Discussion:
Dodii
(too old to reply)
Jouko Holopainen
2014-09-26 02:09:00 UTC
Permalink
1. Bash on paska, koko toiminnallisuus on idioottimainen.
2. /bin/sh ei saisi olla Bash, monesta muustakin syystä.
3. Tämä ei jää tähän, vastaavia vikoja Bashistä tulee löytymään - nyt
kun ruvetaan etsimään.
4. "Many eyes" myytti ehkä lopultakin pistetään unholaan. Ehkä.
5. Apache on paska, \W -merkit olisi pitänyt poistaa kaikesta tällaisesta.
--
@jhol

www.iki.fi/jhol
Viljo Mustonen
2014-09-26 06:43:34 UTC
Permalink
Post by Jouko Holopainen
1. Bash on paska, koko toiminnallisuus on idioottimainen.
2. /bin/sh ei saisi olla Bash, monesta muustakin syystä.
3. Tämä ei jää tähän, vastaavia vikoja Bashistä tulee löytymään - nyt
kun ruvetaan etsimään.
4. "Many eyes" myytti ehkä lopultakin pistetään unholaan. Ehkä.
5. Apache on paska, \W -merkit olisi pitänyt poistaa kaikesta tällaisesta.
https://forums.opensuse.org/showthread.php/501197-Bash-Bug

Onneksi minulla ei ole nettiin liitettyjä palvelimia. :)
--
Viljo
Jouko Holopainen
2014-09-26 13:48:08 UTC
Permalink
Post by Viljo Mustonen
Post by Jouko Holopainen
1. Bash on paska, koko toiminnallisuus on idioottimainen.
2. /bin/sh ei saisi olla Bash, monesta muustakin syystä.
3. Tämä ei jää tähän, vastaavia vikoja Bashistä tulee löytymään - nyt
kun ruvetaan etsimään.
4. "Many eyes" myytti ehkä lopultakin pistetään unholaan. Ehkä.
5. Apache on paska, \W -merkit olisi pitänyt poistaa kaikesta tällaisesta.
https://forums.opensuse.org/showthread.php/501197-Bash-Bug
"Patch for it was released, just update your system and you'll be fine."

:-D ... noh, joivatpa jotkut Koreshin drinkkejäkin kun "kuun takaa" tuli
uhvot ja pelastivat.
Post by Viljo Mustonen
Onneksi minulla ei ole nettiin liitettyjä palvelimia. :)
Onneksi ei mullakaan.
--
@jhol

www.iki.fi/jhol
Ari Saastamoinen
2014-09-27 23:12:08 UTC
Permalink
Post by Jouko Holopainen
"Patch for it was released, just update your system and you'll be fine."
Onhan noita pathseja, mutta ainakaan kaksi ensimmäistä ei ollut hyviä,
joten ei toi pätsäys mitenkään takaa, että "you'll be fine".
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Reijo Korhonen
2014-09-26 21:50:35 UTC
Permalink
1. Bash on paska, koko toiminnallisuus on idioottimainen. 2. /bin/sh ei
saisi olla Bash, monesta muustakin syystä. 3. Tämä ei jää tähän,
vastaavia vikoja Bashistä tulee löytymään - nyt kun ruvetaan etsimään.
4. "Many eyes" myytti ehkä lopultakin pistetään unholaan. Ehkä. 5.
Apache on paska, \W -merkit olisi pitänyt poistaa kaikesta tällaisesta.
Jaa, Ubuntu 10.04 LTS

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Jouko Holopainen
2014-09-27 05:16:13 UTC
Permalink
Post by Reijo Korhonen
1. Bash on paska, koko toiminnallisuus on idioottimainen. 2. /bin/sh ei
saisi olla Bash, monesta muustakin syystä. 3. Tämä ei jää tähän,
vastaavia vikoja Bashistä tulee löytymään - nyt kun ruvetaan etsimään.
4. "Many eyes" myytti ehkä lopultakin pistetään unholaan. Ehkä. 5.
Apache on paska, \W -merkit olisi pitänyt poistaa kaikesta tällaisesta.
Jaa, Ubuntu 10.04 LTS
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Ooo! On se mahtava kun se on 20 vuoden jälkeen lopultakin - melkein -
korjattu! Paitsi että ei ole.

