o**********e
发帖数: 18403 | |
o**********e
发帖数: 18403 | |
g**8
发帖数: 4951 | 3 谢谢楼主的贴。这么大的新闻居然没人讨论?
这里是这次事情的wiki,整个事情还在不断更新
http://en.wikipedia.org/w/index.php?title=Shellshock_%28softwar
上班的电脑不算,我自己的电脑自从N年前开始就只用linux了。结果今晚我根据
wiki上给出的命令做了个测试,结果我的这个比较新的某linux distribution也有问题
,当然,目前所有没有patch的linux系统应该全都有问题。。。
我记得很早的时候,unix上default的shell是sh,csh, tcsh这样的shell, bash是后来随
着linux才开始流行起来的,现在需要看看这次这个bash的漏洞,那个env variable使
用上的漏洞,是从bash最初版本就有的,还是随着linux从linux的open source阵营带
进来的,什么时候带进来的具体check-in,我还没更多阅读,冒昧臆测的话,不知是否
如同上次那个heartbleed,也有可能是人故意埋的bug,上次那个heartbleed是个德国
人某年的新年夜check-in的,而且他的其他open-ssl的chek-in也被发现有问题。。。
如果仔细看的话,上次那个heartbleed和这次这个漏洞的风格和手法非常类似。。。
附:漏洞具体内容
CVE-2014-6271 vulnerability details
Bash supports exporting Bash function definitions inside environment
variables. For example, the following defines a "hello world" function
inside environment variable named, "HELLO_WORLD_VAR"
HELLO_WORLD_VAR=() {echo "Hello World";};
Note that the function is defined only, not executed, when Bash starts. The
bug is that Bash did not stop parsing at the end of the function, but
instead, continued interpreting. So if an attacker could set the value of
the environment variable to, for example,
HELLO_WORLD_VAR=() {echo "Hello World";}; rm /path/to/file
Then Bash first would define, but not execute, the function (only defining
it is harmless), but immediately, execute the malicious command "rm /path/to
/file", effectively giving shell access to the attacker.
The attacker would still have to get his code inserted into an environment
variable, but many Internet-facing daemons will insert user-supplied code
into an environment variable, since it normally would be considered harmless.
貌似这个在环境变量里设置函数定义的做法,几乎就是为网站类网络互动action量身定
做的,新闻里提到的cgi就是典型,我过去出于娱乐简单做过一个用leobbs开发的网站
,就是cgi based,黑客就可以用这样的手段在其登录或者发帖的code里远段设定一些
非常无辜的环境变量,里面函数设定,比如笑脸表情加动态条件等等,然后后面就可以
跟邪恶的命令了,比如动态改动admin权限的cgi scrip内容,短暂取消权限限制,然后
下一个类似动作再改回去,呵呵。。。所以非常有必要看看这个bash的漏洞是什么时候
,被谁带进来的。。。
cgi是比较旧的东西了,我也不是做纯网络应用的,不知道现在其他新的网站管理软件
是否有类似问题,像咱们大家一般用linux如果只是简单用户,不做网站什么的,应该
不会有太大问题。当然,新闻里说ssh也有问题,我还没仔细阅读,但是想必如果我们
disable ssh,总之一般的linux普通用户,不知道有多大影响。。。 |
o**********e
发帖数: 18403 | |
s*****g
发帖数: 1055 | 5 Unless you work as technical operations/DevOps role, which I believe 99+% of
people do not, why should you care about this security vulnerability at all? |
f****t
发帖数: 2724 | 6 因为黑客知道,这么简单的道理不明白吗
of
all?
【在 s*****g 的大作中提到】
: Unless you work as technical operations/DevOps role, which I believe 99+% of
: people do not, why should you care about this security vulnerability at all?
|
x***4
发帖数: 1815 | 7 会影响房价或者贫困线吗?不会的话,这个版的人是不会关心的。哈哈哈。
【在 f****t 的大作中提到】
: 因为黑客知道,这么简单的道理不明白吗
:
: of
: all?
|
f****t
发帖数: 2724 | 8 那倒是,基本上不拿枪顶脑门,就认为不关自己的事。冷漠的人最可怕
【在 x***4 的大作中提到】
: 会影响房价或者贫困线吗?不会的话,这个版的人是不会关心的。哈哈哈。
|
o**********e
发帖数: 18403 | 9 re.
所有linux based website没有
及时patch都有可能都被
taken over.
老中老美银行,学校,
公司,私信,都完蛋。
棒噶罗的烙印IT工可不一定
在乎。 就像target,Ebay,
JPM Chase, Homedepot一样,
任你被黑得天翻地覆,他自安然吸血。
【在 f****t 的大作中提到】
: 那倒是,基本上不拿枪顶脑门,就认为不关自己的事。冷漠的人最可怕
|
s*****g
发帖数: 1055 | 10 hehe, I patched our production servers within 1 hour after embargo ended.
