Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
[quote=jacekalex]Krótko pisząc, z punktu widzenia developerów system dosyć ekologiczny, punktu użyszkodnika bezpieczny, stabilny i przewidywalny, chyba, że ktoś jest tak odporny na doświadczenia empiryczne, że Debian też jest za trudny.[/quote]
Pozwolisz, ze sobie jednak odpuszcze Twoj ulubiony system. smile
[quote=uzytkownikubunt[/quote]
Przecież jest wyraźnie napisane: Found non-exploitable[/quote]
Nie bede negowal ale wedlug mnie to jest zaklejone kitem co zreszta nie ma duzego znaczenia poniewaz w tym momencie "trenuje" BSD i domyslnie inny shell
Ostatnio edytowany przez darius (2014-10-07 17:55:05)
Offline
Tytuł wątku przypomina stary dowcip: "Kto jest twoim największym ideałem i dlaczego właśnie Lenin?".
Offline
[quote=davidoski]Tytuł wątku przypomina stary dowcip[/quote]
Moze zle przetlumaczylem => http://www.technologyreview.com/view/531286/why-the-shellshock-bug-is-worse-than-heartbleed/ ?
Offline
1092
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:19)
Offline
Ja tam nie widzę nigdzie błędu. W oryginalne i w tym temacie nie widać znaka zapytania. xD Nie jest to zatem pytanie a twierdzenie. Samo "why" o niczym też nie świadczy. Choć co ja tam wiem o gramatyce, ja tylko mówię jak ludzie piszą. xD
Offline
1093
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:20)
Offline
Po dzisiejszej aktualizacji bash-a (debian sid):
sh bashcheck.sh -e Testing /bin/bash ... GNU bash, wersja 4.3.30(1)-release (x86_64-pc-linux-gnu) -e -e Variable function parser pre/suffixed [%%, upstream], bugs not exploitable -e Not vulnerable to CVE-2014-6271 (original shellshock) -e Not vulnerable to CVE-2014-7169 (taviso bug) bashcheck.sh: 50: [: 1: unexpected operator bashcheck.sh: 50: [: 0: unexpected operator -e Not vulnerable to CVE-2014-7186 (redir_stack bug) bashcheck.sh: 3: [: 0: unexpected operator -e Found non-exploitable CVE-2014-7187 (nested loops off by one) -e Not vulnerable to CVE-2014-6277 (lcamtuf bug #1) -e Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)
Offline
Znakomity "przewrot" sytuacji od samego rana (Sid)
Testing /bin/bash ... GNU bash, version 4.3.30(1)-release (x86_64-pc-linux-gnu) Variable function parser pre/suffixed [%%, upstream], bugs not exploitable Not vulnerable to CVE-2014-6271 (original shellshock) Not vulnerable to CVE-2014-7169 (taviso bug) Not vulnerable to CVE-2014-7186 (redir_stack bug) Test for CVE-2014-7187 not reliable without address sanitizer Not vulnerable to CVE-2014-6277 (lcamtuf bug #1) Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)
Chyba trzeba zmienic tytul na "Czy Bug ShellShock jest grozniejszy od Heartbleed" aby nie stresowac ludzi.
Offline
Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.
Od tej dziury w Bashu może oberwać tylko serwer o cukierkowym modelu bezpieczeństwa, a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.
Przez "cukierkową ochronę" rozumiem sytuację, kiedy mamy np twardą skorupę typu firewall (to ma być niby bezpieczeństwo), a po pokonaniu tego podstawowego zabezpieczenia mamy miękkie wnętrze, gdzie praktycznie nie ma żadnych silnych barier zdolnych obronić system przed skompromitowaniem.
Heartbleed był groźniejszy dlatego, że można było z niego korzystać latami bez żadnego śladu, kradnąc najważniejsze tajemnice, i nie było żadnego mechanizmu wewnątrz systemów operacyjnych, zdolnej do ochrony przed taką podatnością, lub minimalizującego związane z nią ryzyko.
Ostatnio edytowany przez Jacekalex (2014-10-08 14:18:46)
Offline
[quote=Jacekalex]Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.[/quote]
Bardzo nie lubie sie "sprzeczac" ale jezeli nic nie wiesz o dziurze to nie jestes zabezpieczony. A cytowalem faceta godnego zaufania https://www.google.com/search?q=Cesar+Cerrudo&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:unofficial&client=iceweasel-a&channel=sb
a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.[/quote]
Tak mi sie spodobalo, ze smieje od samego rana. smile
Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00095 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.224.53.246' WHERE u.id=1 |
0.00063 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.224.53.246', 1732408850) |
0.00053 | SELECT * FROM punbb_online WHERE logged<1732408550 |
0.00055 | SELECT topic_id FROM punbb_posts WHERE id=277091 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=26511 ORDER BY posted |
0.00052 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26511 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00174 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26511 ORDER BY p.id LIMIT 25,25 |
0.00079 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26511 |
Total query time: 0.00595 s |