Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Logi sisse
Kasutajanimi:

Parool:
 Pea mind meeles



Unustasin parooli

Sul pole veel kontot?
Sa saad tasuta registreeruda!

Navigatsioon
  Pingviin
    Registreeru
    Uudiste Kategooriad
    Arhiivid
    Pingviini reeglid
    Viimased teemad foorumis
    Viki
    Kasutajate nimekiri
    Statistika
    Pingviin @ Facebook
    Linuxi kasutajad @ Google+
    Pingviin avaleheks
  Allalaadimised
    Viimased
    Otsing
  Reklaam
    NetiKink


Küsitlus
Kas olete peale Windows XP toe lõppemist täheldanud suuremat huvi Linuxi vastu?
Jah olen küll [ 38 ]
42%  42%  
Huvi on ikka sama suur [ 16 ]
17%  17%  
Ei ole erilist muutust täheldanud [ 36 ]
40%  40%  
Hääli kokku : 90
[ Vaata tulemusi ]

Pildid
Gnome 2.14 ja Arch Linux
Pildi pealkiri: Minu Arch Linuxi desktop
Postitaja: ingram
postitatud: 28.05.2006, 17:54
Vaadatud: 849
Hinnang: 6.5
Kommentaare: 0
[ Album ]

Lingid
Gentoo Linux

FSFE
ezPortal by Smartor
phpBB3 Support
Küsimused ja vastused - hiljutine tegevus
KFirefoxi uuendusAlgaja küsib09.02.2023, 14:31
KFirefoxi vanem versioon tagasiAlgaja küsib05.02.2023, 13:44
VHome partatsiooni tõstmine teisele partatsioonile või teisele kettaleAlgaja küsib27.12.2022, 09:41
KKas EMT poolt antud netipulka Huawei E173 saab kasutada Estobuntu 14.04 juuresMobiilsed seadmed06.11.2022, 17:31
KMis kiirklahvidega saab Eesti jutumärke Ubuntus?Algaja küsib01.11.2022, 15:50
VKas Linux markeerib automaatselt bad sektoreid?Varia30.03.2022, 20:04
KWin 10 ja Linux ühes arvutisVaria27.12.2021, 15:30
KHästi toimiv ID kaardi lugejaRiistvara27.10.2021, 17:41
KGrub recovery error-unknown filesystemAlgaja küsib16.10.2021, 18:35
VKuidas CDd ripida?Tarkvara16.10.2021, 08:04
KID - kaart vs. LinuxAlgaja küsib25.09.2021, 14:06
VTeatame kurbusega meie kauaaegse sõbra ja tarkvara tõlkija Marek Laane lahkumisest.Varia30.08.2021, 23:40
KEi saa vastata postitustele ega teha uusi postitusi pingviin.org'is enam.Varia28.07.2021, 12:29
KKas pingviin.org eksisteerib vaid Id-tarkvara KKK tarbeks?Algaja küsib18.07.2021, 20:37
KUnunenud parooliga irdketta failidele ligipääsemineTarkvara18.05.2021, 21:22
Vajad abi? Esita küsimus siin.

Viimased teemad foorumis
ID tarkvara 643 18.04.2024, 06:38
Openssh tagauks, mis loodi uue xz 5.6.0/5.6.1 kaudu 643 06.04.2024, 21:23
Linux Mint 21.2 on väljas overflow 06.04.2024, 21:17
Vabavara talgud 2024 zeroconf 13.03.2024, 17:47
Plasma shortcutiga käivitades kaovad ssh-agent muutujad DaStoned 15.02.2024, 12:41
rhino linux (ubuntu, rolling) 643 10.01.2024, 23:03
wubuntu 643 07.01.2024, 14:04
tõlkenali 643 03.12.2023, 14:13
Milline on Sinu desktop? 643 19.11.2023, 16:36
Ubuntu 22.04 Beelink SER6 MAX kõlaritesse ei saa heli Meelis 14.11.2023, 17:05
Süsteemiinfo (python) veebiserveri pealt 643 12.11.2023, 15:03
500 ja refresh php-s 643 11.11.2023, 11:52
Veebibrauseritesse lisatakse riiklik nuhkvara 643 10.11.2023, 11:59
Ikka veel DDoS? 643 04.11.2023, 13:22
Vaba tarkvara õhtu 2023 DaStoned 03.11.2023, 13:49