What did you do? if I ask you what version of bash you should patch to on
CentOS6, do you know the answer?
【在 f****t 的大作中提到】
: 那倒是,基本上不拿枪顶脑门,就认为不关自己的事。冷漠的人最可怕
|
|
|
f****t
发帖数: 2724 | 11 我啥也没做, 就是发个email问问俺们IT部门领导,他们忙了一晚上, 显然比你差很
多, 很多人忙了很久还不一定搞定。
【在 s*****g 的大作中提到】
: hehe, I patched our production servers within 1 hour after embargo ended.
: What did you do? if I ask you what version of bash you should patch to on
: CentOS6, do you know the answer?
|
s*****g
发帖数: 1055 | 12 噢,原来是领导,失敬失敬。你倒是说说看这种事和普罗大众有毛关系?IT 是干这个
的么?大家对这个话题不感兴趣就是冷漠,这TMD的挨得着么? |
o**********e
发帖数: 18403 | 13 老中不要吃火药了。
肥猫说得对:关系大乐。
电脑其实已经是普罗大众的大脑了,
就差最后一步(Goog-glass+electrode
transplant+mind reading).
自己的脑子里可能进worm,
木马,能不关心吗?
monoculture is bad,
especially in IT.
ignorance is bad,
especially in IT.
discrimination is bad,
especially in IT.
take-over is bad,
especially in IT.
这不是很简单的道理吗? |
z**m
发帖数: 3080 | 14 en, like sql injection. |
j*******n
发帖数: 10868 | 15 我正奇怪lz没有借机黑印,3楼没有借机黑棒,再往下看lz已经跳出来骂烙印了,虽然
这bug目前看和烙印八杆子也打不着,看来3楼还是要有底线一点。。。我也讨厌阿三和
棒子,但象lz这样应该是病态了 |
g**8
发帖数: 4951 | 16 看了半天才反应过来原来3楼说得是我,这话说得够费劲的。 楼主说得没有错,上次那
个heartbleed如果大家有心去看看整个事情的timeline,就会意识到,那个bug在
embargo之前就从redhat印度传到硅谷,传遍了烙印圈子,也许角度不同,但是事实上
阿三的势力和在两个bug发现补丁的过程中,确实很有关系。
【在 j*******n 的大作中提到】
: 我正奇怪lz没有借机黑印,3楼没有借机黑棒,再往下看lz已经跳出来骂烙印了,虽然
: 这bug目前看和烙印八杆子也打不着,看来3楼还是要有底线一点。。。我也讨厌阿三和
: 棒子,但象lz这样应该是病态了
|
o**********e
发帖数: 18403 | 17 谢谢go88 elaborate.
下面是redhat patching 几次
duct-tape,把用户当猴子耍,
信誉扫地的事情。 The gurus
don't know what they are doing,
they just want to charge
you for "enterprise" software,
hire a million gurus to parasitize
your brain. 烙印在 enterprise
software,红帽子,思科,甲骨文,微软,VMW,
大规模占领,插管吸血,不负责任,
可见一斑。
【 以下文字转载自 SanFrancisco 讨论区 】
发信人: onetiemyshoe (onetiemyshoe), 信区: SanFrancisco
标 题: 红帽子烙印解释为什么patch了又patch
发信站: BBS 未名空间站 (Sun Sep 28 11:14:05 2014, 美东)
http://www.theregister.co.uk/2014/09/28/bash_shellshock_bug_pat
我来帮解释吧: Redhat,跟思科一样,拿了open
source软件就卖钱,根本没有testing,confused
about how to properly address a 22-year old
security hole. 两公司都是烙印窝.
烙印是这么解释的,注意他是怎样blame media,
吹牛“carefully analyzed root cause",
make excuse:"doing things correctly takes
time". Actually this bug and patch is 22
years in the making. that is a long time
to put enterprise customers at risk...
When a second issue with Bash was found a few minutes after the first one
went public, we knew there was something wrong. We could have followed a
duct-tape approach and issued patches to our customers quickly or we could
have done this correctly. Applying multiple security updates is extremely
difficult!
When CVE-2014-7169 went public, there was a lot of visible confusion around
how to address this issue. This was fuelled by the media and by the fact
that exploits were immediately available on the internet.
Red Hat carefully analysed the root cause of the issue and wrote and tested
patches. We posted these patches to the community for review and allowing
everyone to freely use them if they wanted to. Doing things correctly takes
time! |
o**********e
发帖数: 18403 | |
o**********e
发帖数: 18403 | |
