DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Ik bedenk me net dat ik best eens zelf kwetsbaar kan zijn, aangezien ik weet dat mijn internetprovider geen/slechte beveiliging heeft tegen rogue DHCP-servers op mijn subnet. Als een flatgenoot besluit deze bug te gaan exploiten kan het best eens dat mijn OpenWRT-routertje slachtoffer wordt.quote:Op donderdag 25 september 2014 20:37 schreef µ het volgende:
[..]
Of als dhcpd-beheerder je users exploiten
Nu draai ik zsh, maar ik heb ook bash geinstalleerd..quote:
Op
In theory there is no difference between theory and practice. In practice there is.
Gewoon even testen:quote:Op donderdag 25 september 2014 21:55 schreef slacker_nl het volgende:
[..]
Nu draai ik zsh, maar ik heb ook bash geinstalleerd..
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Ik neem aan dat het er ook aan ligt welke shell het programma gebruikt dat eventueel ge-exploit zou worden.quote:
[..]
Gewoon even testen:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
OpenWRT gebruikt overigens Busybox, dus ben niet kwetsbaar
Wie zegt dat bb niet kwetsbaar is? Ik dacht van wel...quote:Op vrijdag 26 september 2014 01:15 schreef KomtTijd... het volgende:
[..]
Ik neem aan dat het er ook aan ligt welke shell het programma gebruikt dat eventueel ge-exploit zou worden.
OpenWRT gebruikt overigens Busybox, dus ben niet kwetsbaar
జ్ఞా
Waar zag je dat? Die zou op zich geen code van bash moeten hebben.. Al is het niet de eerste keer dat deze vergissing gemaakt wordt:quote:Op vrijdag 26 september 2014 07:49 schreef µ het volgende:
[..]
Wie zegt dat bb niet kwetsbaar is? Ik dacht van wel...
twitter:oclsc twitterde op woensdag 24-09-2014 om 22:40:08 CVE-2014-6271 looks like a variant of a problem we fixed ~30 years ago in Research UNIX sh(1). There are no new bugs in the universe. reageer retweet
CVE-2014-6271 looks like a variant of a problem we fixed ~30 years ago in Research UNIX sh(1). There are no new bugs in the universe. twitter:oclsc twitterde op donderdag 25-09-2014 om 23:30:30 As I said, there are no new bugs! @chneukirchen: @oclsc Plan9 rc has the same bug: env $'fn#foo={}\necho vulnerable\n' 9 rc => vulnerable reageer retweet
I hope you can see this because I'm doing it as hard as I can.
al mijn boxes waren kwetsbaarquote:
[..]
Gewoon even testen:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
In theory there is no difference between theory and practice. In practice there is.
Het is specifiek een vulnerability in bash, Heb het getest met dat commando en die wordt niet uitgevoerd. Kan natuurlijk wel dat BB een soortgelijke vulnerability heeft, maar dat onderzoeken gaat mij persoonlijk net iets te ver.quote:
[..]
Wie zegt dat bb niet kwetsbaar is? Ik dacht van wel...
-edit-
Computer is weer safe
| 1 2 3 4 5 | david@david-desktop:~$ env x='() { :;}; echo kwetsbaar' bash -c "echo dit is een test" bash: waarschuwing: x: ignoring function definition attempt bash: fout tijdens importeren van functiedefinitie voor 'x' dit is een test david@david-desktop:~$ |
[ Bericht 21% gewijzigd door KomtTijd... op 26-09-2014 14:07:27 ]
Hoe update ik mijn bash? apt-get zegt dat ik de nieuwste versie heb. Maar dat testje zegt dat ik nog in gevaar ben 
[ Bericht 0% gewijzigd door #ANONIEM op 26-09-2014 20:26:34 ]
| 1 2 3 4 5 6 7 8 9 10 11 | [20:17 admin@vps ~]$ env x='() { :;}; echo vulnerable' bash -c 'echo hello' vulnerable hello [20:19 admin@vps ~]$ sudo apt-get install bash Reading package lists... Done Building dependency tree Reading state information... Done bash is already the newest version. <------ 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. [20:19 admin@vps ~]$ cat /etc/debian_version 6.0.10 |
[ Bericht 0% gewijzigd door #ANONIEM op 26-09-2014 20:26:34 ]
Helaas. Waarschijnlijk is de nieuwste versie van bash nog niet in de repository. Even geduld.quote:
Hoe update ik mijn bash? apt-get zegt dat ik de nieuwste versie heb. Maar dat testje zegt dat ik nog in gevaar ben
[ code verwijderd ]
Ik heb overigens de nieuwste versie en krijg bij het uitvoeren enkel 'hallo' te zien.
