KLB Klaagbaak
Klaag maar raak voor een knaak.
Alleen als je zelf de advanced UNIX services hebt geconfigureerd, dat reduceert de groep al tot een zeer kleine minderheid van de gebruikers. Als je die services weer terug zet dan is het gevaar gelijk geweken.quote:Op zaterdag 27 september 2014 14:19 schreef ClapClapYourHands het volgende:
[..]
Mac OS is ook vatbaar voor de shellshock exploit.
“The problem with socialism is that you eventually run out of other people’s money.”
Volgens beveiligingsonderzoeker David Wheeler is de patch van donderdagnacht te waarderen, maar ligt het onderliggende probleem dieper. Bash moet volgens hem stoppen met het automatisch verwerken van environment-variabelen. Gebeurt dat niet, dan is het probleem niet volledig te verhelpen, denkt hij. "Ik heb er geen vertrouwen in dat de huidige patches iemand tegen zullen houden", aldus Wheeler, die aantekent dat hij websites uit de lucht heeft gehaald en niet online durft te winkelen uit vrees voor het probleem.quote:Op zaterdag 27 september 2014 14:22 schreef Faux. het volgende:
[..]
Jammer maar helaas. Misschien werkt de derde.
Het probleem is dat Bash niet meer backwards compatible zou zijn als environment-variabelen niet meer automatisch worden geparset, waardoor veel oudere software niet meer zal werken. Tegelijkertijd zal dat het probleem niet volledig oplossen. Het probleem is dat gebruikers apparaten als routers, nas-systemen en zelfs draadloze webcams met een ingebouwde webserver vaak minder snel patchen dan een desktop-besturingssysteem, en daardoor nog jarenlang kwetsbaar kunnen zijn.
Driemaal is scheepsrechtquote:
[..]
Er zijn al 2 fixes geweest en beide hebben niet geholpen.
Daar komt ie weer:quote:
[..]
yeah , maar die hebben waarschijnlijk wat dingen toegevoegd waardoor er een betere kwaliteit gewaarborgd is, zoals gebruikelijk bij Apple. Als het om veiligheid gaat, zou ik i.i.g. geen sloeber willen zijn.
Believin' all the lies that they're tellin' you
Buyin' all the products that they're sellin' you
They say jump and you say how high
You're brain-dead
You've gotta fuckin' bullet in your head
Quote van Rage against the machine.quote:
Believin' all the lies that they're tellin' you
“The problem with socialism is that you eventually run out of other people’s money.”
Ik ben een beetje verbaasd over dit probleem.
Leren *NIX-programmeurs dat tegenwoordig niet meer? Wie heeft ooit bedacht dat het een goed idee is om bijv. een webserver met root-rechten shellscripts te laten draaien met invoer van niet-root-users?quote:Bash's parser is certain have many many many other vulnerabilities; it was never designed to be security-relevant!
http://seclists.org/oss-sec/2014/q3/771
http://paste.lisp.org/display/143864quote:
Ik ben een beetje verbaasd over dit probleem.
[..]
Leren *NIX-programmeurs dat tegenwoordig niet meer? Wie heeft ooit bedacht dat het een goed idee is om bijv. een webserver met root-rechten shellscripts te laten draaien met invoer van niet-root-users?
Precies. Dus wat zit je te zeiken op Linux.quote:
Ze hebben een bug. Boohoo.
MS heeft jaren bugs en kwetsbaarheden gehad en veel zitten er nog steeds in.
Waar gehakt wordt vallen spaanders en nu moet het gefikst worden. Klaar uit.
De exploits van linux zijn alleen een stuk erger dan die van ms. Je kan ze zo makkelijk actief misbruiken.quote:
Na 20 jaar heeft Linux het Microsoft-monopoly op exploits eindelijk doorbroken!
Ja leuk alleen zijn de exploits van linux zeer makkelijk te misbruiken en krijg je toegang tot een hoop. Heel veel servers draaien ook op een linux. Leuk dan als continu al je passwords etc. worden gehackt omdat er weer servers openliggenquote:Op zaterdag 27 september 2014 14:53 schreef n00b13 het volgende:
[..]
