Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Logi sisse
Kasutajanimi:

Parool:
 Pea mind meeles



Unustasin parooli

Sul pole veel kontot?
Sa saad tasuta registreeruda!

Navigatsioon
  Pingviin
    Registreeru
    Uudiste Kategooriad
    Arhiivid
    Pingviini reeglid
    Viimased teemad foorumis
    Viki
    Kasutajate nimekiri
    Statistika
    Pingviin @ Facebook
    Linuxi kasutajad @ Google+
    Pingviin avaleheks
  Allalaadimised
    Viimased
    Otsing
  Reklaam
    NetiKink


Küsitlus
Kas olete peale Windows XP toe lõppemist täheldanud suuremat huvi Linuxi vastu?
Jah olen küll [ 38 ]
41%  41%  
Huvi on ikka sama suur [ 16 ]
17%  17%  
Ei ole erilist muutust täheldanud [ 37 ]
40%  40%  
Hääli kokku : 91
[ Vaata tulemusi ]

Pildid
Pildi pealkiri: töölaud
Postitaja: saekaater
postitatud: 11.03.2007, 11:34
Vaadatud: 727
Hinnang: 5
Kommentaare: 1
[ Album ]

Lingid
Gentoo Linux

FSFE
ezPortal by Smartor
phpBB3 Support
Küsimused ja vastused - hiljutine tegevus
KDiscord jookseb kokku Sway 1.9 pealAlgaja küsib27.06.2024, 21:38
KFirefoxi uuendusAlgaja küsib09.02.2023, 14:31
KFirefoxi vanem versioon tagasiAlgaja küsib05.02.2023, 13:44
VHome partatsiooni tõstmine teisele partatsioonile või teisele kettaleAlgaja küsib27.12.2022, 09:41
KKas EMT poolt antud netipulka Huawei E173 saab kasutada Estobuntu 14.04 juuresMobiilsed seadmed06.11.2022, 17:31
KMis kiirklahvidega saab Eesti jutumärke Ubuntus?Algaja küsib01.11.2022, 15:50
VKas Linux markeerib automaatselt bad sektoreid?Varia30.03.2022, 20:04
KWin 10 ja Linux ühes arvutisVaria27.12.2021, 15:30
KHästi toimiv ID kaardi lugejaRiistvara27.10.2021, 17:41
KGrub recovery error-unknown filesystemAlgaja küsib16.10.2021, 18:35
VKuidas CDd ripida?Tarkvara16.10.2021, 08:04
KID - kaart vs. LinuxAlgaja küsib25.09.2021, 14:06
VTeatame kurbusega meie kauaaegse sõbra ja tarkvara tõlkija Marek Laane lahkumisest.Varia30.08.2021, 23:40
KEi saa vastata postitustele ega teha uusi postitusi pingviin.org'is enam.Varia28.07.2021, 12:29
KKas pingviin.org eksisteerib vaid Id-tarkvara KKK tarbeks?Algaja küsib18.07.2021, 20:37
Vajad abi? Esita küsimus siin.

Viimased teemad foorumis
buntu 24.10 (Oracular Oriole) väljas spott 10.10.2024, 18:42
Plasma shortcutiga käivitades kaovad ssh-agent muutujad DaStoned 07.10.2024, 13:35
Vaba tarkvara õhtu 27.09.2024 kl 18 zeroconf 26.09.2024, 17:37
Vaba tarkvara päev 2024 TalTechi IT Kolledžis zeroconf 18.09.2024, 10:46
quiet - privaatne chat 643 27.08.2024, 08:50
Ubuntu 24.04 LTS Noble Numbat 643 22.08.2024, 09:00
wubuntu 643 14.08.2024, 10:21
AMD 'Sinkclose'i haavatavus [täiendatud] 643 13.08.2024, 04:51
2 lugu vabast tarkvarast 643 11.08.2024, 10:02
KDE Neon ja bluetooth klapid hirax 11.08.2024, 08:16
Failide indekseerimine võtab kaua aega DaStoned 06.08.2024, 11:49
Linux Mint 22 Wilma on väljas overflow 30.07.2024, 20:00
ID tarkvara jaan513 22.07.2024, 12:08
Wine turvariskid 643 07.05.2024, 19:07
Vabavara talgud 2024 zeroconf 30.04.2024, 09:01

