KLB Klaagbaak
Klaag maar raak voor een knaak.
Toch wel vreemd dat zo'n bug zo lang heeft bestaan, terwijl het echt wel iets relatief simpel is. Dat daarbij nog in achting genomen dat iedereen de source aan zou kunnen passen.quote:Op zaterdag 27 september 2014 16:50 schreef Igen het volgende:
[..]
Zo'n 10 jaar geleden ofzo werd er vaak gelachen om de veiligheidslekken bij Microsoft-producten en werd vaak met leedvermaak gezegd dat veiligheid geen product is, geen extensie die je zo-even aan een systeem toevoegt, maar een proces is waar je continu mee bezig moet zijn. Uiteraard met het idee dat het met Linux wel goed zit, dankzij de Unix-basis en de open source.
Maar dat blijkt dus tegen te vallen. De oorzaak van deze bug én de falende pogingen om hem op te lossen zijn een typisch voorbeeld van 'veiligheid als add-on'.
Heb jij in je vrije tijd zin om van een willekeurig ingewikkeld softwarepakket de broncode te gaan zitten auditten? Ik niet.quote:
[..]
Toch wel vreemd dat zo'n bug zo lang heeft bestaan, terwijl het echt wel iets relatief simpel is. Dat daarbij nog in achting genomen dat iedereen de source aan zou kunnen passen.
En blijkbaar is de verleiding erg groot, mede aangemoedigd door de Unix-filosofie van flexibiliteit, hergebruik, simpliciteit en tekstbestanden, om shell-scripts te gebruiken op plekken waar het niet kan en waar je eigenlijk gewoon een zorgvuldig geschreven C-programma moet maken.
Iedereen zit te klagen dat linux onveilig is maar zelf doen ze er geen reet aan 
iets met een gegeven paard
iets met een gegeven paard
Nee oké, ik ook niet. Maar je zou zeggen dat grote organisaties er zelf belang bij hebben om zo'n security audit een keer te laten doen bijvoorbeeld.quote:
[..]
Heb jij in je vrije tijd zin om van een willekeurig ingewikkeld softwarepakket de broncode te gaan zitten auditten? Ik niet.
En blijkbaar is de verleiding erg groot, mede aangemoedigd door de Unix-filosofie van flexibiliteit, hergebruik, simpliciteit en tekstbestanden, om shell-scripts te gebruiken op plekken waar het niet kan en waar je eigenlijk gewoon een zorgvuldig geschreven C-programma moet maken.
En verder mee eens.
jullie kunnen wel allemaal mooi gaan klagen dat die developers het niet kunnen oplossen maar kunnen jullie dat zelf dan wel?
Maar uiteindelijk is 'zo lek als een mandje' ook wat overdreven. Er is pas een kwetsbaarheid:
- Als je op een webserver shell-scripts als cgi-programma's gebruikt, maar dan ben je sowieso een oen,
- Als je op je webserver cPanel gebruikt, want cPanel is blijkbaar zo dom om op twee plekken een shell te starten (bron). Maar cPanel is een commercieel bedrijf. Zij zouden hun eigen code beter moeten auditen.
- Of als je een SSH server hebt waarbij je ForceCommand gebruikt om een kooi op te zetten en te beperken wat voor commando's gebruikers wel en niet kunnen uitvoeren, maar wel gewoon de shell voor de gebruikers op bash hebt laten staan zodat die kooi binnen een bash-shell draait. Maar dan ben je sowieso een oen.
[ Bericht 0% gewijzigd door #ANONIEM op 27-09-2014 18:57:28 ]
- Als je op een webserver shell-scripts als cgi-programma's gebruikt, maar dan ben je sowieso een oen,
- Als je op je webserver cPanel gebruikt, want cPanel is blijkbaar zo dom om op twee plekken een shell te starten (bron). Maar cPanel is een commercieel bedrijf. Zij zouden hun eigen code beter moeten auditen.
- Of als je een SSH server hebt waarbij je ForceCommand gebruikt om een kooi op te zetten en te beperken wat voor commando's gebruikers wel en niet kunnen uitvoeren, maar wel gewoon de shell voor de gebruikers op bash hebt laten staan zodat die kooi binnen een bash-shell draait. Maar dan ben je sowieso een oen.
[ Bericht 0% gewijzigd door #ANONIEM op 27-09-2014 18:57:28 ]
Ditterdeditquote:
jullie kunnen wel allemaal mooi gaan klagen dat die developers het niet kunnen oplossen maar kunnen jullie dat zelf dan wel?