Precies. Dus wat zit je te zeiken op Linux.
Ze hebben een bug. Boohoo.
MS heeft jaren bugs en kwetsbaarheden gehad en veel zitten er nog steeds in.
Waar gehakt wordt vallen spaanders en nu moet het gefikst worden. Klaar uit.
Dat stukje is nog aardig voorzichtig.quote:
[..]
http://paste.lisp.org/display/143864
Het probleem is sowieso ook al ouder en fundamenteler. Het is voor zover ik weet bijv. altijd al bekend geweest dat je bash-scripts niet als setuid-root moet installeren. Ik vind het onbegrijpelijk dat apache en dhcpd dat blijkbaar min of meer wel doen.
[ Bericht 5% gewijzigd door #ANONIEM op 27-09-2014 14:55:28 ]
Dat is inderdaad een beetje vreemd.quote:
[..]
Dat stukje is nog aardig voorzichtig.
Het probleem is sowieso ook al ouder en fundamenteler. Het is voor zover ik weet bijv. altijd al bekend geweest dat je bash-scripts niet als setuid-root moet installeren. Ik vind het onbegrijpelijk dat apache en dhcpd dat blijkbaar min of meer wel doen.
1-0! u gaat door voor de wasmachine!quote:
[..]
Quote van Rage against the machine.
Zo'n 10 jaar geleden ofzo werd er vaak gelachen om de veiligheidslekken bij Microsoft-producten en werd vaak met leedvermaak gezegd dat veiligheid geen product is, geen extensie die je zo-even aan een systeem toevoegt, maar een proces is waar je continu mee bezig moet zijn. Uiteraard met het idee dat het met Linux wel goed zit, dankzij de Unix-basis en de open source.quote:Op zaterdag 27 september 2014 14:56 schreef robin007bond het volgende:
[..]
Dat is inderdaad een beetje vreemd.
Maar dat blijkt dus tegen te vallen. De oorzaak van deze bug én de falende pogingen om hem op te lossen zijn een typisch voorbeeld van 'veiligheid als add-on'.
quote:
Apple applicaties misschien iets voor jou? Ik zou geen genoegen nemen met goedkope rotzooi i.i.g.
🙈 🙉 🙊
Toch wel vreemd dat zo'n bug zo lang heeft bestaan, terwijl het echt wel iets relatief simpel is. Dat daarbij nog in achting genomen dat iedereen de source aan zou kunnen passen.quote:
[..]
Zo'n 10 jaar geleden ofzo werd er vaak gelachen om de veiligheidslekken bij Microsoft-producten en werd vaak met leedvermaak gezegd dat veiligheid geen product is, geen extensie die je zo-even aan een systeem toevoegt, maar een proces is waar je continu mee bezig moet zijn. Uiteraard met het idee dat het met Linux wel goed zit, dankzij de Unix-basis en de open source.
Maar dat blijkt dus tegen te vallen. De oorzaak van deze bug én de falende pogingen om hem op te lossen zijn een typisch voorbeeld van 'veiligheid als add-on'.
Heb jij in je vrije tijd zin om van een willekeurig ingewikkeld softwarepakket de broncode te gaan zitten auditten? Ik niet.quote:
[..]
Toch wel vreemd dat zo'n bug zo lang heeft bestaan, terwijl het echt wel iets relatief simpel is. Dat daarbij nog in achting genomen dat iedereen de source aan zou kunnen passen.
En blijkbaar is de verleiding erg groot, mede aangemoedigd door de Unix-filosofie van flexibiliteit, hergebruik, simpliciteit en tekstbestanden, om shell-scripts te gebruiken op plekken waar het niet kan en waar je eigenlijk gewoon een zorgvuldig geschreven C-programma moet maken.
