Βug στο Bash (Σύμφωνα με δημοσίευμα του BBC) shellshock

...από το ubuntu, το linux, και το ελεύθερο λογισμικό / λογισμικό ανοιχτού κώδικα (ΕΛ/ΛΑΚ)

Συντονιστές: adem1, ubuderix

Βug στο Bash (Σύμφωνα με δημοσίευμα του BBC) shellshock

Δημοσίευσηαπό George Pantelis » 26 Σεπ 2014, 00:09

Γνωρίζει κανείς αν αληθεύει το δημοσίευμα;
"Το bug, το οποίο «βαφτίστηκε» Shellshock, μπορεί, σύμφωνα με ερευνητές, να χρησιμοποιηθεί για να αποκτηθεί εξ αποστάσεως ο έλεγχος κάθε συστήματος που χρησιμοποιεί το Bash"-
http://www.naftemporiki.gr/story/860366 ... pologiston
1 Γνώσεις Linux: Μέτριες ┃ Προγραμματισμού: Οχι ┃ Αγγλικών: Αριστο
2 EndeavourOS KDE plasma / Gnome, Ubuntu 22.04 5.15.0-30-generic 64bit (el_GR.UTF-8,Gnome ubuntu), Arch linux (VM)
3 Intel Core2 Duo CPU P8400 2.26GHz ‖ RAM 3908 MiB ‖ Dell Inc. 0F328M - Dell Inc. Latitude E6500
4 Intel Mobile 4 Series Chipset Integrated Graphics [8086:2a42] {i915
5 eth0: Intel 82567LM Gigabit Network Connection [8086:10f5] (rev 03) ⋮ wlan0: Intel WiFi Link 5100 [8086:4232]
Άβαταρ μέλους
George Pantelis
daemonTUX
daemonTUX
 
Δημοσιεύσεις: 977
Εγγραφή: 23 Νοέμ 2013, 19:24
Τοποθεσία: Xαλκίδα
Launchpad: George Pantelis
Εκτύπωση

Re: Βug στο Bash (Σύμφωνα με δημοσίευμα του BBC)

Δημοσίευσηαπό vasko » 26 Σεπ 2014, 09:17

εμένα μου ήρθε πρωί πρωί ενημέρωση για το Bash σε ubuntu 12.04, μάλλον σχετίζεται με το bug
L1
Spoiler: show
2 Ubuntu 14.04
3 Intel Core i3 CPU M 330 2.13GHz ‖ RAM 3823 MiB ‖ Dell Inc. Inspiron 1564
4 Intel Integrated Graphics [8086:0046] {i915}
5 eth0: Realtek RTL8101E/RTL8102E PCI Express Fast Ethernet controller [10ec:8136] (rev 02) ⋮ eth2: Broadcom BCM4312 802.11b/g LP-PHY [14e4:4315] (rev 01)


L2
Spoiler: show
Ubuntu 12.04
3 Intel Atom CPU N450 1.66GHz ‖ RAM 2003 MiB ‖ Acer AO532h
4 Intel N10 Family Integrated Graphics Controller [8086:a011] {i915}
5 eth0: Atheros Inc. AR8132 Fast Ethernet [1969:1062] (rev c0) ⋮ wlan0: Atheros Inc. AR9285 Wireless Network Adapter (PCI-Express) [168c:002b] (rev 01)
Άβαταρ μέλους
vasko
punkTUX
punkTUX
 
Δημοσιεύσεις: 166
Εγγραφή: 12 Μάιος 2011, 12:01
Εκτύπωση

Re: Βug στο Bash (Σύμφωνα με δημοσίευμα του BBC)

Δημοσίευσηαπό akounadis » 26 Σεπ 2014, 10:28

vasko έγραψε:εμένα μου ήρθε πρωί πρωί ενημέρωση για το Bash σε ubuntu 12.04, μάλλον σχετίζεται με το bug


...ναι σχετίζεται με το bug. Πχ σε Arch έλαβα αυτό...

Κώδικας: Επιλογή όλων
Starting full system upgrade...
resolving dependencies...
looking for inter-conflicts...

Packages (33): bash-4.3.024-2...


