Skocz do zawartości

Zdjęcie

Leaki, ataki, niebezpieczniki - tablica ostrzeżeń


  • Zaloguj się by odpowiedzieć
161 odpowiedzi na ten temat

#61 Danteusz Napisany 29 wrzesień 2014 - 19:26

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:
Nie wiem jak, może dałoby radę zrobić bash light który nie miałby pełnej władzy nad systemem. Domyślna konfiguracja OS X nie jest podatna na ten błąd, więc da się w jakimś stopniu zabezpieczyć system przed przejęciem

Ten post był edytowany przez Danteusz dnia: 29 wrzesień 2014 - 19:31

  • 0

#62 Ryan Napisany 29 wrzesień 2014 - 20:07

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:

domyślna konfiguracja OS X nie jest podatna na ten błąd

Na Teutatesa, nie wierzę... :fp:
  • 0

#63 Danteusz Napisany 29 wrzesień 2014 - 20:12

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:
A jednak to prawda
  • 0

#64 Ryan Napisany 29 wrzesień 2014 - 20:23

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
A jednak to nie jest prawda. Masz niezałatanego basha. Co więcej przyklaskujesz firmie, która regularnie ignoruje błędy bezpieczeństwa w swoim produkcie. Ale pewnie do dzisiaj płaczesz jakie to złe i niebezpieczne były kontrolki ActiveX na windzie (choć nigdy ich nie używałeś). Java też nie była problemem. Brak limitu prób logowania w iCloud też. Póki nie wybuchły użytkownikom w twarz.
  • 0

#65 torq314 Napisany 29 wrzesień 2014 - 20:25

torq314

    Buddhabrot

  • Forumowicze
  • 21910 Postów:

Nie wiem jak, może dałoby radę zrobić bash light który nie miałby pełnej władzy nad systemem. Domyślna konfiguracja OS X nie jest podatna na ten błąd, więc da się w jakimś stopniu zabezpieczyć system przed przejęciem

jest podatna tylko dalej nie da się nic zrobić. a to trochę co innego.

http://www.macworld....-quick-fix.html

Yes, recent versions of Mac OS X are vulnerable to the critical “Shellshock” Bash bug revealed earlier this week, including OS X Mavericks


  • 0

#66 Ryan Napisany 29 wrzesień 2014 - 20:30

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Da się, można samemu skompilować i załatać. Żenujące jest, że CVE-2014-6271 pozwala na podniesienie uprawnień w OSX, ale zdaniem dantego OSX nie jest podatny na ten błąd (chyba, że domyślna konfiguracja dantego nie opiewa basha).

//edyta

Ale jeśli tak, to pragnę z radością dodać, że Windows 7 i Windows 8, na których nie ma basha, też są zabezpieczone przed shellshockiem!

Ten post był edytowany przez Ryan dnia: 29 wrzesień 2014 - 20:32

  • 0

#67 Danteusz Napisany 29 wrzesień 2014 - 20:32

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:
Tu jest opisane w jakich przypadkach OS X jest podatny:
http://www.pcworld.c...lshock-bug.html

A Ryan nie czyta uważnie tylko wpada w nerd rage, napisałem wyraźnie że chodzi o domyślną konfigurację, a nie że błędu nie ma

Ten post był edytowany przez Danteusz dnia: 29 wrzesień 2014 - 20:33

  • 0

#68 Ryan Napisany 29 wrzesień 2014 - 20:33

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Super, na podstawie PRowej notki Apple (a nie security advisory, bo tego nie ma). Wzorowa postawa!
  • 0

#69 Danteusz Napisany 29 wrzesień 2014 - 20:34

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:


Super, na podstawie PRowej notki Apple (a nie security advisory, bo tego nie ma). Wzorowa postawa!


Jakiś dowód że nie jest to prawda?
  • 0

#70 Ryan Napisany 29 wrzesień 2014 - 20:35

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Ty tak na serio?
  • 0

#71 Danteusz Napisany 29 wrzesień 2014 - 20:36

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:
Na serio to wygugluj sobie linijkę w bashu która sprawdza podatność i uruchom na świeżo zainstalowanym OS X
  • 0

#72 Ryan Napisany 29 wrzesień 2014 - 20:56

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Nie każda linijka z sieci działa na każdy OSX. Co innego potrzeba na Mavericksie 10.9.4 a co innego na 10.9.5. Nie wiem jaki jest stan Yosemite. Ignorujesz (albo nie rozumiesz), że mówię o podatności (vulnerable) a nie eksploitowalności (exploitable).

Ta pierwsza istnieje, kropka. Nie "udowadniaj", że jest inaczej, bo to głupie.

Ta druga może istnieje, może nie. Domyślna konfiguracja Apache jest exploitowalna (CGI włączone), ale Apache jest wyłączone o ile wiem. Domyślna konfiguracja OpenSSH jest exploitowalna, ale nie wiem czy domyślnie OpenSSH jest włączone. Znalezienie wektora ataku dla luserów to prawdopodobnie kwestia kilku dni. Jeśli dewelopujesz i masz poinstalowany shit na kompie (dunno, np. GITa albo jakieś narzędzie do audytu kodu) to prawdopodobnie jesteś exploitowalny.

Problemów z OSX jest kilka.
1. Apple nie wydało (jeszcze) aktualizacji,
2. Aktualizacja wymaga instalacji homebrew,
3. Najbardziej oczywista alternatywa - sh - nie istnieje (sh linkuje do basha w OSX),
4. Taka postawa jak Twoja jest szalenie powszechna wśród wyznawców Apple, więc Was będzie najłatwiej zaorać, jak tylko pojawi się gotowy POC do zabawy script kiddies.

Ten post był edytowany przez Ryan dnia: 29 wrzesień 2014 - 20:57

  • 0

#73 Danteusz Napisany 29 wrzesień 2014 - 21:02

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:
Zabawne jak dużo sobie dopowiadasz gdy tylko użyje się słowa Apple, OS X czy iPhone. Mój Mac jest narażony, co mnie nie zaskakuje, mam zainstalowane sporo narzędzi do programowania. Czemu aktualizacja wymaga honebrew? Przyjedzie przecież przez Mac App Store

Ten post był edytowany przez Danteusz dnia: 29 wrzesień 2014 - 21:03

  • 0

#74 Ryan Napisany 29 wrzesień 2014 - 21:15

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Co ja sobie dopowiadam? To Ty powiedziałeś, że OSX nie jest podatny.

"Domyślna konfiguracja OS X nie jest podatna na ten błąd, więc da się w jakimś stopniu zabezpieczyć system przed przejęciem"

"Podatny na błąd" to nie jest vulnerable? Bash w OSX ma dziurę. OSX jest podatny. Koniec, kropka.

Tę drugą część zignorowałem, bo założyłem (wbrew flow dyskusji), że nie masz na myśli "mighty apple knows how to deal with this stuff" tylko "można nie używać basha". No, można, i co w związku z tym?

Aktualizacja *teraz* wymaga homebrew, bo Apple (mimo istnienia łaty) nie zaktualizowało basha.
  • 0

#75 twilitekid Napisany 29 wrzesień 2014 - 21:37

twilitekid

    HBH

  • Forumowicze
  • 6740 Postów:

Jezu Dante, sam sobie sprawdź. Ja sprawdziłem i bash na maku ma tego buga...

:fp: do potęgi...


  • 0

#76 Danteusz Napisany 29 wrzesień 2014 - 21:41

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:

Jezu Dante, sam sobie sprawdź. Ja sprawdziłem i bash na maku ma tego buga...
:fp: do potęgi...

Bash na Macu ma buga, ale w domyślnej konfiguracji nie ma włączone nic co by z niego mogło skorzystać. Tu jest to lepiej opisane:
http://apple.stackex...-shellshock-bug
  • 0

#77 twilitekid Napisany 29 wrzesień 2014 - 21:46

twilitekid

    HBH

  • Forumowicze
  • 6740 Postów:

Spoko, nie korzystaj z komputera to będzie bezpieczny. Argumentacja na takim poziomie.


