Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ)

**GigaSat** · 01-10-14, 22:10

Χωρίς το Shellshock δεν δούλευε το fork bombing στη συγκεκριμένη περίπτωση, αν το δώσεις χύμα στο linux θα δουλέψει.

**mrsaccess** · 01-10-14, 22:34

Αρχικό μήνυμα από GigaSat

Χωρίς το Shellshock δεν δούλευε το fork bombing στη συγκεκριμένη περίπτωση, αν το δώσεις χύμα στο linux θα δουλέψει.

Στο δικό μου μια χαρά δουλεύει. Ακόμη και αν ισχυριστείς πως άλλο το δικό σου κινητό, άλλο το δικό μου, χαλαρά κάποιος μπορεί να έχει bundled σε μια εφαρμογή την δική του έκδοση του bash και να το τρέξει.

Αν έπρεπε να ποντάρω κάπου πάντως, θα έλεγα πως το default shell στο κινητό του βίντεο είναι αυτό του busybox και για αυτό δεν τρέχει το fork bomb του bash. Θα αρκούσε δηλαδή το bash -c ... χωρίς την variable του shellshock μπροστά.

**GigaSat** · 02-10-14, 00:59

Αρχικό μήνυμα από mrsaccess

Στο δικό μου μια χαρά δουλεύει. Ακόμη και αν ισχυριστείς πως άλλο το δικό σου κινητό, άλλο το δικό μου.

Δικό μου λάθος μιας και δεν έβαλα : στο τέλος.
Είναι Poc αντί για το συνηθισμένο δεύτερο echo τρέχει το fork bomb.

**Nikiforos** · 02-10-14, 06:39

Καλημέρα! για οσους ενδιαφερονται αν εχουν τον futsitsu nas server Q600 δεν περναει με τιποτα το fw της qnap απο τα αντιστοιχα μοντελα δυστυχως, δοκιμασα τα παντα, ευτυχως δεν το χαλασα, ειναι ενα FW πισω η Futsitsu, αν βγαλει update θα λυνει και το bug bash shell οπως ακριβως εκανε και η qnap γιαυτο και το εβγαλε το update.

**DVader** · 02-10-14, 12:45

Αρχικό μήνυμα από Nikiforos

Καλημέρα! για οσους ενδιαφερονται αν εχουν τον futsitsu nas server Q600 δεν περναει με τιποτα το fw της qnap απο τα αντιστοιχα μοντελα δυστυχως, δοκιμασα τα παντα, ευτυχως δεν το χαλασα, ειναι ενα FW πισω η Futsitsu, αν βγαλει update θα λυνει και το bug bash shell οπως ακριβως εκανε και η qnap γιαυτο και το εβγαλε το update.

Το περίμενα ότι δεν θα πέρναγε ! Και προσπαθούσα να στο πω ... αλλά σε έιδα ψημένο τόσο που λέω άστον άμα κάνει μα... την έκανε !

Τυχερός είσαι που δεν το χάλασες

Φιλικά !

**GigaSat** · 02-10-14, 12:58

Όποιος έχει όρεξη ας διαβάσει και αυτό The Shellshock Aftershock for NAS Administrators

**Nikiforos** · 02-10-14, 20:16

Αρχικό μήνυμα από DVader

Το περίμενα ότι δεν θα πέρναγε ! Και προσπαθούσα να στο πω ... αλλά σε έιδα ψημένο τόσο που λέω άστον άμα κάνει μα... την έκανε !

Τυχερός είσαι που δεν το χάλασες

Φιλικά !

Αλλοι το εχουν βαλει αν ειδες τις σελιδες που ειπα, ενας απο εδω μεσα το εβαλε σε Q700 αλλα επειδη ειναι επομενο μοντελο εκει μπαινει με αλλον ευκολο τροπο, στο δικο μου αυτοι που το ειχαν κανει ηταν πολυ καιρο πριν στην εκδοση 3.8.3 3.8.4 πιθανως τωρα κατι να εχουν αλλαξει στο qnap fw και να μην πιανει πλεον, δοκιμασα τα παντα οπως και edit με hex editor και δεν επιασε, χτες παραλιγο να ψοφισει, αλλα τελικα καταφερα και το επανεφερα. Η futsi δεν εχει ακομα βγαλει για κανενα απο τα nas της αναβαθμιση για το bug αλλα αφου τωρα εβγαλε η qnap σε λιγο καιρο και αυτη θα βγαλει, παντα ακολουθει μετα.

Αρχικό μήνυμα από GigaSat

Όποιος έχει όρεξη ας διαβάσει και αυτό The Shellshock Aftershock for NAS Administrators

την βαψαμε δλδ! ευτυχως δεν βγαζω υπηρεσιες του nas απευθειας στο ιντερνετ και συνδεομαι σε αυτον μεσω vpn, επισης εχω πολυ καλο firewall σε mikrotik router os και ελεγχει τα παντα, εχω δει κατα καιρους πολλες ιντερνετικες επιθεσεις, καταγραφονται ολες και οι ip's και τρωνε ban, βλεπω οτι προσπαθουν με port scanners και μετα προσπαθουν με αλλαγες username , pass να μπουν στο μηχανημα, φαντασου να μην εχεις FW τι θα γινοταν δλδ!!!