Dat is allang zo, alleen nu wordt er uitgebreid aandacht aan gegeven
Er is geen enkele software immuun voor malware. Ook linux en apple niet. Sterker nog, door dat jarenlang categorisch te ontkennen en hun kop in het zand te steken hebben ze een achterstand ontwikkeld op dit gebied. Waar microsoft al decennia voorop loopt met antivirus en firewallgebruik, zie je dat linux en apple nu ineens al jaren achter de feiten aan blijken te rennen
Er is geen enkele software immuun voor malware. Ook linux en apple niet. Sterker nog, door dat jarenlang categorisch te ontkennen en hun kop in het zand te steken hebben ze een achterstand ontwikkeld op dit gebied. Waar microsoft al decennia voorop loopt met antivirus en firewallgebruik, zie je dat linux en apple nu ineens al jaren achter de feiten aan blijken te rennen
Op vrijdag 14 mei 2021 @ 23:33 schreef Joopklepzeiker: Zonder twijfel is @vogeltjesdans de grootste smaakmaker en intelligentste persoon van heel KLB.
Neuh.quote:
[..]
Apple is ook vatbaar voor deze exploits aangezien het op unix draait
Heb je nou 10+ jaar moeten wachten tot er een Linux-bug in het nieuws kwam, voordat je dit kon posten? Bij Microsoft is dit dagelijkse kost, het wordt alleen onder de pet gehouden.quote:
Zo'n 10 jaar geleden ofzo werd er vaak gelachen om de veiligheidslekken bij Microsoft-producten en werd vaak met leedvermaak gezegd dat veiligheid geen product is, geen extensie die je zo-even aan een systeem toevoegt, maar een proces is waar je continu mee bezig moet zijn. Uiteraard met het idee dat het met Linux wel goed zit, dankzij de Unix-basis en de open source.
censuur :O
de bash bug zit er in vanaf 1992, dat is ouder dan de gemiddelde fokkerquote:Op zaterdag 27 september 2014 14:08 schreef robin007bond het volgende:
[..]
Apple staat juist heel slecht bekend als het gaat om veiligheid:
http://tweakers.net/nieuw(...)rheid-in-icloud.html
http://www.nu.nl/internet(...)pionagesoftware.html
[..]
Dat doet de open source gemeenschap dan toch een stuk beter.
“Specialization is for insects”.—Robert Heinlein
Kan ik nu niet meer internetbankieren? 
Kredietkaart heb ik gelukkig niet, dus dat is veilig, ik gebruik Ubuntu, omdat Windows onbeveiligbaar bleek, maar af en toe moet ik iets overschrijven via de bank en papieren overschrijvingskaarten worden niet meer uitgegeven.
Ik kan naar de bibliotheek fietsen in de hoop dat hun computers geen virussen bevatten, maar wellicht is ook dat niet zeker.
Anders maar geld in een enveloppe stoppen en het geld per reguliere post verzenden, anders weet ik het ook niet meer. Stom systeem ook dat ze papieren overschrijvingskaarten hebben afgeschaft, nu kan ik gewoon rekeningen niet meer betalen en moet ik contant geld in een enveloppe gaan sturen, hetgeen ook een risico is.
Kredietkaart heb ik gelukkig niet, dus dat is veilig, ik gebruik Ubuntu, omdat Windows onbeveiligbaar bleek, maar af en toe moet ik iets overschrijven via de bank en papieren overschrijvingskaarten worden niet meer uitgegeven.
Ik kan naar de bibliotheek fietsen in de hoop dat hun computers geen virussen bevatten, maar wellicht is ook dat niet zeker.
Anders maar geld in een enveloppe stoppen en het geld per reguliere post verzenden, anders weet ik het ook niet meer. Stom systeem ook dat ze papieren overschrijvingskaarten hebben afgeschaft, nu kan ik gewoon rekeningen niet meer betalen en moet ik contant geld in een enveloppe gaan sturen, hetgeen ook een risico is.
10 jaar wachten? Wat dacht je van de Heartbleed-bug. Of de bug in de Debian willekeurige-getallen-generator.quote:
[..]
Heb je nou 10+ jaar moeten wachten tot er een Linux-bug in het nieuws kwam, voordat je dit kon posten? Bij Microsoft is dit dagelijkse kost, het wordt alleen onder de pet gehouden.
