居然没有人讨论shell shock - Linux版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Linux版 - 居然没有人讨论shell shock

相关主题
● 申请新版[OSX][OS X操作系统] (转载)	● Noob question on Linux software raid.
● [转载]Mac OS X 背后的故事（二）——Linus Torvalds的短视	● Debian 支持FreeBSD[ZZ]
● 麒麟内核的说明	● 看来Oracle要搞死open source
● OSX比linux，用起来有什么不爽？	● 请问哪个版本的linux最好玩？
● EUV 封 jpostsildavi 在 Linux 版	● Linux做个好的用户界面， Windows的用户肯定会大幅减少
● fedora or ubu?	● 花哨 UI 都看厌了，其实配置灵活才是最重要的
● centos update openssl	● 你们谁搞过。
● 今年4到10月发布正式版的Linux及bsd系统时间表	● Notsaw,你的netbook没有光驱怎么装的Mac OS?

相关话题的讨论汇总
话题: linux话题: bash话题: 后门话题: osx话题: patch

进入Linux版参与讨论

(共1页)

z*********e
发帖数: 10149

在这个版不太正常啊

z****s
发帖数: 192

第一次听说这个名字，感慨自己很孤陋寡闻啊。
google了一下，了解了一下大概。于是就
update了自己的机器和办公室的，现在BASH 4.2.48(1)-release
不知道普通机器会不会受到影响。
这个版太冷清。人真少。呵呵。

【在 z*********e 的大作中提到】

: 在这个版不太正常啊

s*******n
发帖数: 730

这个，都知道就默默区升级吧。没感觉有什么可讨论的。

m********5
发帖数: 17667

因为上次heartbleed已经把大家吓倒了， open source的安全神话已经破灭了。
bash的这个bug非常深沉,现在不是一两个patch就能解决的问题。直到现在这么多patch
还是没解决根本问题。ssh也有类似后门。开源早就被植入大量后门，再小心也会倒霉
。这次爆出来应该是有了新的成熟后门，因此曝光老的bash bug, 在大家急忙fix的时
候悄悄放入新的后门。以前认为openBSD, freeBSD审核相对较严（毕竟最先在9x年发现
opensource后门丑闻的就是BSD dev），现在BSD也不能幸免。
"I suspect that many of the Internet of Things, or Internet of Everything,
devices that have been distributed have Linux roots," says Alan Dundas, vice
president and product architect for Authentify. "How will the small CPU in
your thermostat prevent malware introduced via a Bash flaw from sniffing
around whatever else is connected to it? It probably wasn't designed to have
that capability. Therein lies the fatal error of connecting lots of simple
items into a complex network without thoroughly evaluating what could go
wrong."
"This is potentially worse than Heartbleed," says Dundas, "because many
things Linux is embedded in were never intended to be patched."
Like Heartbleed, Shellshock is a vulnerability in open-source software.
"I see this as a failure in the mindset of the open-source community where
everyone waits for everyone else to do something or find something," says
Chris Stoneff, director of professional services for Lieberman Software. "
One of the interesting things happening with so much bashing of closed-
source projects like Microsoft and the embrace of more open software like
Linux and OSX is how much visibility Linux and OSX have gained in recent
years to would-be attackers. It has shone a light on one of the biggest lies
perpetrated on people: We are not vulnerable because we don't use Microsoft
. Well, the proof is now here, and it's time for Linux and OSX and UNIX to
take some heat."
Sara Peters is Senior Editor at Dark Reading and formerly the editor-in-
chief of Enterprise Efficiency. Prior that she was senior editor for the
Computer Security Institute, writing and speaking about virtualization,
identity management, cybersecurity law, and a myriad ...

【在 z*********e 的大作中提到】

: 在这个版不太正常啊

b***i
发帖数: 3043

下面是wiki给的利用这个漏洞的例子
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
大牛能不能解释一下，给个例子就是bash正常的不利用漏洞的例子？

patch
vice

【在 m********5 的大作中提到】

: 因为上次heartbleed已经把大家吓倒了， open source的安全神话已经破灭了。
: bash的这个bug非常深沉,现在不是一两个patch就能解决的问题。直到现在这么多patch
: 还是没解决根本问题。ssh也有类似后门。开源早就被植入大量后门，再小心也会倒霉
: 。这次爆出来应该是有了新的成熟后门，因此曝光老的bash bug, 在大家急忙fix的时
: 候悄悄放入新的后门。以前认为openBSD, freeBSD审核相对较严（毕竟最先在9x年发现
: opensource后门丑闻的就是BSD dev），现在BSD也不能幸免。
: "I suspect that many of the Internet of Things, or Internet of Everything,
: devices that have been distributed have Linux roots," says Alan Dundas, vice
: president and product architect for Authentify. "How will the small CPU in
: your thermostat prevent malware introduced via a Bash flaw from sniffing

z****s
发帖数: 192

刚刚测试了一下自己的机器，没有出现“vulnerable this is a test”。
看来Fedora的补丁有点作用。但看来Linux像mitbbs2715所说，已经不再很安全。
。。。

【在 b***i 的大作中提到】

: 下面是wiki给的利用这个漏洞的例子
: env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
: 大牛能不能解释一下，给个例子就是bash正常的不利用漏洞的例子？
:
: patch
: vice

w***f
发帖数: 903

主要的危险是Mac，一直没有打补丁。Linux倒是还好。

【在 z****s 的大作中提到】

: 刚刚测试了一下自己的机器，没有出现“vulnerable this is a test”。
: 看来Fedora的补丁有点作用。但看来Linux像mitbbs2715所说，已经不再很安全。
: 。。。

z****s
发帖数: 192

下面的网站说主要影响的是服务器。个人电脑如果不运行服务器功能的话看来不用担心。
http://www.zdnet.com/shellshock-how-to-protect-your-unix-linux-