Ήρθε το νέο πακέτο-α, ήρθε μια νέα μέρα... :roll:
Intel Core i7-7700HQ CPU @ 2.80GHz ‖ RAM 7617 MiB ‖ Dell Inc. 065C71 - Dell Inc. Inspiron 15 7000 Gaming
Intel Device [8086:591b] {i915} ⋮ nVidia Device [10de:1c8c] {nouveau}
wlp3s0: Intel Wireless 3165 [8086:3165] (rev 79) ⋮ enp2s0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 15)
Συναντήσεις φίλων του Ubuntu-gr σε πόλεις της Ελλάδας
Άβαταρ μέλους
akounadis
daemonTUX
daemonTUX
 
Δημοσιεύσεις: 1050
Εγγραφή: 23 Δεκ 2009, 17:40
Τοποθεσία: Πειραιάς
Launchpad: akounadis
Εκτύπωση

Re: Βug στο Bash (Σύμφωνα με δημοσίευμα του BBC)

Δημοσίευσηαπό George Pantelis » 26 Σεπ 2014, 11:11

Tα patches ήρθαν αλλά δείτε τί λέει αυτός. Το bug υπήρχε εδώ και 20 χρόνια και γίνεται (και θα γίνεται) παιχνίδι για κάμποσο καιρό!
https://www.youtube.com/watch?v=YSduTSn86_g
1 Γνώσεις Linux: Μέτριες ┃ Προγραμματισμού: Οχι ┃ Αγγλικών: Αριστο
2 EndeavourOS KDE plasma / Gnome, Ubuntu 22.04 5.15.0-30-generic 64bit (el_GR.UTF-8,Gnome ubuntu), Arch linux (VM)
3 Intel Core2 Duo CPU P8400 2.26GHz ‖ RAM 3908 MiB ‖ Dell Inc. 0F328M - Dell Inc. Latitude E6500
4 Intel Mobile 4 Series Chipset Integrated Graphics [8086:2a42] {i915
5 eth0: Intel 82567LM Gigabit Network Connection [8086:10f5] (rev 03) ⋮ wlan0: Intel WiFi Link 5100 [8086:4232]
Άβαταρ μέλους
George Pantelis
daemonTUX
daemonTUX
 
Δημοσιεύσεις: 977
Εγγραφή: 23 Νοέμ 2013, 19:24
Τοποθεσία: Xαλκίδα
Launchpad: George Pantelis
Εκτύπωση

Re: Βug στο Bash (Σύμφωνα με δημοσίευμα του BBC)

Δημοσίευσηαπό akounadis » 26 Σεπ 2014, 11:47

Τα κενά δεν θα πάψουν να υπάρχουν.
Πχ η RedHat το βλέπει έτσι:
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
...και έτσι είναι.

Ας το πω σφαιρικά. Σιγά σιγά με το καιρό κατάλαβα πως η δημοσιολογία πάνω σε τέτοια θέματα άρχισε να κουράζει. Κατά πόσο μπορεί να δει ο καθένα μας το τι είναι τέλεια δομημένο ή μπορεί να πει κάποιος, κατά πόσο θέλουμε να είναι τέλεια δομημένο.

Τέλος πάντων, τα μπαλώματα είναι αρκετά.
Intel Core i7-7700HQ CPU @ 2.80GHz ‖ RAM 7617 MiB ‖ Dell Inc. 065C71 - Dell Inc. Inspiron 15 7000 Gaming
Intel Device [8086:591b] {i915} ⋮ nVidia Device [10de:1c8c] {nouveau}
wlp3s0: Intel Wireless 3165 [8086:3165] (rev 79) ⋮ enp2s0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 15)
Συναντήσεις φίλων του Ubuntu-gr σε πόλεις της Ελλάδας
Άβαταρ μέλους
akounadis
daemonTUX
daemonTUX
 
Δημοσιεύσεις: 1050
Εγγραφή: 23 Δεκ 2009, 17:40
Τοποθεσία: Πειραιάς
Launchpad: akounadis
Εκτύπωση

Re: Βug στο Bash (Σύμφωνα με δημοσίευμα του BBC)

Δημοσίευσηαπό kamar » 26 Σεπ 2014, 14:07

Όποιοι έκαναν ενημερώσεις στα συστήματά τους, χθες και σήμερα, είναι καλυμμένοι.
Bugs ασφαλείας, υπήρχαν και θα υπάρχουν πάντα. Το ζητούμενο είναι αν αυτά διορθώνονται και, κυρίως αν ενημερώνονται οι χρήστες.
1 Γνώσεις Linux: Πολύ καλό ┃ Προγραμματισμού: Ικανοποιητικό ┃ Αγγλικών: Ικανοποιητικό
2 Ubuntu 14.04 trusty 3.13.0-91-generic 64bit (el_GR.UTF-8, Unity ubuntu)
3 AMD A6-5400K APU with Radeon HD Graphics ‖ RAM 3347 MiB ‖ ASUS F2A55-M LK2 PLUS
4 Advanced Micro Devices, Inc. [AMD/ATI] Trinity [Radeon HD 7540D] [1002:9991] {radeon}
5 eth0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 09)
Άβαταρ μέλους
kamar
punkTUX
punkTUX
 
