ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
לטאה ארוראורח · ·
 

הודעה פורסם: 25/09/2014 - 20:29
נושא ההודעה: חור אבטחה בBASH

http://www.zdnet.com/unixlinux-bash-critical-security-hole-uncovered-7000034021/
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 25/09/2014 - 23:51
נושא ההודעה: באותו עניין

http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 27/09/2014 - 03:34
נושא ההודעה:

במאמר מופיעה הבדיקה:
קוד:

env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"

ברוב מערכות דביאן ואובונטו /bin/sh לרוב אינו bash. לכן הבדיקה הזו לא בודקת את bash. מצד שני, זה גם מוריד מחומרת הבעיה.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 27/09/2014 - 08:54
נושא ההודעה:

ראשית איך זה שעשרים וחמש שנים מיטב המוחות בכדוה"א לא עלו על הבאג הזה?
שנית מהו בכלל הבאג במילים פשוטות להדיוטות? היכולת להריץ פקודות של דרך סרביסים?
(לדוגמה, להעביר דרך ה http headers משתנה סביבה? נו, כל יום אני לומד משהו חדש)
דבר נוסף - פרופרציות. מה דעת המומחים כאן על המאמר הזה - http://linux-virt.biz/%D7%9B%D7%9E%D7%94-%D7%9E%D7%99%D7%9C%D7%99%D7%9D-%D7%A2%D7%9C-%D7%A4%D7%99%D7%A8%D7%A6%D7%AA-%D7%94%D7%90%D7%91%D7%98%D7%97%D7%94-%D7%A9%D7%9C-bash/

ולסיום. שוב במילים פשוטות - כיצד תוקן הבאג?

תודה לעונים.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
מר אורחאורח · ·
 

הודעה פורסם: 27/09/2014 - 09:16
נושא ההודעה:

ניסיתי את זה:

קוד:

env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'


על דביאן קיבלתי:

קוד:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test


שנראה בסדר.
אחרי עדכון:

קוד:

this is a test


שגם נראה בסדר רק בלי ההודעת שגיאה.
בכל מקרה לא יודע ייתכן ויש מערכות שזה מאפשר להריץ קוד. למיטב הבנתי (המוגבלת) זה אומר שאפשר להריץ כל פקודה על השרת (ע"י הגדרת משתנה מערכת כזה).
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
רם אוןאורח · ·
 

הודעה פורסם: 27/09/2014 - 10:26
נושא ההודעה: הבעיה היא עם מערכות לא מעודכנות

כבר אתמול ירד עדכון של אובנטו ודביאן ל-bash. כך שמי שמעדכן את המערכות שלו על בסיס קבוע, לא צריך להיות מעודכן.

הבעיה נובעת משירותי web העושים שימוש ב- bash. למשל, סקריפט cgi ש- apache. זו פרקטיקה מאוד גרועה להריץ פקודות דרך המערכת, והיא עוד יותר גרועה אם השירות רץ תחת root. יש הרבה המריצים את כל השירותים שלהם ב- chroot, אני משער שזה נותן הגנה.

מי שחשופים הם אותם אלו שלא מעדכנים את המערכת שלהם. ומודבר להערכתי על המון מערכות ייצור, אשר דבקות בפרקטיקה השמרנית והמטופשת - אם זה לא שבור, אל תעדכן.

מערכות כאלו בד"כ גם מאוד קשה לעדכן. צריך לבנות אותן מחדש. החשש הוא שההזנחה שהתגלתה בבאג הקוד (heartbeat) תהיה קיימת גם במקרה זה. מאחר ש-50 מה-web רץ על apache מדובר על סיכון ממשי לאינטרנט עצמו. מי שמשלה את עצמו שבגלל שהוא עושה שימוש בתוכנה חופשית, זה אומר שאין בה באגים, ילמד הפעם. אני מקווה.

משעשע.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
Yotambלא בפורום כעת ת.הצטרפות: 06/01/2007 · הודעות: 1598 ·
 

הודעה פורסם: 28/09/2014 - 15:48
נושא ההודעה:

בכל פיסת קוד, ישנם באגים. מי שמשתמש בתוכנה כלשהי (קוד פתוח או לא) ומצפה שלא יהיו בה באגים הוא תמים.
הייתרון בפרוייקט קוד פתוח, כמו במקרה הנוכחי, הוא שמרגע שמצאו את הפירצה - היא תוקנה תוך פחות משבוע. במערכות קנייניות לא בטוח שתזכה לתיקון כה מהיר (ע"ע ג'אווה ופרצותיו), והסיכוי שבכלל תדע שיש פירצה הוא נמוך, כי החברה שמתחזקת את הפרוייקט לא תמהר להודיע למשתמשים שלה שמצאו בעיה חמורה (ע"ע iCloud). ואני לא מדבר בכלל על זה שפרוייקטים קניינים עלולים לדרוש תשלום בשביל תיקונים שכאלה.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 28/09/2014 - 18:35
נושא ההודעה:

העדכון פתר חלק מהבעיה הבסיסית. אם אתם באמת מריצים CGI שכתוב ב־shell והוא באמת מורץ על ידי bash, טכניקת הניצול הבסיסית תמשיך לעבוד לא רע. אפשר להמר שהסקריפט ישתמש בפקודה שכיחה כגון echo ולהחליף אותה:
קוד:

$ echo='() { pwd; }' bash -c 'echo hi'
/home/tzafrir
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אוריבלא בפורום כעת ת.הצטרפות: 30/10/2003 · הודעות: 445 ·
 

הודעה פורסם: 28/09/2014 - 22:15
נושא ההודעה:

צפריר :
העדכון פתר חלק מהבעיה הבסיסית. אם אתם באמת מריצים CGI שכתוב ב־shell והוא באמת מורץ על ידי bash, טכניקת הניצול הבסיסית תמשיך לעבוד לא רע. אפשר להמר שהסקריפט ישתמש בפקודה שכיחה כגון echo ולהחליף אותה:
קוד:

$ echo='() { pwd; }' bash -c 'echo hi'
/home/tzafrir


ישנו עדכון נוסף שפותר את הבעיה באופן יסודי. בוודאות נמצא באובונטו, ומן הסתם מחלחל גם להפצות אחרות. (העדכון נכתב ע"י Florian Weimer שחבר בצוות האבטחה של Fedora ושל Debian).
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. אורח [לטאה ארור]
  2. אורח
  3. אורח [צפריר]
  4. אורח
  5. אורח [מר אורח]
  6. אורח [רם און]
  7. Yotamb
  8. אורח [צפריר]
  9. אוריב