OS X Yosemite v10.10.2 és Security Update 2015-001

 ( trey | 2015. január 28., szerda - 13:03 )

Az Apple tegnap kiadta a címben látható szoftverfrissítéseit. Mivel velük több, itt a HUP-on is tárgyalt, súlyos biztonsági sebezhetőségre érkezik javítás, érdemes mielőbb frissíteni.

A javított biztonsági hibák listája megtalálható itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Itt miért nincs a
"ne aggódjatok hupuk, a hup.hu ezzel nem sebezhető

>FreeBSD"
típusú böfögés? :)

mert az a komment egy másik cikk alatt van

HTH

Segítek: típusú.

"FreeBSD"

Ott is Apache-ot akart írni.

" vagyis rajtuk keresztül a BOF nem triggerelhető:

apache "

De hát a troll az troll.

--
trey @ gépház

" bash

Available for: OS X Yosemite v10.10 and v10.10.1

Impact: Multiple vulnerabilities in bash, including one that may allow local attackers to execute arbitrary code

Description: Multiple vulnerabilities existed in bash. These issues were addressed by updating bash to patch level 57.

CVE-ID

CVE-2014-6277

CVE-2014-7186

CVE-2014-7187"

Úgy rémlett, hogy az Ubuntu-ban ezeket szeptember/október hónapban javították.

http://www.ubuntu.com/usn/usn-2380-1/
http://www.ubuntu.com/usn/usn-2364-1/

--
trey @ gépház

nem nagyon követem figyelemmel az ilyen obskurus os-eket, segíts: az ubuntu volt az a kísérleti unix-utánzat, amelyiknek a DHCP kliense örömmel adta át tetszőleges DHCP szerverek parancsait egy root jogokkal futó bash-nak?

Igen, bár az nem változtat a tényen, az OS X is egy rakás szar. Max. annyi a különbség, hogy cukormáz van rajta.

--
trey @ gépház

>Igen

köszönöm, tehát jól emlékeztem
igaz, elég felejthetetlen eset

>OS X is egy rakás szar

bizonyára nem csak a levegőbe beszélsz (elvégre nem szokásod), de én azért annak örülök, hogy abban a "rakás szarban" nem rootshelles hack-ek állítgatják az IP címeket

Abban a rakás szarban van annyi csemege, hogy felesleges habot fújni a tortára. Bizonyára nem néztél bele. A helyedben én se tenném, lenne miért pironkodni.

tl;dr

Köszönet a Google Security Team-nek itt is (helló Microsoft!), hogy a 108832343 csillió lyukból már csak néhánnyal kevesebb van.

--
trey @ gépház

Ubuntu? Ez nem egy OSX témájú cikk? :D

OS X-ben is volt mar hozza patch 10.9-re is:

http://hup.hu/node/135614

Ne mán, így hogy legyen az OS X szídva?

Ave, Saabi.

Hát úgy, hogy az a javítás más bash sebezhetőségeket javított

http://support.apple.com/en-us/HT201393

"CVE-2014-6271 : Stephane Chazelas

CVE-2014-7169 : Tavis Ormandy"

:(

http://www.ubuntu.com/usn/usn-2363-1/
http://www.ubuntu.com/usn/usn-2362-1/

--
trey @ gépház

Nembaj, majd jön gémúúrka, és biztos vetít megint valami érdekeset erre is! :D

>Hát úgy, hogy az a javítás más bash sebezhetőségeket javított

szerintem sok ember megelégszik azzal is hogy autószerelő és winpénztárgép karbantartó vagy, de ezen - mégoly' magas - szint fölött néha azért jó lenne a kötőszavakon és CVE URL-eken kívül mást is megérteni egy angol nyelvű szövegből

Description: An issue existed in Bash's parsing of environment variables. This issue was addressed through improved environment variable parsing by better detecting the end of the function statement.

mondjuk ez már a kiinduló cikk alatt is nehézségeket okozott, szóval végre összeülhetnétek batyuval egy jaszkari-meetup keretében kicsit elgondolkozni a világ dolgairól

>> Hát úgy, hogy az a javítás más bash sebezhetőségeket javított
> CVE URL-eken kívül mást is megérteni egy angol nyelvű szövegből

Shellshock mind, mi? :D Végül is. Ugyanaz!

--
trey @ gépház

Nehézségei mindenkinek vannak. Pl. van aki személyeskedés nélkül be tudja ismerni, hogy valamihez nem kellőképpen ért, van aki meg ezzel palástolja a hozzá nem értését, mert ugyebár nehéz dolog a beismerés. De toljad csak, hátha kijön belőle valami :D
szerk: óh, ezazz, újabb hupmeme szereplést már ért :D És nem is gondolnád, hogy mennyire igazad van a "(bármiféle fogalom nélkül)" megjegyzéssel, nem kellemetlen "fogalmatlan" embereknek osztani az észt a te magasságodból? :D

Mindenesetre laikusként még ide felírom magamnak, hogy majd később is emlékezzek rá:

https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck

OS X Bash Update 1.0

With the update installed:

  $ curl -s https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck | bash
  Not vulnerable to CVE-2014-6271 (original shellshock)
  Not vulnerable to CVE-2014-7169 (taviso bug)
  bash: line 18: 14885 Segmentation fault: 11  bash -c "true $(printf '< /dev/null
  Vulnerable to CVE-2014-7186 (redir_stack bug)
  Test for CVE-2014-7187 not reliable without address sanitizer
  Variable function parser inactive, likely safe from unknown parser bugs

https://lists.gnu.org/archive/html/bug-bash/2014-10/msg00031.html

Ne kelljen keresgélni...

--
trey @ gépház

<hupu1> OS X-ben is volt mar hozza patch 10.9-re
<többféle_téma> az a javítás más bash sebezhetőségeket javított
<bashupdate> Not vulnerable to CVE-2014-6271 (original shellshock)

a spindoctorkodási kísérleteid már korábban is fergeteges sikert arattak, gábor! :)

" CVE-2014-7186

CVE-2014-7187"

"OS X-ben is volt mar hozza patch 10.9-re is:"

"Vulnerable to CVE-2014-7186 (redir_stack bug)"

"spindoctorkodási kísérleteid"

--
trey @ gépház

Ezaz, abba ne hagyd!
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Ez a PDF meg mindig nagy mumus Apple-eknel...
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()