Iedereen zit te klagen dat linux onveilig is maar zelf doen ze er geen reet aan
iets met een gegeven paard
iets met een gegeven paard
Nee oké, ik ook niet. Maar je zou zeggen dat grote organisaties er zelf belang bij hebben om zo'n security audit een keer te laten doen bijvoorbeeld.quote:
[..]
Heb jij in je vrije tijd zin om van een willekeurig ingewikkeld softwarepakket de broncode te gaan zitten auditten? Ik niet.
En blijkbaar is de verleiding erg groot, mede aangemoedigd door de Unix-filosofie van flexibiliteit, hergebruik, simpliciteit en tekstbestanden, om shell-scripts te gebruiken op plekken waar het niet kan en waar je eigenlijk gewoon een zorgvuldig geschreven C-programma moet maken.
En verder mee eens.
jullie kunnen wel allemaal mooi gaan klagen dat die developers het niet kunnen oplossen maar kunnen jullie dat zelf dan wel?
Maar uiteindelijk is 'zo lek als een mandje' ook wat overdreven. Er is pas een kwetsbaarheid:
- Als je op een webserver shell-scripts als cgi-programma's gebruikt, maar dan ben je sowieso een oen,
- Als je op je webserver cPanel gebruikt, want cPanel is blijkbaar zo dom om op twee plekken een shell te starten (bron). Maar cPanel is een commercieel bedrijf. Zij zouden hun eigen code beter moeten auditen.
- Of als je een SSH server hebt waarbij je ForceCommand gebruikt om een kooi op te zetten en te beperken wat voor commando's gebruikers wel en niet kunnen uitvoeren, maar wel gewoon de shell voor de gebruikers op bash hebt laten staan zodat die kooi binnen een bash-shell draait. Maar dan ben je sowieso een oen.
[ Bericht 0% gewijzigd door #ANONIEM op 27-09-2014 18:57:28 ]
- Als je op een webserver shell-scripts als cgi-programma's gebruikt, maar dan ben je sowieso een oen,
- Als je op je webserver cPanel gebruikt, want cPanel is blijkbaar zo dom om op twee plekken een shell te starten (bron). Maar cPanel is een commercieel bedrijf. Zij zouden hun eigen code beter moeten auditen.
- Of als je een SSH server hebt waarbij je ForceCommand gebruikt om een kooi op te zetten en te beperken wat voor commando's gebruikers wel en niet kunnen uitvoeren, maar wel gewoon de shell voor de gebruikers op bash hebt laten staan zodat die kooi binnen een bash-shell draait. Maar dan ben je sowieso een oen.
[ Bericht 0% gewijzigd door #ANONIEM op 27-09-2014 18:57:28 ]
Ditterdeditquote:
jullie kunnen wel allemaal mooi gaan klagen dat die developers het niet kunnen oplossen maar kunnen jullie dat zelf dan wel?
Dat is allang zo, alleen nu wordt er uitgebreid aandacht aan gegeven
Er is geen enkele software immuun voor malware. Ook linux en apple niet. Sterker nog, door dat jarenlang categorisch te ontkennen en hun kop in het zand te steken hebben ze een achterstand ontwikkeld op dit gebied. Waar microsoft al decennia voorop loopt met antivirus en firewallgebruik, zie je dat linux en apple nu ineens al jaren achter de feiten aan blijken te rennen
Er is geen enkele software immuun voor malware. Ook linux en apple niet. Sterker nog, door dat jarenlang categorisch te ontkennen en hun kop in het zand te steken hebben ze een achterstand ontwikkeld op dit gebied. Waar microsoft al decennia voorop loopt met antivirus en firewallgebruik, zie je dat linux en apple nu ineens al jaren achter de feiten aan blijken te rennen
Op vrijdag 14 mei 2021 @ 23:33 schreef Joopklepzeiker: Zonder twijfel is @vogeltjesdans de grootste smaakmaker en intelligentste persoon van heel KLB.
Neuh.quote:
[..]
Apple is ook vatbaar voor deze exploits aangezien het op unix draait
|
|
