Debian i inne duże uniwersalne dystrybucje mają jeden problem:
Kilka architektur sprzętowych, do tego wydania, stable, oldstable, testing, sid, do tego jeszcze kFreeBSD na innym jaju, a ludzi i kasy trochę jest, ale nie jest to źródło bez dna.

Dlaczego w Gentoo już są załatane obie dziury, a Debian ma opóźnienie?
W Gentoo Developerzy nie zajmują się paczkologią, tylko przygotowują ebuildy i obrabiają bugzillę, natomiast flagi kompilatora, wersje systemu (testing, stable, experimental), architektura, to już problem pacjenta i społeczności.

Dzięki temu każdy pacjent liźnie trochę developerki na własnym kompie,
i cholernie skutecznie poznaje w ten sposób Linuxa, a Developer nie musi paczkować programu na dwadzieścia rożnych wersji i architektur.

Krótko pisząc, z punktu widzenia developerów system dosyć ekologiczny, punktu użyszkodnika bezpieczny,  stabilny i przewidywalny, chyba, że ktoś jest tak odporny na doświadczenia empiryczne, że Debian też jest za trudny. :DDD

Pozdro
;)

Ostatnio edytowany przez Jacekalex (2014-10-07 12:43:10)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#21  2014-10-07 13:05:14

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

1089

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:15)

Offline

 

#22  2014-10-07 13:58:35

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

To co z takiego błędu może wyniknąć to też raczej nikt nie wie. Przecie tak samo było z tym pierwszym shellshockiem --  zaczeli experymentować i nagle się syf zrobił. :] Poza tym, ja próbowałem sobie pobrać źródła debianowe i nałożyć na nie te patche upstreamowe, bo z tego co ludzie piszą, to upstream już załatał wszystkie te dziury i patche są gotowe. Tylko co z tego, że pache są, jak w debianie nie idzie ich założyć, bo sypie błędami? xD Na niezdebianizowanych źródłach, te patche wchodzą bez problemu. Dlatego raczej poczekamy jeszcze zanim te ostatnie łaty wejdą do debiana.

Offline

 

#23  2014-10-07 15:21:53

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote="uzytkownikubunt"]Przecież jest wyraźnie napisane: Found non-exploitable - znaleziono błąd, jednak nie jest on wykorzystywalny do ataku.[/quote]
W zasadzie tak, ale tylko do czasu, aż ktoś nie wpadnie na pomysł, jak go wykorzystać.

W informatyce nie ma rzeczy niemożliwych, są tylko czasem trudniejsze do zrobienia.

A jak wiadomo od czasów starozytnych:

"zdarzają się takie rzeczy na niebie i ziemi, o których nie śniło się największym filozofom"[/quote]
Pisane z pamięci - nie jest to dosłowny cytat, ale sens jest  właśnie taki.

Ostatnio edytowany przez Jacekalex (2014-10-07 15:23:18)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#24  2014-10-07 16:26:12

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=Jacekalex][quote="uzytkownikubunt"]Przecież jest wyraźnie napisane: Found non-exploitable - znaleziono błąd, jednak nie jest on wykorzystywalny do ataku.[/quote]
W zasadzie tak, ale tylko do czasu, aż ktoś nie wpadnie na pomysł, jak go wykorzystać.[/quote]
To samo można napisać o każdym z tysięcy pakietów. O każdym programie, każdym systemie operacyjnym etc.
Dla mnie całe zamieszanie z luką w bashu zakończyło się na:

They are still bugs that should be fixed, but there is nothing to worry about.[/quote]
Widocznie jestem ignorantem ;)

Offline

 

#25  2014-10-07 16:43:25

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Podobnie podchodzą ci z windowsa, tylko chyba w nieco szerszym zakresie. xD

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.013 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00014 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00098 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.21.206' WHERE u.id=1
0.00080 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.21.206', 1732734191)
0.00056 SELECT * FROM punbb_online WHERE logged<1732733891
0.00156 SELECT topic_id FROM punbb_posts WHERE id=277029
0.00009 SELECT id FROM punbb_posts WHERE topic_id=26511 ORDER BY posted
0.00062 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26511 AND t.moved_to IS NULL
0.00008 SELECT search_for, replace_with FROM punbb_censoring
0.00225 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26511 ORDER BY p.id LIMIT 0,25
0.00107 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26511
Total query time: 0.0082 s