  Turvaviga bashis
postitatud 25.09.2014, 11:01 - akbgf
Turvahoiatused Slashdot teatab täna, et bashis leiti turvaviga:
Remote Exploit Vulnerability Found In Bash
http://linux.slashdot.org/story/14/09/24/1638207/remote-exploit-vulnerability-found-in-bash

Missugustel distrodel viga juba parandatud, seda ei tea.
OpenSUSE-l (x64) on bashi turvaparandus, aga selle veaga on ikka veel probleeme.
Seda uudist on vaadatud 10255 korda. Lisatud on 12 kommentaari. Postita kommentaar

27.09.2014, 12:08 by urmas
Minu mõttearendus jõudis selleni, et kõik vanad live-cd'd tuleks ära visata ...

https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/

ja katse viimase estobuntu isoga virtuaalmasinas:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Ehk vanade isodega lives panka minna võib vaenuliku dhcp otsas pahasti lõppeda
26.09.2014, 20:52 by akbgf
Nüüd on ka openSUSE-l parandus olemas.

% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

% env -i X='() { (a)=>\' bash -c 'echo date';cat echo
date
cat: echo: No such file or directory

% env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
completed

% env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
completed

% bash --version
GNU bash, version 4.2.47(1)-release (x86_64-suse-linux-gnu),
aga Yast ütleb, et Version: 4.2-68.8.1.
26.09.2014, 15:16 by obundra
Sortsu patch võib ju üleval olla, repodesse tuleb valmis pakk alati viivitusega.
26.09.2014, 13:21 by obundra
Äsja väljaantud patch ei aita lõplikult.Käsk testimiseks:
Kood:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
ei anna enam vastuseks "vulnerable", aga käsud:
Kood:
env -i  X='() { (a)=>\' bash -c 'echo date';cat echo
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
näitavad, et endiselt on auk olemas.
Info: https://www.youtube.com/watch?v=W7GaVyzkCs0 8:35 peal,
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html
Veidi abi võib saada SELinuxist, https://danwalsh.livejournal.com/71122.html

E: Paistab, et nüüdseks on ka paranduse parandus väljas ja auk kinni, vähemalt mu hoole all olevad Debian, RHEL, CentOS ja Oracle Linux masinad järjekordse bashi uuenduse järel enam ei "leki"
26.09.2014, 08:21 by tris
Põhjalik lugu häkkeriuudistes:
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html

osx. unix, linux - kõik serveri rakendused, mis kasutavad bashi.. nii sain aru.

(trisquelil täna ka bashi uuendus tehtud.)

VANA VIGA BASHIS ~20 aastat, mida programm lshell conf keelas:

## a list of forbidden character or commands
forbidden : [';', '&', '|','`','>','<', '$(', '${']
26.09.2014, 08:05 by illukas
seda exploiti saab ssh puhul kasutada ainult siis kui sa oled juba sisse loginud- või olen ma millestki valesti aru saanud?

cgi-ga on muidugi kurvemad lood
25.09.2014, 18:51 by imre
PHP kujul
http://www.exploit-db.com/exploits/34766/
25.09.2014, 16:48 by akbgf
mihkel kirjutas:
kui aga
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

siis peaks korras olema.

Vist ei pruugi olla. Mul peale bashi parandust:

% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Aga
% env X='() { (a)=>\' sh -c "echo date"
sh: X: line 1: syntax error near unexpected token `='
sh: X: line 1: `'
sh: error importing function definition for `X'
% cat echo
Thu Sep 25 15:44:15 GMT-2 2014
25.09.2014, 16:07 by ertserts
Jah, tõesti nii ongi! Shocked

Just proovisin ühte Ubuntu 14.04 LTS SSH teenusega serverit ja tulemuseks (alert!):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Pärast sudo apt-get update ja sudo apt-get upgrade uuendati ära paketimajandus:
The following packages have been kept back:
linux-generic linux-headers-generic linux-image-generic
The following packages will be upgraded:
apt apt-transport-https apt-utils bash dbus libapt-inst1.5 libapt-pkg4.12
libdbus-1-3

Uueks testi tulemuseks (ok):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Mine lehele 1, 2  Järgmine

Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group