env x='()' ; echo vulnerable; bash -c "echo this is a test"
--
@jhol

www.iki.fi/jhol
Jouko Holopainen
2014-09-27 05:22:39 UTC
Permalink
Post by Jouko Holopainen
Post by Reijo Korhonen
1. Bash on paska, koko toiminnallisuus on idioottimainen. 2. /bin/sh ei
saisi olla Bash, monesta muustakin syystä. 3. Tämä ei jää tähän,
vastaavia vikoja Bashistä tulee löytymään - nyt kun ruvetaan etsimään.
4. "Many eyes" myytti ehkä lopultakin pistetään unholaan. Ehkä. 5.
Apache on paska, \W -merkit olisi pitänyt poistaa kaikesta tällaisesta.
Jaa, Ubuntu 10.04 LTS
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Ooo! On se mahtava kun se on 20 vuoden jälkeen lopultakin - melkein -
korjattu! Paitsi että ei ole.
env x='()' ; echo vulnerable; bash -c "echo this is a test"
Jaa, kappas. olinkin puusilmä, eipä tuo olekkaan ongelma.
--
@jhol

www.iki.fi/jhol
Reijo Korhonen
2014-09-27 07:39:25 UTC
Permalink
Post by Jouko Holopainen
Post by Reijo Korhonen
1. Bash on paska, koko toiminnallisuus on idioottimainen. 2. /bin/sh
ei saisi olla Bash, monesta muustakin syystä. 3. Tämä ei jää tähän,
vastaavia vikoja Bashistä tulee löytymään - nyt kun ruvetaan etsimään.
4. "Many eyes" myytti ehkä lopultakin pistetään unholaan. Ehkä. 5.
Apache on paska, \W -merkit olisi pitänyt poistaa kaikesta
tällaisesta.
Jaa, Ubuntu 10.04 LTS
warning: x: ignoring function definition attempt bash: error importing
function definition for `x' this is a test
Ooo! On se mahtava kun se on 20 vuoden jälkeen lopultakin - melkein -
korjattu! Paitsi että ei ole.
env x='()' ; echo vulnerable; bash -c "echo this is a test"
Ei. Se on rikottu. Testini ei nyt rivittynyt kauniisti, mutta Ubuntu
10.04 LTS:ssa ei ole tätä haavoittuvuutta, mutta sen voi löytää
myöhemmistä Ubuntuista.

Tämä merkitsee sitä, että kun sitä ei ole vanhemmissa bash koodeissa, se
voidaan siis korjata uudemmista. Tai otaa yksinkestaisesti sama bash
versio käyttöön, joka löytyy Ubuntu 10.04 LTS:stä.

Vaarallinenhan täsätä haavoittuvuudesta tulee vain, jos joku ulkopuolinen
pääsee ajamaan sitä. Jokainen voi omalla koneellaan helpommin rikkoa sen
ihan itse ajamalla suoraan rikkovat komennot ilman kikkailua.

Havoittuvvuksia on paikoissa, joisa assetetaan ympäristömuuttujia
ulkopuolisen antaman tiedon perusteella. En osaa sanoa missä näin
tehtäisiin, mutta netissä puhutaan web-palveluista. Tässä totta kai
ollaan oikeilla jäljillä, sillä haavoittuvuus on vaarallinen vain, jos
koneeseen pääsee jollain tavalla netistä yhteyteen. Useimmilla
kotikäyttäjillä näin ei ole, ei minullakaan. Useimmat ovat adsl-modeemin
takana ja adsl-modeemiin on säädetty palomuuri niin, että netistä päin ei
pääse sisään ollenkaan ja sen lisäksi kotikäyttäjä ei ole edes säätänyt
päälle yhtään palvelua koneeseensa, joten kotikone ei edes ota
palvelupyyntöjä vastaan.

Toisekseen itse palvelujen ei tarvitse käyttää bashia, vaan ne voivat
käyttää muitakin komentotulkkeja, kuten ash, csh, ksh, sh tai zsh. Jos
asia mietityttää, niin bashin voi poistaa ja laittaa toisen komentotulkin
tilalle. Se on onneksi helppoa erityisesti palvelimissa, sillä miissä
ajetaan vain pientä määrää tiedettyjä ohjelmia. Vaikeuksia kun vaihdosta
tulee vain, jos jokin ohjelma käyttää jotain bashin erityispiirrettä,
mitä toisessa komentotulkissa ei ole. Vaihto-ohjeet ovat täällä <https://
wiki.ubuntu.com/ChangingShells>.

