Ik bedenk me net dat ik best eens zelf kwetsbaar kan zijn, aangezien ik weet dat mijn internetprovider geen/slechte beveiliging heeft tegen rogue DHCP-servers op mijn subnet. Als een flatgenoot besluit deze bug te gaan exploiten kan het best eens dat mijn OpenWRT-routertje slachtoffer wordt.quote:Op donderdag 25 september 2014 20:37 schreef µ het volgende:
[..]
Of als dhcpd-beheerder je users exploiten
Nu draai ik zsh, maar ik heb ook bash geinstalleerd..quote:
Gewoon even testen:quote:Op donderdag 25 september 2014 21:55 schreef slacker_nl het volgende:
[..]
Nu draai ik zsh, maar ik heb ook bash geinstalleerd..
Ik neem aan dat het er ook aan ligt welke shell het programma gebruikt dat eventueel ge-exploit zou worden.quote:Op vrijdag 26 september 2014 00:27 schreef robin007bond het volgende:
[..]
Gewoon even testen:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Wie zegt dat bb niet kwetsbaar is? Ik dacht van wel...quote:Op vrijdag 26 september 2014 01:15 schreef KomtTijd... het volgende:
[..]
Ik neem aan dat het er ook aan ligt welke shell het programma gebruikt dat eventueel ge-exploit zou worden.
OpenWRT gebruikt overigens Busybox, dus ben niet kwetsbaar
Waar zag je dat? Die zou op zich geen code van bash moeten hebben.. Al is het niet de eerste keer dat deze vergissing gemaakt wordt:quote:Op vrijdag 26 september 2014 07:49 schreef µ het volgende:
[..]
Wie zegt dat bb niet kwetsbaar is? Ik dacht van wel...
twitter:oclsc twitterde op woensdag 24-09-2014 om 22:40:08 CVE-2014-6271 looks like a variant of a problem we fixed ~30 years ago in Research UNIX sh(1). There are no new bugs in the universe. reageer retweet
twitter:oclsc twitterde op donderdag 25-09-2014 om 23:30:30 As I said, there are no new bugs! @chneukirchen: @oclsc Plan9 rc has the same bug: env $'fn#foo={}\necho vulnerable\n' 9 rc => vulnerable reageer retweet
al mijn boxes waren kwetsbaarquote:Op vrijdag 26 september 2014 00:27 schreef robin007bond het volgende:
[..]
Gewoon even testen:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Het is specifiek een vulnerability in bash, Heb het getest met dat commando en die wordt niet uitgevoerd. Kan natuurlijk wel dat BB een soortgelijke vulnerability heeft, maar dat onderzoeken gaat mij persoonlijk net iets te ver.quote:Op vrijdag 26 september 2014 07:49 schreef µ het volgende:
[..]
Wie zegt dat bb niet kwetsbaar is? Ik dacht van wel...
1 2 3 4 5 | david@david-desktop:~$ env x='() { :;}; echo kwetsbaar' bash -c "echo dit is een test" bash: waarschuwing: x: ignoring function definition attempt bash: fout tijdens importeren van functiedefinitie voor 'x' dit is een test david@david-desktop:~$ |
1 2 3 4 5 6 7 8 9 10 11 | [20:17 admin@vps ~]$ env x='() { :;}; echo vulnerable' bash -c 'echo hello' vulnerable hello [20:19 admin@vps ~]$ sudo apt-get install bash Reading package lists... Done Building dependency tree Reading state information... Done bash is already the newest version. <------ 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. [20:19 admin@vps ~]$ cat /etc/debian_version 6.0.10 |
Helaas. Waarschijnlijk is de nieuwste versie van bash nog niet in de repository. Even geduld.quote:Op vrijdag 26 september 2014 20:23 schreef d4v1d het volgende:
Hoe update ik mijn bash? apt-get zegt dat ik de nieuwste versie heb. Maar dat testje zegt dat ik nog in gevaar ben
[ code verwijderd ]
Je hebt debian squeeze, die krijgt geen updates meer.quote:Op vrijdag 26 september 2014 20:23 schreef d4v1d het volgende:
Hoe update ik mijn bash? apt-get zegt dat ik de nieuwste versie heb. Maar dat testje zegt dat ik nog in gevaar ben
[ code verwijderd ]
oh verdorie. Ook geen security updates?quote:Op vrijdag 26 september 2014 21:35 schreef t4rt4rus het volgende:
[..]
Je hebt debian squeeze, die krijgt geen updates meer.
Verstandig!quote:Op vrijdag 26 september 2014 21:38 schreef Igen het volgende:
Ik ontdekte net ook, door te kijken of bash een update had, dat mijn testserver nog squeeze had.
Gelijk maar ge-upgraded naar wheezy.
Mja, ik zit met directadmin. Moet ik even uitzoeken hoe en watquote:Op vrijdag 26 september 2014 21:38 schreef robin007bond het volgende:
[..]
Verstandig!
En gelijk een goede tip voor d4v1d. OS goed up-to-date houden.
Volgens mij is dat best wel bagger.quote:Op vrijdag 26 september 2014 21:39 schreef d4v1d het volgende:
[..]
Mja, ik zit met directadmin. Moet ik even uitzoeken hoe en wat
Nee wheezy is straks al weer oldstable...quote:Op vrijdag 26 september 2014 21:35 schreef d4v1d het volgende:
[..]
oh verdorie. Ook geen security updates?
Nederlands?!quote:Op vrijdag 26 september 2014 11:53 schreef KomtTijd... het volgende:
[..]
Het is specifiek een vulnerability in bash, Heb het getest met dat commando en die wordt niet uitgevoerd. Kan natuurlijk wel dat BB een soortgelijke vulnerability heeft, maar dat onderzoeken gaat mij persoonlijk net iets te ver.
-edit-
Computer is weer safe
[ code verwijderd ]
Je zou maar moeten wachten tot patch-tuesday voor ditsoort dingen joh
Ah top m'n bash is nu iig veilig. Binnenkort even kijken naar een volledige systeem updatequote:Op vrijdag 26 september 2014 23:50 schreef t4rt4rus het volgende:
EDIT
blijkbaar heeft squeeze nog wel updates maar dan moet je wel je repsitories aanpassen naar squeeze-lts
Maar het krijgt dus geen security updates meer van debian security team.
Ik hou het nog lekker even bij ext4, bevalt me prima. Breda mag zich nog wat meer in de praktijk bewijzen voor ik me daar aan ga wagen.quote:Op vrijdag 26 september 2014 21:27 schreef robin007bond het volgende:
Lastig om een filesystem te kiezen bij een SSD als ik er eentje ga kopen. btrfs of ext4.
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |