161 odpowiedzi na ten temat

[Danteusz]

Nie wiem jak, może dałoby radę zrobić bash light który nie miałby pełnej władzy nad systemem. Domyślna konfiguracja OS X nie jest podatna na ten błąd, więc da się w jakimś stopniu zabezpieczyć system przed przejęciem

Ten post był edytowany przez Danteusz dnia: 29 września 2014 - 19:31

[Ryan]

domyślna konfiguracja OS X nie jest podatna na ten błąd

Na Teutatesa, nie wierzę...

[Danteusz]

A jednak to prawda

[Ryan]

A jednak to nie jest prawda. Masz niezałatanego basha. Co więcej przyklaskujesz firmie, która regularnie ignoruje błędy bezpieczeństwa w swoim produkcie. Ale pewnie do dzisiaj płaczesz jakie to złe i niebezpieczne były kontrolki ActiveX na windzie (choć nigdy ich nie używałeś). Java też nie była problemem. Brak limitu prób logowania w iCloud też. Póki nie wybuchły użytkownikom w twarz.

[torq314]

Nie wiem jak, może dałoby radę zrobić bash light który nie miałby pełnej władzy nad systemem. Domyślna konfiguracja OS X nie jest podatna na ten błąd, więc da się w jakimś stopniu zabezpieczyć system przed przejęciem

jest podatna tylko dalej nie da się nic zrobić. a to trochę co innego.

http://www.macworld....-quick-fix.html

Yes, recent versions of Mac OS X are vulnerable to the critical “Shellshock” Bash bug revealed earlier this week, including OS X Mavericks

[Ryan]

Da się, można samemu skompilować i załatać. Żenujące jest, że CVE-2014-6271 pozwala na podniesienie uprawnień w OSX, ale zdaniem dantego OSX nie jest podatny na ten błąd (chyba, że domyślna konfiguracja dantego nie opiewa basha).

//edyta

Ale jeśli tak, to pragnę z radością dodać, że Windows 7 i Windows 8, na których nie ma basha, też są zabezpieczone przed shellshockiem!

Ten post był edytowany przez Ryan dnia: 29 września 2014 - 20:32

[Danteusz]

Tu jest opisane w jakich przypadkach OS X jest podatny:
http://www.pcworld.c...lshock-bug.html

A Ryan nie czyta uważnie tylko wpada w nerd rage, napisałem wyraźnie że chodzi o domyślną konfigurację, a nie że błędu nie ma

Ten post był edytowany przez Danteusz dnia: 29 września 2014 - 20:33

[Ryan]

Super, na podstawie PRowej notki Apple (a nie security advisory, bo tego nie ma). Wzorowa postawa!

[Danteusz]

Super, na podstawie PRowej notki Apple (a nie security advisory, bo tego nie ma). Wzorowa postawa!

Jakiś dowód że nie jest to prawda?

[Ryan]

Ty tak na serio?

[Danteusz]

Na serio to wygugluj sobie linijkę w bashu która sprawdza podatność i uruchom na świeżo zainstalowanym OS X

[Ryan]

Nie każda linijka z sieci działa na każdy OSX. Co innego potrzeba na Mavericksie 10.9.4 a co innego na 10.9.5. Nie wiem jaki jest stan Yosemite. Ignorujesz (albo nie rozumiesz), że mówię o podatności (vulnerable) a nie eksploitowalności (exploitable).

Ta pierwsza istnieje, kropka. Nie "udowadniaj", że jest inaczej, bo to głupie.

Ta druga może istnieje, może nie. Domyślna konfiguracja Apache jest exploitowalna (CGI włączone), ale Apache jest wyłączone o ile wiem. Domyślna konfiguracja OpenSSH jest exploitowalna, ale nie wiem czy domyślnie OpenSSH jest włączone. Znalezienie wektora ataku dla luserów to prawdopodobnie kwestia kilku dni. Jeśli dewelopujesz i masz poinstalowany shit na kompie (dunno, np. GITa albo jakieś narzędzie do audytu kodu) to prawdopodobnie jesteś exploitowalny.

Problemów z OSX jest kilka.
1. Apple nie wydało (jeszcze) aktualizacji,
2. Aktualizacja wymaga instalacji homebrew,
3. Najbardziej oczywista alternatywa - sh - nie istnieje (sh linkuje do basha w OSX),
4. Taka postawa jak Twoja jest szalenie powszechna wśród wyznawców Apple, więc Was będzie najłatwiej zaorać, jak tylko pojawi się gotowy POC do zabawy script kiddies.

