Küsitlus |
Kas olete peale Windows XP toe lõppemist täheldanud suuremat huvi Linuxi vastu? |
Jah olen küll |
[ 38 ] |
|
41% |
Huvi on ikka sama suur |
[ 16 ] |
|
17% |
Ei ole erilist muutust täheldanud |
[ 37 ] |
|
40% |
|
Hääli kokku : 91 |
[ Vaata tulemusi ] |
Pildid |
|
Pildi pealkiri: fierfox-bot
Postitaja: uniz postitatud: 07.12.2006, 11:03
Vaadatud: 1241 Hinnang: pole hinnatud Kommentaare: 0
|
[ Album ] |
|
|
Küsimused ja vastused - hiljutine tegevus |
---|
| Discord jookseb kokku Sway 1.9 peal | Algaja küsib | 27.06.2024, 21:38 | | Firefoxi uuendus | Algaja küsib | 09.02.2023, 14:31 | | Firefoxi vanem versioon tagasi | Algaja küsib | 05.02.2023, 13:44 | | Home partatsiooni tõstmine teisele partatsioonile või teisele kettale | Algaja küsib | 27.12.2022, 09:41 | | Kas EMT poolt antud netipulka Huawei E173 saab kasutada Estobuntu 14.04 juures | Mobiilsed seadmed | 06.11.2022, 17:31 | | Mis kiirklahvidega saab Eesti jutumärke Ubuntus? | Algaja küsib | 01.11.2022, 15:50 | | Kas Linux markeerib automaatselt bad sektoreid? | Varia | 30.03.2022, 20:04 | | Win 10 ja Linux ühes arvutis | Varia | 27.12.2021, 15:30 | | Hästi toimiv ID kaardi lugeja | Riistvara | 27.10.2021, 17:41 | | Grub recovery error-unknown filesystem | Algaja küsib | 16.10.2021, 18:35 | | Kuidas CDd ripida? | Tarkvara | 16.10.2021, 08:04 | | ID - kaart vs. Linux | Algaja küsib | 25.09.2021, 14:06 | | Teatame kurbusega meie kauaaegse sõbra ja tarkvara tõlkija Marek Laane lahkumisest. | Varia | 30.08.2021, 23:40 | | Ei saa vastata postitustele ega teha uusi postitusi pingviin.org'is enam. | Varia | 28.07.2021, 12:29 | | Kas pingviin.org eksisteerib vaid Id-tarkvara KKK tarbeks? | Algaja küsib | 18.07.2021, 20:37 | Vajad abi? Esita küsimus siin. |
Viimased teemad foorumis |
| buntu 24.10 (Oracular Oriole) väljas |
spott | 10.10.2024, 18:42 |
| Plasma shortcutiga käivitades kaovad ssh-agent muutujad |
DaStoned | 07.10.2024, 13:35 |
| Vaba tarkvara õhtu 27.09.2024 kl 18 |
zeroconf | 26.09.2024, 17:37 |
| Vaba tarkvara päev 2024 TalTechi IT Kolledžis |
zeroconf | 18.09.2024, 10:46 |
| quiet - privaatne chat |
643 | 27.08.2024, 08:50 |
| Ubuntu 24.04 LTS Noble Numbat |
643 | 22.08.2024, 09:00 |
| wubuntu |
643 | 14.08.2024, 10:21 |
| AMD 'Sinkclose'i haavatavus [täiendatud] |
643 | 13.08.2024, 04:51 |
| 2 lugu vabast tarkvarast |
643 | 11.08.2024, 10:02 |
| KDE Neon ja bluetooth klapid |
hirax | 11.08.2024, 08:16 |
| Failide indekseerimine võtab kaua aega |
DaStoned | 06.08.2024, 11:49 |
| Linux Mint 22 Wilma on väljas |
overflow | 30.07.2024, 20:00 |
| ID tarkvara |
jaan513 | 22.07.2024, 12:08 |
| Wine turvariskid |
643 | 07.05.2024, 19:07 |
| Vabavara talgud 2024 |
zeroconf | 30.04.2024, 09:01 |
|
postitatud 25.09.2014, 10:01 - akbgf |
|
|
27.09.2014, 11:08 by urmas
Minu mõttearendus jõudis selleni, et kõik vanad live-cd'd tuleks ära visata ...
https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/
ja katse viimase estobuntu isoga virtuaalmasinas:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Ehk vanade isodega lives panka minna võib vaenuliku dhcp otsas pahasti lõppeda
26.09.2014, 19:52 by akbgf
Nüüd on ka openSUSE-l parandus olemas.
% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
% env -i X='() { (a)=>\' bash -c 'echo date';cat echo
date
cat: echo: No such file or directory
% env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
completed
% env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
completed
% bash --version
GNU bash, version 4.2.47(1)-release (x86_64-suse-linux-gnu),
aga Yast ütleb, et Version: 4.2-68.8.1.
26.09.2014, 14:16 by obundra
Sortsu patch võib ju üleval olla, repodesse tuleb valmis pakk alati viivitusega.
26.09.2014, 13:54 by tris
26.09.2014, 12:21 by obundra
Äsja väljaantud patch ei aita lõplikult.Käsk testimiseks: Kood: | env x='() { :;}; echo vulnerable' bash -c "echo this is a test" |
ei anna enam vastuseks "vulnerable", aga käsud: Kood: | env -i X='() { (a)=>\' bash -c 'echo date';cat echo
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
|
näitavad, et endiselt on auk olemas.
Info: https://www.youtube.com/watch?v=W7GaVyzkCs0 8:35 peal,
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html
Veidi abi võib saada SELinuxist, https://danwalsh.livejournal.com/71122.html
E: Paistab, et nüüdseks on ka paranduse parandus väljas ja auk kinni, vähemalt mu hoole all olevad Debian, RHEL, CentOS ja Oracle Linux masinad järjekordse bashi uuenduse järel enam ei "leki"
26.09.2014, 07:21 by tris
Põhjalik lugu häkkeriuudistes:
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html
osx. unix, linux - kõik serveri rakendused, mis kasutavad bashi.. nii sain aru.
(trisquelil täna ka bashi uuendus tehtud.)
VANA VIGA BASHIS ~20 aastat, mida programm lshell conf keelas:
## a list of forbidden character or commands
forbidden : [';', '&', '|','`','>','<', '$(', '${']
26.09.2014, 07:05 by illukas
seda exploiti saab ssh puhul kasutada ainult siis kui sa oled juba sisse loginud- või olen ma millestki valesti aru saanud?
cgi-ga on muidugi kurvemad lood
25.09.2014, 17:51 by imre
25.09.2014, 15:48 by akbgf
mihkel kirjutas: | kui aga
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
siis peaks korras olema. |
Vist ei pruugi olla. Mul peale bashi parandust:
% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Aga
% env X='() { (a)=>\' sh -c "echo date"
sh: X: line 1: syntax error near unexpected token `='
sh: X: line 1: `'
sh: error importing function definition for `X'
% cat echo
Thu Sep 25 15:44:15 GMT-2 2014
25.09.2014, 15:07 by ertserts
Jah, tõesti nii ongi!
Just proovisin ühte Ubuntu 14.04 LTS SSH teenusega serverit ja tulemuseks (alert!):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Pärast sudo apt-get update ja sudo apt-get upgrade uuendati ära paketimajandus:
The following packages have been kept back:
linux-generic linux-headers-generic linux-image-generic
The following packages will be upgraded:
apt apt-transport-https apt-utils bash dbus libapt-inst1.5 libapt-pkg4.12
libdbus-1-3
Uueks testi tulemuseks (ok):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
|