DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
quote:Fork of Systemd Leads To Lightweight Uselessd
A boycott of systemd and other backlash around systemd's feature-creep has led to the creation of Uselessd, a new init daemon.
Uselessd is a fork of systemd 208 that strips away functionality considered irrelevant to an init system like the systemd journal and udev.
Uselessd also adds in functionality not accepted in upstream systemd like support for alternative C libraries (namely uClibc and musl) and it's even being ported to BSD.
When the student is ready, the teacher will appear.
When the student is truly ready, the teacher will disappear.
When the student is truly ready, the teacher will disappear.
Dit is echt baas ja, heb hier een oude laptop bij de tv staan. Die heeft een AMD singlecore 1,2ghz met een oude nvidia gpu met shared memory.quote:
Op Zonder vdpau draait die 720p amper met vdpau via SMplayer draait die 1080p als een zonnetje.
quote:Op dinsdag 23 september 2014 21:27 schreef µ het volgende:
Woah debian en ubuntu gaan over naar systemd?
Wordt weer leuk met de haters straks 
More oneness, less categories
Open hearts, no strategies
Decisions based upon faith and not fear
People who live right now and right here
Open hearts, no strategies
Decisions based upon faith and not fear
People who live right now and right here
Dikke flamewars.quote:
Wordt weer leuk met de haters straks
quote:Bash-kwetsbaarheid laat aanvaller code uitvoeren op Linux en OS X
Een kwetsbaarheid laat aanvallers code injecteren in de Bash-shell, die door OS X en vrijwel alle Linux-distributies wordt gebruikt. Daardoor zou een aanvaller bijvoorbeeld via een kwetsbaar cgi-script zijn eigen code op een systeem kunnen uitvoeren.
De kwetsbaarheid kan worden misbruikt door een aantal tekens, gevolgd door code, toe te voegen aan een environment-variabele, schrijft Red Hat op zijn beveiligingsblog. Zodra vervolgens een bash-sessie wordt geopend, blijkt die code te worden uitgevoerd.
[...]
Gebruikers die willen weten of hun systeem kwetsbaar is, kunnen een simpele test uitvoeren door de code env x='() { :;}; echo kwetsbaar' bash -c "echo dit is een test" uit te voeren in een shell. Wordt 'kwetsbaar' getoond, dan is het systeem in kwestie kwetsbaar.
When the student is ready, the teacher will appear.
When the student is truly ready, the teacher will disappear.
When the student is truly ready, the teacher will disappear.
Ja, ik las het. Direct even getest ook en inderdaad, de imac hier is vulnerable.quote:Op donderdag 25 september 2014 12:49 schreef Aether het volgende:
Bash-kwetsbaarheid laat aanvaller code uitvoeren op Linux en OS X
Maar geldt dit ook als je (onbewust) een cgi script uitvoert als je op een website surft? Nee toch, alleen als je zoiets lokaal hebt draaien?
How can I make this topic about me?
Nee, alleen scripts die environment variables aanpassen en hiervoor input van derden accepteren, zijn kwetsbaar. Voor een huis-tuin-en-keuken gebruiker is dit vrijwel zeker niet van toepassing.quote:Op donderdag 25 september 2014 19:52 schreef gebrokenglas het volgende:
[..]
Ja, ik las het. Direct even getest ook en inderdaad, de imac hier is vulnerable.
Maar geldt dit ook als je (onbewust) een cgi script uitvoert als je op een website surft? Nee toch, alleen als je zoiets lokaal hebt draaien?
Ik las ergens dat DHCP-clients in principe kwetsbaar kunnen zijn, maar dan zou een aanvaller zich eerst toegang tot een DHCP-server op jouw netwerk moeten verschaffen. Ook nogal ver gezocht dus.
Of als dhcpd-beheerder je users exploitenquote:
[..]
Nee, alleen scripts die environment variables aanpassen en hiervoor input van derden accepteren, zijn kwetsbaar. Voor een huis-tuin-en-keuken gebruiker is dit vrijwel zeker niet van toepassing.
Ik las ergens dat DHCP-clients in principe kwetsbaar kunnen zijn, maar dan zou een aanvaller zich eerst toegang tot een DHCP-server op jouw netwerk moeten verschaffen. Ook nogal ver gezocht dus.
జ్ఞా
Ik bedenk me net dat ik best eens zelf kwetsbaar kan zijn, aangezien ik weet dat mijn internetprovider geen/slechte beveiliging heeft tegen rogue DHCP-servers op mijn subnet. Als een flatgenoot besluit deze bug te gaan exploiten kan het best eens dat mijn OpenWRT-routertje slachtoffer wordt.quote:Op donderdag 25 september 2014 20:37 schreef µ het volgende:
[..]
Of als dhcpd-beheerder je users exploiten
Nu draai ik zsh, maar ik heb ook bash geinstalleerd..quote:
In theory there is no difference between theory and practice. In practice there is.
Gewoon even testen:quote:
[..]
Nu draai ik zsh, maar ik heb ook bash geinstalleerd..
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Ik neem aan dat het er ook aan ligt welke shell het programma gebruikt dat eventueel ge-exploit zou worden.quote:
[..]
Gewoon even testen:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
OpenWRT gebruikt overigens Busybox, dus ben niet kwetsbaar
Wie zegt dat bb niet kwetsbaar is? Ik dacht van wel...quote:
[..]
