tuberotator.com
С нами с 12.09.06
Сообщения: 804
Рейтинг: 1478
|
 Добавлено: 27/09/14 в 00:10 |
| Цитата: | | «Эта уязвимость позволяет злоумышленникам передавать специально созданные переменные окружения, содержащие произвольные команды, которые могут выполняться на уязвимых системах. Это особенно опасно по причине того, что оболочка Bash очень распространена и может быть вызвана приложениями разными способами». Кроме того, в CERT назвали степень проникновения уязвимости высокой (10 баллов), а сложность низкой. |
http://www.3dnews.ru/902506
http://blog.kaspersky.ru/what_is_the_bash_vulnerability/5356/
|
|
|
|
| |
С нами с 17.03.12
Сообщения: 335
Рейтинг: 790
|
| Добавлено: 27/09/14 в 03:06 |
вчера еще обновили на серверах  
|
|
|
|
| |
worldtraffic.trade
С нами с 20.08.06
Сообщения: 2836
Рейтинг: 2309
|
| Добавлено: 27/09/14 в 10:57 |
ребята, так а что делать надо? что админам сказать то?
|
|
|
|
| |
С нами с 21.09.02
Сообщения: 2347
Рейтинг: 1383
|
| Добавлено: 27/09/14 в 12:02 |
что-то я не нахожу реального примера использования.
ну да, из командной строки вроде работает. обновился - перестало.
а в реальной жизни, как извне кто-то добраться до bash'а этого сможет?
|
|
|
|
| |
С нами с 19.12.10
Сообщения: 490
Рейтинг: 727
|
| Добавлено: 27/09/14 в 14:04 |
| world-gay-sex писал: | | ребята, так а что делать надо? что админам сказать то? |
они могут не понять что надо делать, прочитав инфу по ссылкам в первом посте?
|
|
|
|
| |
это Энди
С нами с 01.05.11
Сообщения: 540
Рейтинг: 1213
|
| Добавлено: 27/09/14 в 18:12 |
world-gay-sex, в шелле введите:
| Код: | | env x='() { :;}; echo vulnerable' bash -c "echo this is a test" |
Если система уязвима, то:
| Код: | vulnerable
this is a test |
Если все окей, то:
| Код: | bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test |
|
|
|
|
| |
С нами с 17.03.12
Сообщения: 335
Рейтинг: 790
|
| Добавлено: 27/09/14 в 19:26 |
Там два патча выходило. После первого патча работал вот такой код
env X='() { (a)=>\' bash -c "echo date"; cat echo
если дату не выводит, то все ок.
|
|
|
|
| |
С нами с 24.07.12
Сообщения: 1672
Рейтинг: 133
|
| Добавлено: 30/09/14 в 21:59 |
Насколько я понимаю, найденная уязвимость уже указывает на то, что над её устранением начали работать... Жаль, конечно, что всё такое... несовершенное, но разве когда-то было иначе?
|
|
|
|
| |
tuberotator.com
С нами с 12.09.06
Сообщения: 804
Рейтинг: 1478
|
| Добавлено: 30/09/14 в 22:23 |
она скорее указывает на то, что те кому нужно ее уже использовали 
|
|
|
|
| |
С нами с 05.08.14
Сообщения: 61
Рейтинг: 76
|
| Добавлено: 03/10/14 в 15:21 |
|
|
|
|
| |
С нами с 24.07.12
Сообщения: 1672
Рейтинг: 133
|
| Добавлено: 04/10/14 в 21:05 |
| Nux писал: | она скорее указывает на то, что те кому нужно ее уже использовали  |
Ну, это само собой.
Техническая уязвимость - это ещё что. Я тут свежим взглядом посмотрела на название темы и как-то не к месту вспомнила о планах российского правительства на отключение Интернета при определённых внутренне-политических условиях...
|
|
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