En de eerste internetworm, in de jaren '80, draaide op Unix. Een reactie van iemand Slashdot:
Because nobody remembers the days when UNIX was just as 'keep security out of the way of the user' as Windows was. Nobody remembers the good old days of sendmail happily handing root access for the asking. 'wizard', 'debug', etc. Nobody remembers that UNIX is 'MULTICS with most of the security stripped out.' UNIX as in eunuchs as in a castrated version of MULTICS.
[ Bericht 20% gewijzigd door #ANONIEM op 28-09-2014 14:10:46 ]
Het ziet er gewoon naar uit dat de ecte basis van Linux niet aangepast is voor veiligheid en nu het steeds interessanter is om data op servers te stelen zal men steeds actiever op zoek gaan naar exploits.
quote:
Het ziet er gewoon naar uit dat de ecte basis van Linux niet aangepast is voor veiligheid en nu het steeds interessanter is om data op servers te stelen zal men steeds actiever op zoek gaan naar exploits.
quote:
Maar uiteindelijk is 'zo lek als een mandje' ook wat overdreven. Er is pas een kwetsbaarheid:
- Als je op een webserver shell-scripts als cgi-programma's gebruikt, maar dan ben je sowieso een oen,
- Als je op je webserver cPanel gebruikt, want cPanel is blijkbaar zo dom om op twee plekken een shell te starten (bron). Maar cPanel is een commercieel bedrijf. Zij zouden hun eigen code beter moeten auditen.
- Of als je een SSH server hebt waarbij je ForceCommand gebruikt om een kooi op te zetten en te beperken wat voor commando's gebruikers wel en niet kunnen uitvoeren, maar wel gewoon de shell voor de gebruikers op bash hebt laten staan zodat die kooi binnen een bash-shell draait. Maar dan ben je sowieso een oen.
Dat is wat er aanvankelijk gedacht werd maar de bash bug is veel omvangrijker. Daar is ook genoeg over te lezenquote:
Het gevaar moet niet overdreven worden. Als iemand al toegang tot je shell heeft was je computer toch al niet veilig. Het zijn mensen die geen verstand van Linux hebben en dan cPanel of Webmin installeren, of MySQL met wachtwoord '1234'. Linux is nog steeds veilig en door het naar bovenkomen van deze exploit zal het nog veiliger worden.
[ alle babes op 1 pagina via fok!wiki -bijgewerkt tot 20/10/2015 ]
Leve Kim , Leve Maduro , Leve Castro
#freeTarik #freeDemon_from_heaven
Leve Kim , Leve Maduro , Leve Castro
#freeTarik #freeDemon_from_heaven
precies, ik had al zoiets van "wtf je moet al toegang tot bash of bash-scripts hebben om deze exploit te gebruiken". dan zit je al praktisch in het systeem.quote:
Het gevaar moet niet overdreven worden. Als iemand al toegang tot je shell heeft was je computer toch al niet veilig. Het zijn mensen die geen verstand van Linux hebben en dan cPanel of Webmin installeren, of MySQL met wachtwoord '1234'. Linux is nog steeds veilig en door het naar bovenkomen van deze exploit zal het nog veiliger worden.
Dan kun je ons vast wel een linkje geven met informatie over die 'omvangrijkere' remote vulnerabilities.quote:
[..]
Dat is wat er aanvankelijk gedacht werd maar de bash bug is veel omvangrijker. Daar is ook genoeg over te lezen
Precies, ook nog van die mensen die dan te gierig zijn om iets te doneren voor hun software.quote:
jullie kunnen wel allemaal mooi gaan klagen dat die developers het niet kunnen oplossen maar kunnen jullie dat zelf dan wel?
Maak je maar geen zorgen, LBK.quote:Op zondag 28 september 2014 14:03 schreef Linkse_Boomknuffelaar het volgende:
Kan ik nu niet meer internetbankieren?
Kredietkaart heb ik gelukkig niet, dus dat is veilig, ik gebruik Ubuntu, omdat Windows onbeveiligbaar bleek, maar af en toe moet ik iets overschrijven via de bank en papieren overschrijvingskaarten worden niet meer uitgegeven.
Ik kan naar de bibliotheek fietsen in de hoop dat hun computers geen virussen bevatten, maar wellicht is ook dat niet zeker.
Anders maar geld in een enveloppe stoppen en het geld per reguliere post verzenden, anders weet ik het ook niet meer. Stom systeem ook dat ze papieren overschrijvingskaarten hebben afgeschaft, nu kan ik gewoon rekeningen niet meer betalen en moet ik contant geld in een enveloppe gaan sturen, hetgeen ook een risico is.
|
|
