Küsitlus |
Kas olete peale Windows XP toe lõppemist täheldanud suuremat huvi Linuxi vastu? |
Jah olen küll |
[ 38 ] |
|
42% |
Huvi on ikka sama suur |
[ 16 ] |
|
17% |
Ei ole erilist muutust täheldanud |
[ 36 ] |
|
40% |
|
Hääli kokku : 90 |
[ Vaata tulemusi ] |
Pildid |
|
Pildi pealkiri: Minu Arch Linuxi desktop
Postitaja: ingram postitatud: 28.05.2006, 17:54
Vaadatud: 849 Hinnang: 6.5 Kommentaare: 0
|
[ Album ] |
|
|
Küsimused ja vastused - hiljutine tegevus |
---|
| Firefoxi uuendus | Algaja küsib | 09.02.2023, 14:31 | | Firefoxi vanem versioon tagasi | Algaja küsib | 05.02.2023, 13:44 | | Home partatsiooni tõstmine teisele partatsioonile või teisele kettale | Algaja küsib | 27.12.2022, 09:41 | | Kas EMT poolt antud netipulka Huawei E173 saab kasutada Estobuntu 14.04 juures | Mobiilsed seadmed | 06.11.2022, 17:31 | | Mis kiirklahvidega saab Eesti jutumärke Ubuntus? | Algaja küsib | 01.11.2022, 15:50 | | Kas Linux markeerib automaatselt bad sektoreid? | Varia | 30.03.2022, 20:04 | | Win 10 ja Linux ühes arvutis | Varia | 27.12.2021, 15:30 | | Hästi toimiv ID kaardi lugeja | Riistvara | 27.10.2021, 17:41 | | Grub recovery error-unknown filesystem | Algaja küsib | 16.10.2021, 18:35 | | Kuidas CDd ripida? | Tarkvara | 16.10.2021, 08:04 | | ID - kaart vs. Linux | Algaja küsib | 25.09.2021, 14:06 | | Teatame kurbusega meie kauaaegse sõbra ja tarkvara tõlkija Marek Laane lahkumisest. | Varia | 30.08.2021, 23:40 | | Ei saa vastata postitustele ega teha uusi postitusi pingviin.org'is enam. | Varia | 28.07.2021, 12:29 | | Kas pingviin.org eksisteerib vaid Id-tarkvara KKK tarbeks? | Algaja küsib | 18.07.2021, 20:37 | | Ununenud parooliga irdketta failidele ligipääsemine | Tarkvara | 18.05.2021, 21:22 | Vajad abi? Esita küsimus siin. |
Viimased teemad foorumis |
| ID tarkvara |
643 | 18.04.2024, 06:38 |
| Openssh tagauks, mis loodi uue xz 5.6.0/5.6.1 kaudu |
643 | 06.04.2024, 21:23 |
| Linux Mint 21.2 on väljas |
overflow | 06.04.2024, 21:17 |
| Vabavara talgud 2024 |
zeroconf | 13.03.2024, 17:47 |
| Plasma shortcutiga käivitades kaovad ssh-agent muutujad |
DaStoned | 15.02.2024, 12:41 |
| rhino linux (ubuntu, rolling) |
643 | 10.01.2024, 23:03 |
| wubuntu |
643 | 07.01.2024, 14:04 |
| tõlkenali |
643 | 03.12.2023, 14:13 |
| Milline on Sinu desktop? |
643 | 19.11.2023, 16:36 |
| Ubuntu 22.04 Beelink SER6 MAX kõlaritesse ei saa heli |
Meelis | 14.11.2023, 17:05 |
| Süsteemiinfo (python) veebiserveri pealt |
643 | 12.11.2023, 15:03 |
| 500 ja refresh php-s |
643 | 11.11.2023, 11:52 |
| Veebibrauseritesse lisatakse riiklik nuhkvara |
643 | 10.11.2023, 11:59 |
| Ikka veel DDoS? |
643 | 04.11.2023, 13:22 |
| Vaba tarkvara õhtu 2023 |
DaStoned | 03.11.2023, 13:49 |
|
postitatud 25.09.2014, 11:01 - akbgf |
|
|
27.09.2014, 12:08 by urmas
Minu mõttearendus jõudis selleni, et kõik vanad live-cd'd tuleks ära visata ...
https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/
ja katse viimase estobuntu isoga virtuaalmasinas:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Ehk vanade isodega lives panka minna võib vaenuliku dhcp otsas pahasti lõppeda
26.09.2014, 20:52 by akbgf
Nüüd on ka openSUSE-l parandus olemas.
% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
% env -i X='() { (a)=>\' bash -c 'echo date';cat echo
date
cat: echo: No such file or directory
% env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
completed
% env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
completed
% bash --version
GNU bash, version 4.2.47(1)-release (x86_64-suse-linux-gnu),
aga Yast ütleb, et Version: 4.2-68.8.1.
26.09.2014, 15:16 by obundra
Sortsu patch võib ju üleval olla, repodesse tuleb valmis pakk alati viivitusega.
26.09.2014, 14:54 by tris
26.09.2014, 13:21 by obundra
Äsja väljaantud patch ei aita lõplikult.Käsk testimiseks: Kood: | env x='() { :;}; echo vulnerable' bash -c "echo this is a test" |
ei anna enam vastuseks "vulnerable", aga käsud: Kood: | env -i X='() { (a)=>\' bash -c 'echo date';cat echo
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
|
näitavad, et endiselt on auk olemas.
Info: https://www.youtube.com/watch?v=W7GaVyzkCs0 8:35 peal,
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html
Veidi abi võib saada SELinuxist, https://danwalsh.livejournal.com/71122.html
E: Paistab, et nüüdseks on ka paranduse parandus väljas ja auk kinni, vähemalt mu hoole all olevad Debian, RHEL, CentOS ja Oracle Linux masinad järjekordse bashi uuenduse järel enam ei "leki"
26.09.2014, 08:21 by tris
Põhjalik lugu häkkeriuudistes:
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html
osx. unix, linux - kõik serveri rakendused, mis kasutavad bashi.. nii sain aru.
(trisquelil täna ka bashi uuendus tehtud.)
VANA VIGA BASHIS ~20 aastat, mida programm lshell conf keelas:
## a list of forbidden character or commands
forbidden : [';', '&', '|','`','>','<', '$(', '${']
26.09.2014, 08:05 by illukas
seda exploiti saab ssh puhul kasutada ainult siis kui sa oled juba sisse loginud- või olen ma millestki valesti aru saanud?
cgi-ga on muidugi kurvemad lood
25.09.2014, 18:51 by imre
25.09.2014, 16:48 by akbgf
mihkel kirjutas: | kui aga
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
siis peaks korras olema. |
Vist ei pruugi olla. Mul peale bashi parandust:
% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Aga
% env X='() { (a)=>\' sh -c "echo date"
sh: X: line 1: syntax error near unexpected token `='
sh: X: line 1: `'
sh: error importing function definition for `X'
% cat echo
Thu Sep 25 15:44:15 GMT-2 2014
25.09.2014, 16:07 by ertserts
Jah, tõesti nii ongi!
Just proovisin ühte Ubuntu 14.04 LTS SSH teenusega serverit ja tulemuseks (alert!):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Pärast sudo apt-get update ja sudo apt-get upgrade uuendati ära paketimajandus:
The following packages have been kept back:
linux-generic linux-headers-generic linux-image-generic
The following packages will be upgraded:
apt apt-transport-https apt-utils bash dbus libapt-inst1.5 libapt-pkg4.12
libdbus-1-3
Uueks testi tulemuseks (ok):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
|