Testaa jakelusi bash tietoturva-aukon varalta eli
tsekkaa mitä tulostaa allaoleva komento:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
a) Jos tuloste on tällainen niin potentiaalinen uhka olemassa:
> vulnerable
> this is a test
b) Päivitetty bash sitä vastoin kieltäytyy yhteistyöstä ja herjaa näin:
> bash: warning: x: ignoring function definition attempt
> bash: error importing function definition for `x'
> this is a test
Lähde: http://urly.fi/hnL
Testaa Bourne Again SHell
bash ja tietoturva
15
250
Vastaukset
- Arch on ajan tasalla
Kiitos tästä, mietinkin miten tuon voi testata.
Archin bash näkyy olevan ajan tasalla. Ei siis huolta. :) - p+5
command not found
?- copy pastaa tuo?
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
- jpst
No mitä sitten tehdä, jos testi kertoo että vulnerable? Odottaa päivitystä, ei kai missään ole sellaista muualta ladattavissa.
- eqweqweqwe
kannattaa asentaa päivitykset, mutta jos ei ole tarjolla, niin sitten vaan kiltisti odottaa :)
eikös tuo mahdollinen uhka koskenut lähinnä palvelimia, eikä niinkään työpöytä käyttöä. - ........
Käyttää jotain toista komentotulkkia, onhan noita.
- -.,-.,-..,-.,-.,-,
ubuntu 14.04, b)
- lopullinen... ... ..
tänään tuli toinen päivitys.
dpkg -s bash | grep Version
Version: 4.3-7ubuntu1.3
- 6AmHXcg8
Kun käyttää Debiania niin ei tarvitse testailla. Korjaukset tulee aina ajoissa.
- jpst
Omassa käytössä on Debian 6 ja tämä tieto oli hyvä:
https://wiki.debian.org/LTS/Using
Erikoisesti "Add squeeze-lts to your sources.list"
Tuo bash-testi antaa tulokseksi nyt "this is a test", ei muuta, ja uskoakseni asia on kunnossa.
- 1+1
ubuntu 12.04 LTS b)
12.04, päivittykset ladattu (cat /etc/issue näyttää 12.04.5, ap. 12.04 kernel 3.2)
eli riittää että 12.04 on päivitety niin tätä aukkoa ei ole
mutta vaikka olisikin, se vaatii ao haittaskriptin ajon esim jonkun ulkopuolisen asennuksen tekemisen netistä, mikä sisältää ko haittakoodin (ulkopuoliset asennukset voi sisältää mitä tahansa muutakin haittakoodia eli asennuksia ei pidä tehdä epämääräisiltä sivuilta vaikka tämä aukko onkin korjattu)
luotettavaksi tunnetuilta sivuilta voi joskus tarvita asentaa jotain, mikä ei sisälly pakettivarastoon, mutta pääsääntöisesti asennukset tehdään pakettivarastosta - ======
F-Sökerön höpöjuttuja.
Palvelimissa asia on jo korjattu, ja kotikoneissa ei edes ole mitään haavoittuvuutta Debianissa ja sen johdannaisissa Ubuntu-, ja Mint-versioissa.
https://blog.cloudflare.com/bash-vulnerability-cve-2014-6271-patched/
"Ubuntu and other Debian-derived systems that use Dash exclusively are not at risk – Dash isn't vulnerable"- Windows sucks!
Mint 17 käytössä ja kaikki OK. Onneksi on turvallinen Linux. Ei tulisi mieleenikään käyttää NSA-Windowsia tai reikäistä iOS/MacOSX:aa.
- a)=nok | b)=ok
Uusimman bash-päivityksen jälkeen Debian on niukkasanaisempi kuin eilen :)
$ env x='() { :;}; echo Aukon_olemassaolo_todennettu' bash -c "echo Tämä oli testi"
a)
> Aukon_olemassaolo_todennettu
> Tämä oli testi
b)
> Tämä oli testi
Ps. Työasemissa tällä aukolla ei liene merkitystä, mutta palvelinkäytössä asia on jo aivan eri. Esimerkin vuoksi alla testin tulos palvelimelta, jossa käyttäjätunnuksia yli 180 ja jossa mulla(kin) on tunnari:
______________________________________________________________
$ env x='() { :;}; echo Aukon_olemassaolo_todennettu' bash -c "echo Tämä oli testi"
> Aukon_olemassaolo_todennettu
> Tämä oli testi
$ uname -srv
> Linux 2.6.22.19-0.1-default #1 SMP 2008-10-14 22:17:43 0200
$ lsb_release -d
> Description: openSUSE 10.3 (X86-64)
______________________________________________________________- jatko-osa
___ edellisen jatkoa (sama palvelin kyseessä) ____________
$ bash --version
GNU bash, version 3.2.25(1)-release (x86_64-suse-linux-gnu)
_________________________________________________
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Nainen, tervetuloa
Tule luokseni eka vaikka viikoks tai pariksi. Saisin helliä, kannustaa ja tukea sua ja kokata lempi herkkujasi. Pääsisit417974Olisit ollut varovaisempi
Nyt jos minut hylkäät ja et meidän asiasta minulle mitään ilmoita niin ettet edes anteeksi pyydä, niin tiedä että minä e834656Mies sinä olet kaunis katsella
Olet myös rauhallinen, tavallinen, varovainen, lämmin, poikamainen, komea, ryhdikäs, rentotyylinen, kiva, mukava... jne673361- 552186
Sinulle, tahtoisin kertoa mitä
ajattelen siitä. Ehkä olen väärässä, mutta minusta kuulostaa jonkin alulta, mutta ei kerro minkä. Se selvinnee myöhemmi281719Ensitreffit alttarilla Jyrki paljastaa hääyön intiimiasioista kameroiden sammuttua: "Fyysinen..."
Ooo-la-laa… Ensitreffit alttarilla -sarjassa alkaa hääparien välillä ns. tunteet kuumenemaan. Lue lisää: https://www.s71697Miksi suomussalmelaiset haisee niin pahalle?
Kaupassa käydessä huomaa, miten monet ihmiset haisee todella kammottavalle. Eikö täällä osata käydä pesulla tarpeeksi us171586Persut tyrmäsivät Suomen osallistumisen Ukrainan jälleenrakentamiseen
Siinä meni sitten kokoomusyrittäiltä bisnekset sivun suun putinistipersujen takia. Jälleenrakentamiseen osallistuvat mu3581518Miksi miehet pelkäätte jotain naista?
Iskeekö ujous, paniikki ja hävetys. En ole niin pelottava miltä vaikutan vink vink.581209Nuorisojoukko ryösti merkkikengät teinipojan jalasta Helsingin Itäkeskuksessa.
https://www.is.fi/kotimaa/art-2000010709501.html Muun muassa näidenkin rikosten huomattavan suurista kasvamismääristä vi2791118