Ten post był edytowany przez Ryan dnia: 29 września 2014 - 20:57

[Danteusz]

Zabawne jak dużo sobie dopowiadasz gdy tylko użyje się słowa Apple, OS X czy iPhone. Mój Mac jest narażony, co mnie nie zaskakuje, mam zainstalowane sporo narzędzi do programowania. Czemu aktualizacja wymaga honebrew? Przyjedzie przecież przez Mac App Store

Ten post był edytowany przez Danteusz dnia: 29 września 2014 - 21:03

[Ryan]

Co ja sobie dopowiadam? To Ty powiedziałeś, że OSX nie jest podatny.

"Domyślna konfiguracja OS X nie jest podatna na ten błąd, więc da się w jakimś stopniu zabezpieczyć system przed przejęciem"

"Podatny na błąd" to nie jest vulnerable? Bash w OSX ma dziurę. OSX jest podatny. Koniec, kropka.

Tę drugą część zignorowałem, bo założyłem (wbrew flow dyskusji), że nie masz na myśli "mighty apple knows how to deal with this stuff" tylko "można nie używać basha". No, można, i co w związku z tym?

Aktualizacja *teraz* wymaga homebrew, bo Apple (mimo istnienia łaty) nie zaktualizowało basha.

[twilitekid]

Jezu Dante, sam sobie sprawdź. Ja sprawdziłem i bash na maku ma tego buga...

do potęgi...

[Danteusz]

Jezu Dante, sam sobie sprawdź. Ja sprawdziłem i bash na maku ma tego buga...
do potęgi...

Bash na Macu ma buga, ale w domyślnej konfiguracji nie ma włączone nic co by z niego mogło skorzystać. Tu jest to lepiej opisane:
http://apple.stackex...-shellshock-bug

[twilitekid]

Spoko, nie korzystaj z komputera to będzie bezpieczny. Argumentacja na takim poziomie.

[Danteusz]

Spoko, nie korzystaj z komputera to będzie bezpieczny. Argumentacja na takim poziomie.

Nie mów, Ty też zaczynasz dzień od kawy i zdalnego połączenia SSH z kompem?

[twilitekid]

Albo udajesz, albo nie rozumiesz skali problemu.

[Danteusz]

Na serwerach problem jest olbrzymi, na desktopach znikomy

[twilitekid]

Na serwerach problem jest olbrzymi, na desktopach znikomy

 

Brawo! W tym momencie przypominam o czymś takim jak OS X Server. W sumie nawet Server nie jest potrzebny, żeby apacza postawić.

Ten post był edytowany przez twilitekid dnia: 29 września 2014 - 22:09

[Danteusz]

Jak postawisz serwer to masz serwer, brawo!

[twilitekid]

Tak tylko powiedziałeś, że domyślna konfiguracja nie jest podatna na ten błąd, a domyślnie OS X ma basha. Sam przyznajesz, że na serwerach problem istnieje. Czyli serwer postawiony na OS X wg Ciebie w końcu jest podatny czy nie? 

[Danteusz]

Whatever, właśnie wyszła łatka od Apple

[Ryan]

Notka o łatce zajebista. Jak załatali? Którą wersją łaty? Tą od Floriana Weimera, upstreamową, czy po swojemu?

[Ryan]

Lulz. Nie ma ponoć łaty w oficjalnym kanale, trzeba ręcznie pobrać. Załatali 2 bugi, jednego (CVE-2014-7186) nie, jednego (CVE-2014-7187) chyba nie.

[Danteusz]

Niby dodali prefixy i suffixy do zmiennych środowiskowych, które powinny zabezpieczyć przed każdym atakiem tego typu. Tak czy inaczej powinni naprawić wszystko

Ten post był edytowany przez Danteusz dnia: 30 września 2014 - 09:55

[Ryan]

Ooops!

http://kennywithers....ccounts-hacked/

[Schrodinger]

snappening! łę tam, randomy z netuf to juz nie to

[Wezyr]

Cieszę się. Może młodzież zacznie żyć w realu zamiast marnować czas na Snapchat, Instagram czy Flickr.