【在 w***f 的大作中提到】

: 主要的危险是Mac，一直没有打补丁。Linux倒是还好。

x****o
发帖数: 21566

早就不用bash了

b******1
发帖数: 466

因为某种原因，我还悲催的用FC8，显然无处找rpm了，还有其它办法吗？

【在 z*********e 的大作中提到】

: 在这个版不太正常啊

相关主题
● fedora or ubu?	● Noob question on Linux software raid.
● centos update openssl	● Debian 支持FreeBSD[ZZ]
● 今年4到10月发布正式版的Linux及bsd系统时间表	● 看来Oracle要搞死open source
进入Linux版参与讨论

s*******n
发帖数: 730

比上次那个危害小点吧。
得要能设置环境变量的权限才能exploit。感觉只有一些开发有关的工具才有这类功能
开放给用户。比如jenkins之类的。平时没想到哪个常用的东西可以让用户设置环境变
量的。

w***f
发帖数: 903

主要是多用户的电脑。
如果你的电脑只有你一个用户，就算是连在网上也不怕。所谓“日防夜防，家贼难防”
，最危险的敌人是有一定权限的用户。很多漏洞都是权限提升的，简单说就是让这些普
通用户做他们原来不能做的事。

心。

【在 z****s 的大作中提到】

: 下面的网站说主要影响的是服务器。个人电脑如果不运行服务器功能的话看来不用担心。
: http://www.zdnet.com/shellshock-how-to-protect-your-unix-linux-

g*******t
发帖数: 7704

据说建立wifi连接时要运行bash，公共hotspot比较威胁，

n******7
发帖数: 12463

开源共产主义信仰的幻灭

patch
vice

【在 m********5 的大作中提到】

i***l
发帖数: 9994

哎，这下连Linux都不安全了。如何是好啊？

z**r
发帖数: 17771

都忙着补丁呢，厚厚

【在 z*********e 的大作中提到】

: 在这个版不太正常啊

a9
发帖数: 21638

估计很快还会有大bug发现出来。

【在 z**r 的大作中提到】

: 都忙着补丁呢，厚厚

w***f
发帖数: 903

我看也是。
原来到处宣传的思路是：要是有问题，早就被发现了。
现在开源，人家发现也不告诉你，风险实在太大了。

【在 a9 的大作中提到】

: 估计很快还会有大bug发现出来。

n****1
发帖数: 1136

有啥大惊小怪的,这个是典型的confused deputy problem,即使被利用，能获得的权限
也就和是程序所有人的权限，没法变root。换句话说，这个就像浏览器中病毒了，病毒
能控制整个浏览器，但只要不是以管理员身份运行就没多大事。那个“家贼难防”的论
点根本无法成立。
如果shellshock真那么神，iOS绝对第二天就能越狱了，还能让果粉high一阵子
windows不安全是因为丫内核整天爆remote privilege escalation,那才是防不胜防。

n*w
发帖数: 3393

http://www.zdnet.com/shellshock-makes-heartbleed-look-insignifi

【在 s*******n 的大作中提到】

: 比上次那个危害小点吧。
: 得要能设置环境变量的权限才能exploit。感觉只有一些开发有关的工具才有这类功能
: 开放给用户。比如jenkins之类的。平时没想到哪个常用的东西可以让用户设置环境变
: 量的。

x****o
发帖数: 21566

正解

【在 n****1 的大作中提到】

: 有啥大惊小怪的,这个是典型的confused deputy problem,即使被利用，能获得的权限
: 也就和是程序所有人的权限，没法变root。换句话说，这个就像浏览器中病毒了，病毒
: 能控制整个浏览器，但只要不是以管理员身份运行就没多大事。那个“家贼难防”的论
: 点根本无法成立。
: 如果shellshock真那么神，iOS绝对第二天就能越狱了，还能让果粉high一阵子
: windows不安全是因为丫内核整天爆remote privilege escalation,那才是防不胜防。

b******1
发帖数: 466

the script for de-supported version.
I have tested, it's good.
mkdir src
cd src
wget http://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
#download all patches
for i in $(seq -f "%03g" 1 27); do wget http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-$i; done
tar zxvf bash-4.3.tar.gz
cd bash-4.3
#apply all patches
for i in $(seq -f "%03g" 1 27);do patch -p0 < ../bash43-$i; done
#build and install
./configure --prefix=/ && make && make install
cd ..
cd ..
rm -r src

(共1页)

进入Linux版参与讨论

相关主题
● Notsaw,你的netbook没有光驱怎么装的Mac OS?	● EUV 封 jpostsildavi 在 Linux 版
● zfs＋freenas速度有点慢	● fedora or ubu?
● Windows 7的任务栏是个不错的想法	● centos update openssl
● 桌面的目标：常用程序/文档快速调出，还需要努力亚	● 今年4到10月发布正式版的Linux及bsd系统时间表
● 申请新版[OSX][OS X操作系统] (转载)	● Noob question on Linux software raid.
● [转载]Mac OS X 背后的故事（二）——Linus Torvalds的短视	● Debian 支持FreeBSD[ZZ]
● 麒麟内核的说明	● 看来Oracle要搞死open source
● OSX比linux，用起来有什么不爽？	● 请问哪个版本的linux最好玩？

相关话题的讨论汇总
话题: linux话题: bash话题: 后门话题: osx话题: patch

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天