Mutta toki kaikki päivitykset kannattaa asentaa. Mutta minä en nyt taida
edelleenkään vaihtaa tämän koneen Ubuntu 10.04 LTS:ää uudenpaan Ubuntuun.
Hyvin toimii ja tästä läytyy oikea valikko. Uudemmista ei löydy.
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Heikki Kekki
2014-09-27 15:48:54 UTC
Permalink
On Sat, 27 Sep 2014 07:39:25 UTC, Reijo Korhonen
Ubuntu 10.04 LTS:ssa ei ole tätä haavoittuvuutta, mutta sen voi löytää
myöhemmistä Ubuntuista.
Xubuntu 10.04:ssä oli haavoittuvuus, vaan eipä turvapäivitysten ajo
kauaa kestänyt. Tuo windows läppäri hieroo päivityksiään kauemmin
melkein joka kerran, kun sen avaan (muutaman päivän välein).
--
Hessu
Viljo Mustonen
2014-09-27 10:59:18 UTC
Permalink
Post by Reijo Korhonen
1. Bash on paska, koko toiminnallisuus on idioottimainen. 2. /bin/sh ei
saisi olla Bash, monesta muustakin syystä. 3. Tämä ei jää tähän,
vastaavia vikoja Bashistä tulee löytymään - nyt kun ruvetaan etsimään.
4. "Many eyes" myytti ehkä lopultakin pistetään unholaan. Ehkä. 5.
Apache on paska, \W -merkit olisi pitänyt poistaa kaikesta tällaisesta.
Jaa, Ubuntu 10.04 LTS
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Minun openSUSE 13.1:n päivitetyn bash:n vaste on:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

Mietiskelen onko bash huonosti patch:ätty kun se ei anna virheilmoituksia

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'

Jossain oli maininta, openSUSE:ssa bash on patch:ätty samoin kuin
RETHAT, kokeilin https://access.redhat.com/articles/1200223
mainittua testiä
env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable'
bash -c "echo test"

Sillä vaste on oikea:

env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable'
bash -c "echo test"
bash: varoitus: x: ignoring function definition attempt
bash: virhe tuotaessa ”BASH_FUNC_x”:n funktiomääritystä
test

Joten toivoa sopii, että bash on tämän vaiheen mukaisessa kunnossa. ;)
Lisäähän bash bugeja on povattu.
--
Viljo
Pertti Kosunen
2014-09-27 16:08:11 UTC
Permalink
Post by Viljo Mustonen
env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable'
bash -c "echo test"
bash: varoitus: x: ignoring function definition attempt
bash: virhe tuotaessa ”BASH_FUNC_x”:n funktiomääritystä
test
Viimeinen test tulee edelleen läpi eli tuossa on vasta ensimmäinen
paikka mukana.
Viljo Mustonen
2014-09-27 17:22:27 UTC
Permalink
Post by Pertti Kosunen
Post by Viljo Mustonen
env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo
vulnerable' bash -c "echo test"
bash: varoitus: x: ignoring function definition attempt
bash: virhe tuotaessa ”BASH_FUNC_x”:n funktiomääritystä
test
Viimeinen test tulee edelleen läpi eli tuossa on vasta ensimmäinen
paikka mukana.
En ymmärrä mitä tarkoitat.

Olisi pitänyt kirjoittaa seuraavaa muotoon koska pitkä testi
komento jakautui kahdelle riville.

env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo
vulnerable' bash -c "echo test"

bash: varoitus: x: ignoring function definition attempt
bash: virhe tuotaessa ”BASH_FUNC_x”:n funktiomääritystä
test

Toisaalta linkin tekstissä mainitaan:

The versions with additional fixes from RHSA-2014:1306, RHSA-2014:1311 and
RHSA-2014:1312 produce the following output:

$ env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo
vulnerable' bash -c "echo test"

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `BASH_FUNC_x'
test

Tämän mukaan saamani vaste olisi oikein. Ei siis "vulnerable".
--
Viljo
Pertti Kosunen
2014-09-27 18:28:11 UTC
Permalink
Post by Viljo Mustonen
En ymmärrä mitä tarkoitat.
Taisin tavata väärin tuota CVE-2014-7169 kohtaa.

http://en.wikipedia.org/wiki/Shellshock_(software_bug)#CVE-2014-7169_vulnerability_details
Loading...