  • 0

#78 Danteusz Napisany 29 wrzesień 2014 - 22:01

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:


Spoko, nie korzystaj z komputera to będzie bezpieczny. Argumentacja na takim poziomie.


Nie mów, Ty też zaczynasz dzień od kawy i zdalnego połączenia SSH z kompem?
  • 0

#79 twilitekid Napisany 29 wrzesień 2014 - 22:03

twilitekid

    HBH

  • Forumowicze
  • 6740 Postów:

Albo udajesz, albo nie rozumiesz skali problemu.


  • 0

#80 Danteusz Napisany 29 wrzesień 2014 - 22:05

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:
Na serwerach problem jest olbrzymi, na desktopach znikomy
  • 0

#81 twilitekid Napisany 29 wrzesień 2014 - 22:08

twilitekid

    HBH

  • Forumowicze
  • 6740 Postów:

Na serwerach problem jest olbrzymi, na desktopach znikomy

 

Brawo! W tym momencie przypominam o czymś takim jak OS X Server. W sumie nawet Server nie jest potrzebny, żeby apacza postawić.


Ten post był edytowany przez twilitekid dnia: 29 wrzesień 2014 - 22:09

  • 0

#82 Danteusz Napisany 29 wrzesień 2014 - 22:12

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:
Jak postawisz serwer to masz serwer, brawo!
  • 0

#83 twilitekid Napisany 29 wrzesień 2014 - 22:38

twilitekid

    HBH

  • Forumowicze
  • 6740 Postów:

Tak tylko powiedziałeś, że domyślna konfiguracja nie jest podatna na ten błąd, a domyślnie OS X ma basha. Sam przyznajesz, że na serwerach problem istnieje. Czyli serwer postawiony na OS X wg Ciebie w końcu jest podatny czy nie? 


  • 0

#84 Danteusz Napisany 29 wrzesień 2014 - 22:47

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:
Whatever, właśnie wyszła łatka od Apple
  • 0

#85 Ryan Napisany 29 wrzesień 2014 - 23:17

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Notka o łatce zajebista. Jak załatali? Którą wersją łaty? Tą od Floriana Weimera, upstreamową, czy po swojemu?
  • 0

#86 Ryan Napisany 29 wrzesień 2014 - 23:32

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Lulz. Nie ma ponoć łaty w oficjalnym kanale, trzeba ręcznie pobrać. Załatali 2 bugi, jednego (CVE-2014-7186) nie, jednego (CVE-2014-7187) chyba nie.
  • 0

#87 Danteusz Napisany 30 wrzesień 2014 - 09:52

Danteusz

    Alpha Male!

  • Administratorzy
  • 29349 Postów:
Niby dodali prefixy i suffixy do zmiennych środowiskowych, które powinny zabezpieczyć przed każdym atakiem tego typu. Tak czy inaczej powinni naprawić wszystko

Ten post był edytowany przez Danteusz dnia: 30 wrzesień 2014 - 09:55

  • 0

#88 Ryan Napisany 10 październik 2014 - 10:16

Ryan

    Dominik D.

  • Administratorzy
  • 32404 Postów:
Ooops! ;)

http://kennywithers....ccounts-hacked/
  • 0

#89 Schrodinger Napisany 10 październik 2014 - 10:20

Schrodinger

  • Moderatorzy
  • 56981 Postów:
snappening! łę tam, randomy z netuf to juz nie to
  • 0

#90 Wezyr Napisany 10 październik 2014 - 10:22

Wezyr

    zwykły chłopak z Podlasia

  • Forumowicze
  • 8815 Postów:

Cieszę się. Może młodzież zacznie żyć w realu zamiast marnować czas na Snapchat, Instagram czy Flickr.


  • 0