Δημοσιεύσεις: 166
Εγγραφή: 10 Μάιος 2008, 20:24
Τοποθεσία: Χανιά
Εκτύπωση

Shellshok

Δημοσίευσηαπό adem1 » 26 Σεπ 2014, 20:37

Ξέρει κανείς κατα πόσο θα πρέπει να μας νοιάξει αυτό;
Pc1
3 Intel Core i5-3317U CPU @ 1.70GHz ‖ RAM 5856 MiB ‖ ASUS S56CA
4 Intel 3rd Gen Core processor Graphics Controller [8086:0166] {i915}
5 wlan0: Qualcomm Atheros AR9485 Wireless Network Adapter [168c:0032] (rev 01) ⋮ eth0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 0a)
Pc 2
3 Intel Core2 CPU E8400 3.00GHz ‖ RAM 3962 MiB ‖ FOXCONN P45A01
4 ATI RV730XT [Radeon HD 4670] [1002:9490]
5 eth0: Realtek RTL8111/8168B PCI Express Gigabit Ethernet controller [10ec:8168] (rev 01)
Άβαταρ μέλους
adem1
Συντονιστής
Συντονιστής
 
Δημοσιεύσεις: 733
Εγγραφή: 27 Οκτ 2011, 20:17
IRC: adem1
Εκτύπωση

Re: Βug στο Bash (Σύμφωνα με δημοσίευμα του BBC)

Δημοσίευσηαπό the_eye » 26 Σεπ 2014, 23:10

Ναι είναι αρκετά μεγάλο θέμα, αλλά αυτό είναι το καλό με το ανοιχτό λογισμικό. Φαίνεται ο κώδικας και κλείνουν οι τρύπες.

Η ανακοίνωση του FSF.

Free Software Foundation statement on the GNU Bash "shellshock" vulnerability

This post can be viewed online at https://fsf.org/news/free-software-foun ... nerability.

A major security vulnerability has been discovered in the free software shell GNU Bash. The most serious issues have already been fixed, and a complete fix is well underway. GNU/Linux distributions are working quickly to release updated packages for their users. All Bash users should upgrade immediately, and audit the list of remote network services running on their systems.

Bash is the GNU Project's shell; it is part of the suite of software that makes up the GNU operating system. The GNU programs plus the kernel Linux form a commonly used complete free software operating system, called GNU/Linux. The bug, which is being referred to as "shellshock," can allow, in some circumstances, attackers to remotely access and control systems using Bash (and programs that call Bash) as an attack vector, regardless of what kernel they are running. The bug probably affects many GNU/Linux users, along with those using Bash on proprietary operating systems like Apple's OS X and Microsoft Windows. Additional technical details about the issue can be found at CVE-2014-6271 and CVE-2014-7169.

GNU Bash has been widely adopted because it is a free (as in freedom), reliable, and featureful shell. This popularity means the serious bug that was published yesterday is just as widespread. Fortunately, GNU Bash's license, the GNU General Public License version 3, has facilitated a rapid response. It allowed Red Hat to develop and share patches in conjunction with Bash upstream developers efforts to fix the bug, which anyone can download and apply themselves. Everyone using Bash has the freedom to download, inspect, and modify the code -- unlike with Microsoft, Apple, or other proprietary software.

Software freedom is a precondition for secure computing; it guarantees everyone the ability to examine the code to detect vulnerabilities, and to create new and safe versions if a vulnerability is discovered. Your software freedom does not guarantee bug-free code, and neither does proprietary software: bugs happen no matter how the software is licensed. But when a bug is discovered in free software, everyone has the permission, rights, and source code to expose and fix the problem. That fix can then be immediately freely distributed to everyone who needs it. Thus, these freedoms are crucial for ethical, secure computing.

Proprietary, (aka nonfree) software relies on an unjust development model that denies users the basic freedom to control their computers. When software's code is kept hidden, it is vulnerable not only to bugs that go undetected, but to the easier deliberate addition and maintenance of malicious features. Companies can use the obscurity of their code to hide serious problems, and it has been documented that Microsoft provides intelligence agencies with information about security vulnerabilities before fixing them.

Free software cannot guarantee your security, and in certain situations may appear less secure on specific vectors than some proprietary programs. As was widely agreed in the aftermath of the OpenSSL "Heartbleed" bug, the solution is not to trade one security bug for the very deep insecurity inherently created by proprietary software -- the solution is to put energy and resources into auditing and improving free programs.

Development of Bash, and GNU in general, is almost exclusively a volunteer effort, and you can contribute. We are reviewing Bash development, to see if increased funding can help prevent future problems. If you or your organization use Bash and are potentially interested in supporting its development, please contact us.

