Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2014-10-07 17:03:59

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=jacekalex]Krótko pisząc, z punktu widzenia developerów system dosyć ekologiczny, punktu użyszkodnika bezpieczny,  stabilny i przewidywalny, chyba, że ktoś jest tak odporny na doświadczenia empiryczne, że Debian też jest za trudny.[/quote]
Pozwolisz, ze sobie jednak odpuszcze Twoj ulubiony system. smile
[quote=uzytkownikubunt[/quote]
Przecież jest wyraźnie napisane: Found non-exploitable[/quote]
Nie bede negowal ale wedlug mnie to jest zaklejone kitem co zreszta nie ma duzego znaczenia poniewaz w tym momencie "trenuje" BSD i domyslnie inny shell

Ostatnio edytowany przez darius (2014-10-07 17:55:05)


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#27  2014-10-07 19:28:36

  davidoski - Użytkownik

davidoski
Użytkownik
Skąd: Poznań
Zarejestrowany: 2007-04-17

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Tytuł wątku przypomina stary dowcip: "Kto jest twoim największym ideałem i dlaczego właśnie Lenin?".

Offline

 

#28  2014-10-07 19:29:47

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Cicho bo znów zamkną wątek i jak tak dalej pójdzie to będzie dug tylko do odczytu. xD

Offline

 

#29  2014-10-07 20:10:07

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=davidoski]Tytuł wątku przypomina stary dowcip[/quote]
Moze zle przetlumaczylem => http://www.technologyreview.com/view/531286/why-the-shellshock-bug-is-worse-than-heartbleed/ ?


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#30  2014-10-07 22:00:03

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

1092

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:19)

Offline

 

#31  2014-10-07 22:14:16

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Ja tam nie widzę nigdzie błędu. W oryginalne i w tym temacie nie widać znaka zapytania. xD Nie jest to zatem pytanie a twierdzenie. Samo "why" o niczym też nie świadczy. Choć co ja tam wiem o gramatyce, ja tylko mówię jak ludzie piszą. xD

Offline

 

#32  2014-10-07 22:23:38

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

1093

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:20)

Offline

 

#33  2014-10-08 01:25:35

  Elder - Członek z ramienia...

Elder
Członek z ramienia...
Skąd: Lubaczów
Zarejestrowany: 2008-05-26
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Po dzisiejszej aktualizacji bash-a (debian sid):

Kod:

sh bashcheck.sh 
-e Testing /bin/bash ...
GNU bash, wersja 4.3.30(1)-release (x86_64-pc-linux-gnu)
-e 
-e Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
-e Not vulnerable to CVE-2014-6271 (original shellshock)
-e Not vulnerable to CVE-2014-7169 (taviso bug)
bashcheck.sh: 50: [: 1: unexpected operator
bashcheck.sh: 50: [: 0: unexpected operator
-e Not vulnerable to CVE-2014-7186 (redir_stack bug)
bashcheck.sh: 3: [: 0: unexpected operator
-e Found non-exploitable CVE-2014-7187 (nested loops off by one)
-e Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
-e Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

Dell M4500 [ i5-540M | NV FX1800M]
linux registered user #481040
[img]http://dl.dropbox.com/u/53204815/snoozer_likelinux_man.gif[/img]

Offline

 

#34  2014-10-08 02:34:20

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Kod:

bash (4.3-11) unstable; urgency=medium
 .
   * Apply upstream patches 028 - 030.

I u mnie po instalacji też już fixneło te błędy. xD

Offline

 

#35  2014-10-08 06:41:52

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Znakomity "przewrot" sytuacji od samego rana (Sid)

Kod:

Testing /bin/bash ...
GNU bash, version 4.3.30(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)

Chyba trzeba zmienic tytul na "Czy Bug ShellShock jest grozniejszy od Heartbleed" aby nie stresowac ludzi.


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#36  2014-10-08 06:59:34

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.

Od tej dziury w Bashu może oberwać tylko serwer o cukierkowym modelu bezpieczeństwa, a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.

Przez "cukierkową ochronę" rozumiem sytuację, kiedy mamy np twardą skorupę typu firewall (to ma być niby bezpieczeństwo), a po pokonaniu tego podstawowego zabezpieczenia mamy miękkie wnętrze, gdzie praktycznie nie ma żadnych silnych barier zdolnych obronić system przed skompromitowaniem.

Heartbleed był groźniejszy dlatego, że można było z niego korzystać latami bez żadnego śladu, kradnąc  najważniejsze tajemnice, i nie było żadnego mechanizmu wewnątrz systemów operacyjnych, zdolnej do ochrony przed taką podatnością, lub minimalizującego związane z nią ryzyko.

Ostatnio edytowany przez Jacekalex (2014-10-08 14:18:46)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#37  2014-10-08 10:19:40

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Czy Bug ShellShock jest grozniejszy od Heartbleed

[quote=Jacekalex]Błąd w tytule polega na tym że cytujesz jakieś opinie bez refleksyjnie,
i np nie uwzględniłeś prostego zjawiska, sama dziura w programie jest zagrożeniem o tyle, o ile w systemie nie ma mechanizmów chroniących przed dolegliwością tej dziury.[/quote]
Bardzo nie lubie sie "sprzeczac" ale jezeli nic nie wiesz o dziurze to nie jestes zabezpieczony.  A cytowalem faceta godnego zaufania https://www.google.com/search?q=Cesar+Cerrudo&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:unofficial&client=iceweasel-a&channel=sb

a administrator, który zostawia serwer w stanie cukierkowej ochrony nadaje się przede wszystkim na konserwy dla psów.[/quote]
Tak mi sie spodobalo, ze smieje od samego rana. smile


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.011 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00103 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.201.93' WHERE u.id=1
0.00182 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.201.93', 1732730592)
0.00057 SELECT * FROM punbb_online WHERE logged<1732730292
0.00060 SELECT topic_id FROM punbb_posts WHERE id=277108
0.00154 SELECT id FROM punbb_posts WHERE topic_id=26511 ORDER BY posted
0.00063 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26511 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00126 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26511 ORDER BY p.id LIMIT 25,25
0.00080 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26511
Total query time: 0.00846 s