Ik neem aan dat het er ook aan ligt welke shell het programma gebruikt dat eventueel ge-exploit zou worden.
OpenWRT gebruikt overigens Busybox, dus ben niet kwetsbaar
జ్ఞా
Waar zag je dat? Die zou op zich geen code van bash moeten hebben.. Al is het niet de eerste keer dat deze vergissing gemaakt wordt:quote:Op vrijdag 26 september 2014 07:49 schreef µ het volgende:
[..]
Wie zegt dat bb niet kwetsbaar is? Ik dacht van wel...
twitter:oclsc twitterde op woensdag 24-09-2014 om 22:40:08 CVE-2014-6271 looks like a variant of a problem we fixed ~30 years ago in Research UNIX sh(1). There are no new bugs in the universe. reageer retweet
CVE-2014-6271 looks like a variant of a problem we fixed ~30 years ago in Research UNIX sh(1). There are no new bugs in the universe. twitter:oclsc twitterde op donderdag 25-09-2014 om 23:30:30 As I said, there are no new bugs! @chneukirchen: @oclsc Plan9 rc has the same bug: env $'fn#foo={}\necho vulnerable\n' 9 rc => vulnerable reageer retweet
I hope you can see this because I'm doing it as hard as I can.
al mijn boxes waren kwetsbaarquote:
[..]
Gewoon even testen:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
In theory there is no difference between theory and practice. In practice there is.
Het is specifiek een vulnerability in bash, Heb het getest met dat commando en die wordt niet uitgevoerd. Kan natuurlijk wel dat BB een soortgelijke vulnerability heeft, maar dat onderzoeken gaat mij persoonlijk net iets te ver.quote:
[..]
Wie zegt dat bb niet kwetsbaar is? Ik dacht van wel...
-edit-
Computer is weer safe
| 1 2 3 4 5 | david@david-desktop:~$ env x='() { :;}; echo kwetsbaar' bash -c "echo dit is een test" bash: waarschuwing: x: ignoring function definition attempt bash: fout tijdens importeren van functiedefinitie voor 'x' dit is een test david@david-desktop:~$ |
[ Bericht 21% gewijzigd door KomtTijd... op 26-09-2014 14:07:27 ]
Hoe update ik mijn bash? apt-get zegt dat ik de nieuwste versie heb. Maar dat testje zegt dat ik nog in gevaar ben 
[ Bericht 0% gewijzigd door #ANONIEM op 26-09-2014 20:26:34 ]
| 1 2 3 4 5 6 7 8 9 10 11 | [20:17 admin@vps ~]$ env x='() { :;}; echo vulnerable' bash -c 'echo hello' vulnerable hello [20:19 admin@vps ~]$ sudo apt-get install bash Reading package lists... Done Building dependency tree Reading state information... Done bash is already the newest version. <------ 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. [20:19 admin@vps ~]$ cat /etc/debian_version 6.0.10 |
[ Bericht 0% gewijzigd door #ANONIEM op 26-09-2014 20:26:34 ]
Helaas. Waarschijnlijk is de nieuwste versie van bash nog niet in de repository. Even geduld.quote:
Hoe update ik mijn bash? apt-get zegt dat ik de nieuwste versie heb. Maar dat testje zegt dat ik nog in gevaar ben
[ code verwijderd ]
Ik heb overigens de nieuwste versie en krijg bij het uitvoeren enkel 'hallo' te zien.
[ Bericht 11% gewijzigd door #ANONIEM op 26-09-2014 21:07:25 ]
Je hebt debian squeeze, die krijgt geen updates meer.quote:
Hoe update ik mijn bash? apt-get zegt dat ik de nieuwste versie heb. Maar dat testje zegt dat ik nog in gevaar ben
[ code verwijderd ]
oh verdorie. Ook geen security updates?quote:Op vrijdag 26 september 2014 21:35 schreef t4rt4rus het volgende:
[..]
Je hebt debian squeeze, die krijgt geen updates meer.
Ik ontdekte net ook, door te kijken of bash een update had, dat mijn testserver nog squeeze had.
Gelijk maar ge-upgraded naar wheezy.
Gelijk maar ge-upgraded naar wheezy.
Verstandig!quote:
Ik ontdekte net ook, door te kijken of bash een update had, dat mijn testserver nog squeeze had.
Gelijk maar ge-upgraded naar wheezy.
En gelijk een goede tip voor d4v1d. OS goed up-to-date houden.
Mja, ik zit met directadmin. Moet ik even uitzoeken hoe en watquote:
[..]
Verstandig!
En gelijk een goede tip voor d4v1d. OS goed up-to-date houden.
Ik moet jullie wat bekennen:
Windows is eigenlijk sneller dan ik dacht. Alle dingen heb ik op 'performance' gezet, aero-effecten uit, classic theme in plaats van het standaardthema, bestandsindexering uit. Dan is het eigenlijk echt goed te doen.
[ Bericht 8% gewijzigd door #ANONIEM op 26-09-2014 21:44:31 ]
Windows is eigenlijk sneller dan ik dacht. Alle dingen heb ik op 'performance' gezet, aero-effecten uit, classic theme in plaats van het standaardthema, bestandsindexering uit. Dan is het eigenlijk echt goed te doen.
[ Bericht 8% gewijzigd door #ANONIEM op 26-09-2014 21:44:31 ]
