Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ)

[cyberp]

Αν κάποιοι το ξέρουν θα το κάνουν μη ανιχνεύσιμο, δεν είναι πρόβλημα...εξάλλου δεν είναι απαραίτητο να κάνει κάτι κακό σε σερβερ...μπορεί "απλά" να υποκλέψει δεδομένα. Κάτι που μπορεί να μην το πάρεις χαμπάρι ποτέ..ή μάλλον θα το πάρουν χαμπάρι οι πελάτες σου ίσως.
Σίγουρο φυσικά δεν είναι, αλλά αν λάβεις υπόψιν τόσες αποκαλύψεις που έχουν γίνει το τελευταίο διάστημα για μεθόδους που χρησιμοποιεί η NSA και όχι μόνο, τότε γίνεται πάααρα πολύ πιθανό.
Θυμίζω και το heartbleed bug που φαίνεται ότι το έκανε expoit η NSA για χρόνια!
http://www.bloomberg.com/news/2014-0...consumers.html

[malakudi]

To bug δεν είναι και τόσο φοβερό. Για άλλη μια φορά υστερία και υπερβολή. Ελάχιστοι servers μπορεί να επηρρεάζονται. Για να επηρρεάζονται, θα πρέπει είτε να πρόκειται για χρήστες με shell και περιορισμό εντολών, που το μόνο που θα καταφέρουν θα είναι να τρέξουν και άλλες εντολές αλλά όχι να γίνουν super users, είτε και πάλι εκτέλεση εντολών σαν μη privileged users σε servers που μπορεί να έχουν cgi scripts σε bash (ναι, πρέπει να υπάρχουν και 2-3 τέτοιοι στο internet) κτλ κτλ. Τα εξηγεί όλα η Redhat.

[aiolos.01]

Διάβασα οτι τα patch δεν λύνουν το πρόβλημα αλλά απλά κάνουν δυσκολότερη την εκμετάλλευση του. Ισχύει αυτό; Όπως και να έχει τύφλα να'χει το heartbleed πλέον.

[fumantsu]

Απορώ με εσάς που που δίνετε συγχαρητήρια στην κοινότητα...Εκτός αν είναι ειρωνικό..
Αυτό είναι Epic FAIL για το open source community

Όχι μόνο δεν έχει λυθεί πλήρως το πρόβλημα ακόμη, αλλά το χειρότερο είναι ότι υπάρχει εδώ και 20 χρόνια!
Από την έκδοση 1.14 του bash: https://ftp.gnu.org/gnu/bash/

Και δυστυχώς εμείς το μαθαίνουμε τελευταίοι... γιατί είναι σχεδόν σίγουρο ότι το bug είχε γίνει expoit πολύ νωρίτερα, από crackers μέχρι μυστικές υπηρεσίες, απλά φυσικά δεν το ανακοίνωσαν...

Απλα να σε ενημερωσουμε οτι ολα τα software εχουν bugs. ΟΛΑ ΜΑ ΟΛΑ. Το ζητημα ειναι ποτε θα ανακαλυφτούν. Και να ανακαλυφθεί κατι πρεπει να το ψαξεις. Αν το δεν το ψαξεις, ειτε γιατι δεν υπηρχε η τεχνολογια, ειτε απο αγνοια ειτε για αλλους λογους, απλα δεν θα τα βρει κανεις. Και η αποκαλυψη στις μερες μας δυστυχως εχει να κανει με το πιο το βρισκει πρωτος. Οποτε τα fail σου ειναι απλα ακυρα.... Λες και η Microsoft παει καλυτερα....

PS. Τετριμενο αλλα παντα αληθινο. Οποιος θελει να αισθανεται ασφαλης απο τετοια.... απλα βγαζει την πριζα και δεν την ξαναβαζει.

- - - Updated - - -

Διάβασα οτι τα patch δεν λύνουν το πρόβλημα αλλά απλά κάνουν δυσκολότερη την εκμετάλλευση του. Ισχύει αυτό; Όπως και να έχει τύφλα να'χει το heartbleed πλέον.