[ Bericht 11% gewijzigd door #ANONIEM op 26-09-2014 21:07:25 ]
Je hebt debian squeeze, die krijgt geen updates meer.quote:
Hoe update ik mijn bash? apt-get zegt dat ik de nieuwste versie heb. Maar dat testje zegt dat ik nog in gevaar ben
[ code verwijderd ]
oh verdorie. Ook geen security updates?quote:Op vrijdag 26 september 2014 21:35 schreef t4rt4rus het volgende:
[..]
Je hebt debian squeeze, die krijgt geen updates meer.
Ik ontdekte net ook, door te kijken of bash een update had, dat mijn testserver nog squeeze had.
Gelijk maar ge-upgraded naar wheezy.
Gelijk maar ge-upgraded naar wheezy.
Verstandig!quote:
Ik ontdekte net ook, door te kijken of bash een update had, dat mijn testserver nog squeeze had.
Gelijk maar ge-upgraded naar wheezy.
En gelijk een goede tip voor d4v1d. OS goed up-to-date houden.
Mja, ik zit met directadmin. Moet ik even uitzoeken hoe en watquote:
[..]
Verstandig!
En gelijk een goede tip voor d4v1d. OS goed up-to-date houden.
Ik moet jullie wat bekennen:
Windows is eigenlijk sneller dan ik dacht. Alle dingen heb ik op 'performance' gezet, aero-effecten uit, classic theme in plaats van het standaardthema, bestandsindexering uit. Dan is het eigenlijk echt goed te doen.
[ Bericht 8% gewijzigd door #ANONIEM op 26-09-2014 21:44:31 ]
Windows is eigenlijk sneller dan ik dacht. Alle dingen heb ik op 'performance' gezet, aero-effecten uit, classic theme in plaats van het standaardthema, bestandsindexering uit. Dan is het eigenlijk echt goed te doen.
[ Bericht 8% gewijzigd door #ANONIEM op 26-09-2014 21:44:31 ]
Volgens mij is dat best wel bagger.quote:
[..]
Mja, ik zit met directadmin. Moet ik even uitzoeken hoe en wat
Nee wheezy is straks al weer oldstable...quote:
[..]
oh verdorie. Ook geen security updates?
"straks", geen idee wanneer
[ Bericht 37% gewijzigd door t4rt4rus op 26-09-2014 23:51:04 ]
EDIT
blijkbaar heeft squeeze nog wel updates maar dan moet je wel je repsitories aanpassen naar squeeze-lts
Maar het krijgt dus geen security updates meer van debian security team.
[ Bericht 72% gewijzigd door t4rt4rus op 27-09-2014 00:08:01 ]
blijkbaar heeft squeeze nog wel updates maar dan moet je wel je repsitories aanpassen naar squeeze-lts
Maar het krijgt dus geen security updates meer van debian security team.
[ Bericht 72% gewijzigd door t4rt4rus op 27-09-2014 00:08:01 ]
Nederlands?!quote:
[..]
Het is specifiek een vulnerability in bash, Heb het getest met dat commando en die wordt niet uitgevoerd. Kan natuurlijk wel dat BB een soortgelijke vulnerability heeft, maar dat onderzoeken gaat mij persoonlijk net iets te ver.
-edit-
Computer is weer safe
[ code verwijderd ]
Je zou maar moeten wachten tot patch-tuesday voor ditsoort dingen joh
జ్ఞా
Ah topquote:
EDIT
blijkbaar heeft squeeze nog wel updates maar dan moet je wel je repsitories aanpassen naar squeeze-lts
Maar het krijgt dus geen security updates meer van debian security team.
m'n bash is nu iig veilig. Binnenkort even kijken naar een volledige systeem update
Ik hou het nog lekker even bij ext4, bevalt me prima. Breda mag zich nog wat meer in de praktijk bewijzen voor ik me daar aan ga wagen.quote:Op vrijdag 26 september 2014 21:27 schreef robin007bond het volgende:
Lastig om een filesystem te kiezen bij een SSD als ik er eentje ga kopen. btrfs of ext4.
