Ten post był edytowany przez Danteusz dnia: 29 września 2014 - 19:31
Leaki, ataki, niebezpieczniki - tablica ostrzeżeń
#61 Napisany 29 września 2014 - 19:26
#62 Napisany 29 września 2014 - 20:07
Na Teutatesa, nie wierzę...domyślna konfiguracja OS X nie jest podatna na ten błąd
#63 Napisany 29 września 2014 - 20:12
#64 Napisany 29 września 2014 - 20:23
#65 Napisany 29 września 2014 - 20:25
jest podatna tylko dalej nie da się nic zrobić. a to trochę co innego.Nie wiem jak, może dałoby radę zrobić bash light który nie miałby pełnej władzy nad systemem. Domyślna konfiguracja OS X nie jest podatna na ten błąd, więc da się w jakimś stopniu zabezpieczyć system przed przejęciem
http://www.macworld....-quick-fix.html
Yes, recent versions of Mac OS X are vulnerable to the critical “Shellshock” Bash bug revealed earlier this week, including OS X Mavericks
#66 Napisany 29 września 2014 - 20:30
//edyta
Ale jeśli tak, to pragnę z radością dodać, że Windows 7 i Windows 8, na których nie ma basha, też są zabezpieczone przed shellshockiem!
Ten post był edytowany przez Ryan dnia: 29 września 2014 - 20:32
#67 Napisany 29 września 2014 - 20:32
http://www.pcworld.c...lshock-bug.html
A Ryan nie czyta uważnie tylko wpada w nerd rage, napisałem wyraźnie że chodzi o domyślną konfigurację, a nie że błędu nie ma
Ten post był edytowany przez Danteusz dnia: 29 września 2014 - 20:33
#68 Napisany 29 września 2014 - 20:33
#69 Napisany 29 września 2014 - 20:34
Super, na podstawie PRowej notki Apple (a nie security advisory, bo tego nie ma). Wzorowa postawa!
Jakiś dowód że nie jest to prawda?
#70 Napisany 29 września 2014 - 20:35
#71 Napisany 29 września 2014 - 20:36
#72 Napisany 29 września 2014 - 20:56
Ta pierwsza istnieje, kropka. Nie "udowadniaj", że jest inaczej, bo to głupie.
Ta druga może istnieje, może nie. Domyślna konfiguracja Apache jest exploitowalna (CGI włączone), ale Apache jest wyłączone o ile wiem. Domyślna konfiguracja OpenSSH jest exploitowalna, ale nie wiem czy domyślnie OpenSSH jest włączone. Znalezienie wektora ataku dla luserów to prawdopodobnie kwestia kilku dni. Jeśli dewelopujesz i masz poinstalowany shit na kompie (dunno, np. GITa albo jakieś narzędzie do audytu kodu) to prawdopodobnie jesteś exploitowalny.
Problemów z OSX jest kilka.
1. Apple nie wydało (jeszcze) aktualizacji,
2. Aktualizacja wymaga instalacji homebrew,
3. Najbardziej oczywista alternatywa - sh - nie istnieje (sh linkuje do basha w OSX),
4. Taka postawa jak Twoja jest szalenie powszechna wśród wyznawców Apple, więc Was będzie najłatwiej zaorać, jak tylko pojawi się gotowy POC do zabawy script kiddies.
Ten post był edytowany przez Ryan dnia: 29 września 2014 - 20:57
#73 Napisany 29 września 2014 - 21:02
Ten post był edytowany przez Danteusz dnia: 29 września 2014 - 21:03
#74 Napisany 29 września 2014 - 21:15
"Domyślna konfiguracja OS X nie jest podatna na ten błąd, więc da się w jakimś stopniu zabezpieczyć system przed przejęciem"
"Podatny na błąd" to nie jest vulnerable? Bash w OSX ma dziurę. OSX jest podatny. Koniec, kropka.
Tę drugą część zignorowałem, bo założyłem (wbrew flow dyskusji), że nie masz na myśli "mighty apple knows how to deal with this stuff" tylko "można nie używać basha". No, można, i co w związku z tym?
Aktualizacja *teraz* wymaga homebrew, bo Apple (mimo istnienia łaty) nie zaktualizowało basha.
#75 Napisany 29 września 2014 - 21:37
Jezu Dante, sam sobie sprawdź. Ja sprawdziłem i bash na maku ma tego buga...
do potęgi...
#76 Napisany 29 września 2014 - 21:41
Bash na Macu ma buga, ale w domyślnej konfiguracji nie ma włączone nic co by z niego mogło skorzystać. Tu jest to lepiej opisane:Jezu Dante, sam sobie sprawdź. Ja sprawdziłem i bash na maku ma tego buga...
do potęgi...
http://apple.stackex...-shellshock-bug
#77 Napisany 29 września 2014 - 21:46
Spoko, nie korzystaj z komputera to będzie bezpieczny. Argumentacja na takim poziomie.
#78 Napisany 29 września 2014 - 22:01
Spoko, nie korzystaj z komputera to będzie bezpieczny. Argumentacja na takim poziomie.
Nie mów, Ty też zaczynasz dzień od kawy i zdalnego połączenia SSH z kompem?
#79 Napisany 29 września 2014 - 22:03
Albo udajesz, albo nie rozumiesz skali problemu.
#80 Napisany 29 września 2014 - 22:05
#81 Napisany 29 września 2014 - 22:08
Na serwerach problem jest olbrzymi, na desktopach znikomy
Brawo! W tym momencie przypominam o czymś takim jak OS X Server. W sumie nawet Server nie jest potrzebny, żeby apacza postawić.
Ten post był edytowany przez twilitekid dnia: 29 września 2014 - 22:09
#82 Napisany 29 września 2014 - 22:12
#83 Napisany 29 września 2014 - 22:38
Tak tylko powiedziałeś, że domyślna konfiguracja nie jest podatna na ten błąd, a domyślnie OS X ma basha. Sam przyznajesz, że na serwerach problem istnieje. Czyli serwer postawiony na OS X wg Ciebie w końcu jest podatny czy nie?
#84 Napisany 29 września 2014 - 22:47
#85 Napisany 29 września 2014 - 23:17
#86 Napisany 29 września 2014 - 23:32
#87 Napisany 30 września 2014 - 09:52
Ten post był edytowany przez Danteusz dnia: 30 września 2014 - 09:55
#88 Napisany 10 października 2014 - 10:16
#89 Napisany 10 października 2014 - 10:20
#90 Napisany 10 października 2014 - 10:22
Cieszę się. Może młodzież zacznie żyć w realu zamiast marnować czas na Snapchat, Instagram czy Flickr.