Ναι γιατι μαλλον δεν εχουν βρει 100% την λυση και με αυτο τον τροπο κερδιζουν λιγο χρονο.... Σε αντιθεση με κατι αλλους που μεχρι να περασει quality check......

[DVader]

Απορώ με εσάς που που δίνετε συγχαρητήρια στην κοινότητα...Εκτός αν είναι ειρωνικό..
Αυτό είναι Epic FAIL για το open source community

Όχι μόνο δεν έχει λυθεί πλήρως το πρόβλημα ακόμη, αλλά το χειρότερο είναι ότι υπάρχει εδώ και 20 χρόνια!
Από την έκδοση 1.14 του bash: https://ftp.gnu.org/gnu/bash/

Και δυστυχώς εμείς το μαθαίνουμε τελευταίοι... γιατί είναι σχεδόν σίγουρο ότι το bug είχε γίνει expoit πολύ νωρίτερα, από crackers μέχρι μυστικές υπηρεσίες, απλά φυσικά δεν το ανακοίνωσαν...

Sorry για τις εκφράσεις μου αλλά νευριάζω με αυτά που διαβάζω ...

Είσαι σοβαρός ...με αυτά που λές ? Δείξε μου ένα λειτουργικό που δεν έχει bugs ή δεν έχει τρύπες ασφαλείας ? Υπάρχει ? Δεν υπάρχει .... Αν υπάρχει πες μου το ! Στο open source αυτό είναι το καλό ότι ξέρεις ποιό είναι το πρόβλημα και δεύτερον λύνεται πολύ ποιό γρήγορα από ότι σε άλλα λειτουργικά ! Η Apple π.χ έβγαλε ενημερώσεις αλλά άσχετες με το θέμα .... και οι πελάτες της ακάλυπτοι με πληρωμένο λειτουργικό !!! Τέλειο !π.χ Από την άλλη αν τηρείς κάποια μέτρα ασφαλείας στα συστήματά σου δεν έχεις πρόβλημα ποτέ ! Δεν το αναλύω παραπάνω .... Τα έχω πει πολλές φορές ...

Μην ισοπεδώνουμε τα πάντα ! Στα Windows ναι δεν λέω λύνονται προβλήματα και γρήγορα κάποιες φορές ποτέ δεν ξέρεις τι είναι αυτές οι ενημερώσεις τι προβλήματα λύνουν απλά ξέρεις ότι κάτι λύνουν ! Π.χ στο Linux βγήκε πρόβλημα στο bash..Ωραία...έχεις τόσα αλλά Shells να βάλεις προσωρινά μέχρι να πάρεις update ...που ουσιαστικά δεν έχεις πρόβλημα !

Σε 2 CentOS servers στον ένα είχα πάρει το update με το που βγήκε και στον άλλο το έβαλα χτές το βράδυ.....

Θα ήθελα πραγματικά να μου πεις ένα software που δεν έχει bugs...To ότι υπάρχει εδώ και 20 χρόνια δεν σημαίνει τίποτα ..Απλά κανείς δεν το βρήκα εδώ και 20 χρόνια γιατί κανείς δεν έτυχε να κάνει το σενάριο/σενάρια που το προκαλούν !

Δεν είμαι υπέρμαχος του Open Source αλλά κυρίως του δίκαιου .... και δεν ισοπεδώνω τα πάντα !

- - - Updated - - -

To bug δεν είναι και τόσο φοβερό. Για άλλη μια φορά υστερία και υπερβολή. Ελάχιστοι servers μπορεί να επηρρεάζονται. Για να επηρρεάζονται, θα πρέπει είτε να πρόκειται για χρήστες με shell και περιορισμό εντολών, που το μόνο που θα καταφέρουν θα είναι να τρέξουν και άλλες εντολές αλλά όχι να γίνουν super users, είτε και πάλι εκτέλεση εντολών σαν μη privileged users σε servers που μπορεί να έχουν cgi scripts σε bash (ναι, πρέπει να υπάρχουν και 2-3 τέτοιοι στο internet) κτλ κτλ. Τα εξηγεί όλα η Redhat.