**Nikiforos** · 04-10-14, 10:15

Καλημερα, στο nas μου της futsitsu calvin Q600 εμφανιστηκαν ειδησεις δεξια κατω κατω και λεει οτι ειμαστε εκτεθειμένοι, προς το παρον να μην βγαζουμε υπηρεσιες στο ιντερνετ, φανταζομαι μεσω VPN δεν εχουμε προβλημα, και οτι οι developers τους ετοιμαζουν λυση, προφανως νεο FW οπως εκανε και η qnap. Αντε να δουμε! στην σελιδα τους δεν βρηκα την ειδηση και δεν γινεται copy paste απο το Nas, οσοι εχουν NAS της Futsitsu να γνωριζουν μην την πατησουν...
στο ιντερνετ απο αυτους τους Nas επισης λεει να μην βγαινει καμια υπηρεσια ουτε καν Web server, FTP και εννοειτε η διαχειριση και αλλα πραγματα.
Ερώτηση : Eπειδή ήθελα να κάνω openvpn server στο NAS φαντάζομαι δεν είναι καλή ιδέα ετσι? καλύτερα να περιμένω το update?

**GigaSat** · 04-10-14, 11:15

Αρχικό μήνυμα από Nikiforos

Ερώτηση : Eπειδή ήθελα να κάνω openvpn server στο NAS φαντάζομαι δεν είναι καλή ιδέα ετσι? καλύτερα να περιμένω το update?

Εννοείται ότι θα περιμένεις το update.

**Nikiforos** · 04-10-14, 11:48

Αρχικό μήνυμα από GigaSat

Εννοείται ότι θα περιμένεις το update.

ok thanks. Θα φτιάξω του ΜΤ το ovpn server προς το παρον, απλα εκει υποστηριζει μονο TCP και ηθελα στο NAS για UDP. Εβαλα αυτοματες ενημερωσεις μολις βγαλει κατι η futsi θα με ενημερωσει. Αν και σημερα εκανα αναβαθμιση το bash με την εντολη ipkg update απο κονσολα στο nas παλι υπαρχει το bug, μονο νεο FW μας σωνει!

**DVader** · 05-10-14, 21:16

Αρχικό μήνυμα από Nikiforos

Καλημερα, στο nas μου της futsitsu calvin Q600 εμφανιστηκαν ειδησεις δεξια κατω κατω και λεει οτι ειμαστε εκτεθειμένοι, προς το παρον να μην βγαζουμε υπηρεσιες στο ιντερνετ, φανταζομαι μεσω VPN δεν εχουμε προβλημα, και οτι οι developers τους ετοιμαζουν λυση, προφανως νεο FW οπως εκανε και η qnap. Αντε να δουμε! στην σελιδα τους δεν βρηκα την ειδηση και δεν γινεται copy paste απο το Nas, οσοι εχουν NAS της Futsitsu να γνωριζουν μην την πατησουν...
στο ιντερνετ απο αυτους τους Nas επισης λεει να μην βγαινει καμια υπηρεσια ουτε καν Web server, FTP και εννοειτε η διαχειριση και αλλα πραγματα.
Ερώτηση : Eπειδή ήθελα να κάνω openvpn server στο NAS φαντάζομαι δεν είναι καλή ιδέα ετσι? καλύτερα να περιμένω το update?

Νικιφοράκο μου ! καλησπέρα !

Γενικά δεν θα έστεινα ποτέ VPN Server πάνω στο nas ανεξάρτητα αν υπάρχει το bug ή όχι ! Θα το έστεινα πάνω σε κάποιο router όπως είναι το microtik που έχεις έτσι και αλλιώς ! Δεν το θεωρώ ασφαλές σαν ιδέα !

**Nikiforos** · 05-10-14, 21:30

Καλησπέρα, γιατι το λες αυτο? καλο το mikrotik αλλα δυστυχως στο openvpn δεν υποστηριζει UDP, αληθεια εσυ που τα ξερεις καλα αυτο αποτελει προβλημα καπου? εννοω αν ολοι οι ovpn servers ειναι σε TCP μονο. Τωρα για το nas ακομα περιμενω το update fw για να λυσουμε το bug.

**DVader** · 06-10-14, 00:17

Αρχικό μήνυμα από Nikiforos

Καλησπέρα, γιατι το λες αυτο? καλο το mikrotik αλλα δυστυχως στο openvpn δεν υποστηριζει UDP, αληθεια εσυ που τα ξερεις καλα αυτο αποτελει προβλημα καπου? εννοω αν ολοι οι ovpn servers ειναι σε TCP μονο. Τωρα για το nas ακομα περιμενω το update fw για να λυσουμε το bug.

Δεν έχω πρόβλημα με το OpenVPN απλά δεν θα έβαζα ποτέ τον VPN Server μου πάνω στον ίδιο server με τα δεδομένα μου !!!

**Nikiforos** · 06-10-14, 06:31

Αρχικό μήνυμα από DVader

Δεν έχω πρόβλημα με το OpenVPN απλά δεν θα έβαζα ποτέ τον VPN Server μου πάνω στον ίδιο server με τα δεδομένα μου !!!

Off Topic

Καλημερα! αυτο γιατι δεν καταλαβα, υπαρχει προβλημα? και οκ πες να μην το κανω, του mikrotik υποστηριζει μονο TCP αυτο με περιοριζει καπου? κατα καιρους ειχα διαβασει οτι χωρις UDP καποια πραγματα δεν παιζουν πχ live streaming οπως ας πουμε απο καναλια, ειναι αληθεια αυτο? τωρα παιζω με vpn pptp να το αφησω ετσι τι λες? επειδη ειναι λιγο offtopic αυτα αν θες συνεχιζουμε με pm's. Ελπιζω να μην υπαρχει προβλημα που ειναι ο αστερισκ επανω στο Nas γιατι δεν εχω αλλη επιλογη να μπει αλλου, αλλα δεν βγαινει ιντερνετ απευθειας.