The patches to fix this issue can be obtained directly at http://ftp.gnu.org/gnu/bash/.


Media Contacts

John Sullivan
Executive Director
Free Software Foundation
+1 (617) 542 5942
campaigns@fsf.org
Όσο λιγότερο κλειστό λογισμικό έχεις, τόσα λιγότερα προβλήματα.
1 Γνώσεις ⇛ Linux: Καλό ┃ Προγραμματισμός: Ναι PHP, MySQL ┃ Αγγλικά: Καλά
2 Ubuntu 22.04 Jammy Jellyfish 5.15.0-58-generic 64bit (el_GR.UTF-8, ubuntu:GNOME ubuntu)
3 Intel Core i3-6100 CPU @ 3.70GHz ‖ RAM 7836 MiB ‖ Gigabyte B150M-HD3 DDR3-CF - Gigabyte B150M-HD3 DDR3
4 Intel HD Graphics 530 [8086:1912] {i915}
5 enp1s0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 15)
Οδηγοί Ubuntu Βίντεο Οδηγοί
Άβαταρ μέλους
the_eye
Διαχειριστής
Διαχειριστής
 
Δημοσιεύσεις: 11671
Εγγραφή: 16 Μαρ 2010, 17:19
Launchpad: ntoulasd
IRC: the_eye_
Εκτύπωση

Ειναι το λειτουργικο σας συστημα (ubuntu), ασφαλες?

Δημοσίευσηαπό Pega[sus » 27 Σεπ 2014, 11:06

Yπαρχει καποιο κενο ασφαλειας εδω και (?) δεκαετιες που ονομαζετε shellshock αλλα επηρεαζει κυριως τους server, πιθανων και τους προσωπικους μας υπολογιστες κυριως με linux.
Προσωπικα δεν γνωριζω λεπτομερειες, αλλα πιστευω οτι ειναι ενδιαφερον να διαβασουμε το συγκεκριμενο αρθρο http://www.pcsteps.gr/33895-%CF%84%CE%B ... hellshock/ για να σιγουρευτουμε περισσοτερο, κατα ποσο μπορει να ειναι το συστημα μας ευαλωτο, σε τετοιου ειδους απειλες
Υπαρχει και αναλογο test στο τελος του αρθρου.
1 Γνώσεις Linux: μετριες ┃ Προγραμματισμού: καθολου ┃ Αγγλικών: μετριες
2 Ubuntu 14.04 trusty 3.13.0-35-generic 32bit (el_GR.UTF-8, Unity ubuntu), Windows 7, Ubuntu 3.13.0-32-generic
3 Intel Core i3-2100 CPU @ 3.10GHz ‖ RAM 1698 MiB ‖ ASUS P8H61-M LE
4 Intel 2nd Generation Core Processor Family Integrated Graphics [8086:0102] {i915}
5 wlan0: 0cf3:1002 Atheros TP-Link TL-WN821N v2 802.11n [Atheros AR9170] ⋮ eth0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 06
Άβαταρ μέλους
Pega[sus
punkTUX
punkTUX
 
Δημοσιεύσεις: 285
Εγγραφή: 02 Σεπ 2014, 13:55
Εκτύπωση

Re: Βug στο Bash (Σύμφωνα με δημοσίευμα του BBC)

Δημοσίευσηαπό the_eye » 27 Σεπ 2014, 12:01

Το θέμα συγχωνεύτηκε

Όσο λιγότερο κλειστό λογισμικό έχεις, τόσα λιγότερα προβλήματα.
1 Γνώσεις ⇛ Linux: Καλό ┃ Προγραμματισμός: Ναι PHP, MySQL ┃ Αγγλικά: Καλά
2 Ubuntu 22.04 Jammy Jellyfish 5.15.0-58-generic 64bit (el_GR.UTF-8, ubuntu:GNOME ubuntu)
3 Intel Core i3-6100 CPU @ 3.70GHz ‖ RAM 7836 MiB ‖ Gigabyte B150M-HD3 DDR3-CF - Gigabyte B150M-HD3 DDR3
4 Intel HD Graphics 530 [8086:1912] {i915}
5 enp1s0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 15)
Οδηγοί Ubuntu Βίντεο Οδηγοί
Άβαταρ μέλους
the_eye
Διαχειριστής
Διαχειριστής
 
Δημοσιεύσεις: 11671
Εγγραφή: 16 Μαρ 2010, 17:19
Launchpad: ntoulasd
IRC: the_eye_
Εκτύπωση


Επιστροφή στο Νέα - Ειδήσεις - Ανακοινώσεις