  Turvaviga bashis
postitatud 25.09.2014, 10:01 - akbgf
Turvahoiatused Slashdot teatab täna, et bashis leiti turvaviga:
Remote Exploit Vulnerability Found In Bash
http://linux.slashdot.org/story/14/09/24/1638207/remote-exploit-vulnerability-found-in-bash

Missugustel distrodel viga juba parandatud, seda ei tea.
OpenSUSE-l (x64) on bashi turvaparandus, aga selle veaga on ikka veel probleeme.
Seda uudist on vaadatud 10848 korda. Lisatud on 12 kommentaari. Postita kommentaar

27.09.2014, 11:08 by urmas
Minu mõttearendus jõudis selleni, et kõik vanad live-cd'd tuleks ära visata ...

https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/

ja katse viimase estobuntu isoga virtuaalmasinas:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Ehk vanade isodega lives panka minna võib vaenuliku dhcp otsas pahasti lõppeda
26.09.2014, 19:52 by akbgf
Nüüd on ka openSUSE-l parandus olemas.

% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

% env -i X='() { (a)=>\' bash -c 'echo date';cat echo
date
cat: echo: No such file or directory

% env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
completed

% env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
completed

% bash --version
GNU bash, version 4.2.47(1)-release (x86_64-suse-linux-gnu),
aga Yast ütleb, et Version: 4.2-68.8.1.
26.09.2014, 14:16 by obundra
Sortsu patch võib ju üleval olla, repodesse tuleb valmis pakk alati viivitusega.
26.09.2014, 12:21 by obundra
Äsja väljaantud patch ei aita lõplikult.Käsk testimiseks:
Kood:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
ei anna enam vastuseks "vulnerable", aga käsud:
Kood:
env -i  X='() { (a)=>\' bash -c 'echo date';cat echo
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
näitavad, et endiselt on auk olemas.
Info: https://www.youtube.com/watch?v=W7GaVyzkCs0 8:35 peal,
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html
Veidi abi võib saada SELinuxist, https://danwalsh.livejournal.com/71122.html

E: Paistab, et nüüdseks on ka paranduse parandus väljas ja auk kinni, vähemalt mu hoole all olevad Debian, RHEL, CentOS ja Oracle Linux masinad järjekordse bashi uuenduse järel enam ei "leki"
26.09.2014, 07:21 by tris
Põhjalik lugu häkkeriuudistes:
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html

osx. unix, linux - kõik serveri rakendused, mis kasutavad bashi.. nii sain aru.

(trisquelil täna ka bashi uuendus tehtud.)

VANA VIGA BASHIS ~20 aastat, mida programm lshell conf keelas:

## a list of forbidden character or commands
forbidden : [';', '&', '|','`','>','<', '$(', '${']
26.09.2014, 07:05 by illukas
seda exploiti saab ssh puhul kasutada ainult siis kui sa oled juba sisse loginud- või olen ma millestki valesti aru saanud?

cgi-ga on muidugi kurvemad lood
25.09.2014, 17:51 by imre
PHP kujul
http://www.exploit-db.com/exploits/34766/
25.09.2014, 15:48 by akbgf
mihkel kirjutas:
kui aga
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

siis peaks korras olema.

Vist ei pruugi olla. Mul peale bashi parandust:

% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Aga
% env X='() { (a)=>\' sh -c "echo date"
sh: X: line 1: syntax error near unexpected token `='
sh: X: line 1: `'
sh: error importing function definition for `X'
% cat echo
Thu Sep 25 15:44:15 GMT-2 2014
25.09.2014, 15:07 by ertserts
Jah, tõesti nii ongi! Shocked

Just proovisin ühte Ubuntu 14.04 LTS SSH teenusega serverit ja tulemuseks (alert!):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Pärast sudo apt-get update ja sudo apt-get upgrade uuendati ära paketimajandus:
The following packages have been kept back:
linux-generic linux-headers-generic linux-image-generic
The following packages will be upgraded:
apt apt-transport-https apt-utils bash dbus libapt-inst1.5 libapt-pkg4.12
libdbus-1-3

Uueks testi tulemuseks (ok):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Mine lehele 1, 2  Järgmine

Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group