Και εγώ το ίδιο με σένα πιστεύω ! Στα δικά μου συστήματα π.χ δεν τρέχω τίποτα από CGI και είναι κομμένο εξ ορισμού και όσα Linux έχω hosted στο σπίτι μου π.χ δεν βγαίνουν καν στο Internet με port fordwaring οπότε τζίφος !

Αυτό που έλεγα για ασφάλεια !

- - - Updated - - -

Αυτό το bug αν χρησιμοποιηθεί θα ανιχνευθεί. Αν ανιχνευθεί ακόμη και αν δεν είναι εμφανές άμεσα πως προήλθε θα αναλυθεί μέχρι να βρεθεί. Επομένως δύσκολο να ήταν γνωστό εδώ και καιρό.
Το μόνο που χρειάζεται είναι λίγο προσοχή στις επόμενες εβδομάδες γιατί παίζει να βρεθούν μερικά bug ακόμη.

Μαζί σου ...Πόσο ωραία τα λές !

[GigaSat]

Και εγώ το ίδιο με σένα πιστεύω ! Στα δικά μου συστήματα π.χ δεν τρέχω τίποτα από CGI και είναι κομμένο εξ ορισμού και όσα Linux έχω hosted στο σπίτι μου π.χ δεν βγαίνουν καν στο Internet με port fordwaring οπότε τζίφος !

Αυτό που έλεγα για ασφάλεια !

Το πρόβλημα δεν είναι μόνο με την χρήση cgi στον web server αλλά μπορεί να γίνει εκμετάλλευση και από έναν dhcp server.

[apple64]

Ισχυρίστηκε κανείς το αντίθετο και το αναφέρεις αυτό;

Πάντως από την ίδια σελίδα:

Ναι. Ο τίτλος του άρθρου.

[giorgosts]

Άρχισαν τα όργανα
http://www.itnews.com.au/News/396197...-networks.aspx

No security vulnerability disclosure is complete without a logo

[DVader]

Άρχισαν τα όργανα
http://www.itnews.com.au/News/396197...-networks.aspx

Σιγά !

yum -yv update bash !

[BlueChris]

Ok και εγώ σε Debian με τα εξής

apt-get update && apt-get install --only-upgrade bash

[NeK]

Ναι. Ο τίτλος του άρθρου.

A Unix-like (sometimes referred to as UN*X or *nix) operating system is one that behaves in a manner similar to a Unix system, while not necessarily conforming to or being certified to any version of the Single UNIX Specification.

Η λέξη "unixοειδή" (που μετέφρασα από το *nix του αρχικού τίτλου), περιλαμβάνει και τα λειτουργικά με certification σε Single UNIX Specification.

[charly130.mk2]

apt-get update && apt-get install --only-upgrade bash

Και γιατί όχι

apt-get update && apt-get dist-upgrade

να ενημερωθούν και τα άλλα πακέτα; Ή έχεις τπτ που κάνεις hold σε παλαιότερη έκδοση, κ δεν θες να ενημερώσεις;

[MpiSkoTaKi]

Για τα υπόλοιπα π.χ. centos ειναι

yum clean all
yum update

ή

yum update bash

[DVader]

Εντάξει παιδιά όλοι ξέρουμε Linux ...

[giorgosts]

Εντάξει παιδιά όλοι ξέρουμε Linux ...

Αφού είπαμε δεν έγινε ακόμη, υπάρχει vulnerability.
http://lcamtuf.blogspot.com/2014/09/...ts-impact.html

Κώδικας:

foo='() { echo "hi mom"; }' bash -c 'foo'