Linux is zo lek als een mandje. De ene na de andere flinke exploit die makkelijk te misbruiken is komt uit en nu lukt het de linux community niet eens om de shellshock exploit te fixen. Er zijn al 2 updates geweest hiervoor en het lost de problemen nog steeds niet op.
Het is ook nog eens een exploit die gigantisch makkelijk te gebruiken is
Klacht: Vieze neckbeards kunnen exploits niet fixen.
Ik gebruik veel obscure linux only applicaties.quote:
Apple draait ook op unixquote:Op zaterdag 27 september 2014 14:05 schreef Michielos het volgende:
Apple applicaties misschien iets voor jou? Ik zou geen genoegen nemen met goedkope rotzooi i.i.g.
yeah , maar die hebben waarschijnlijk wat dingen toegevoegd waardoor er een betere kwaliteit gewaarborgd is, zoals gebruikelijk bij Apple. Als het om veiligheid gaat, zou ik i.i.g. geen sloeber willen zijn.quote:
[..]
Apple draait ook op nix
Apple is ook vatbaar voor deze exploits aangezien het op unix draaitquote:
Dat die fout al tig jaar onopgemerkt in de code zit zegt heel wat
apple heeft geen virussen.quote:
[..]
Apple is ook vatbaar voor deze exploits aangezien het op unix draait
Je bent zelf een virusquote:
En het ergste is, is dat het bijna niet te fixen is zonder heel veel applicaties/scripts te slopen. Ze weten nu nog steeds niet hoe ze die exploit moeten fixen.quote:
tot zover het argument 'open source is veilig omdat duizenden mensen de broncode lezen'
Dat die fout al tig jaar onopgemerkt in de code zit zegt heel wat
Apple staat juist heel slecht bekend als het gaat om veiligheid:quote:
[..]
yeah , maar die hebben waarschijnlijk wat dingen toegevoegd waardoor er een betere kwaliteit gewaarborgd is, zoals gebruikelijk bij Apple. Als het om veiligheid gaat, zou ik i.i.g. geen sloeber willen zijn.
http://tweakers.net/nieuw(...)rheid-in-icloud.html
http://www.nu.nl/internet(...)pionagesoftware.html
Dat doet de open source gemeenschap dan toch een stuk beter.quote:. Het bestaan van deze Trojan werd in maart 2011 al bekendgemaakt en het lek bij iTunes is al sinds 2008 bekend.
[ Bericht 8% gewijzigd door #ANONIEM op 27-09-2014 14:10:12 ]
ik draai niet op linux. ik draai op de islam.quote:
[..]
Je bent zelf een virus
"ik draai op islam" klinkt haramquote:Op zaterdag 27 september 2014 14:09 schreef Ahmad1nejad het volgende:
[..]
ik draai niet op linux. ik draai op de islam.
bitches, money, allesquote:
[..]
"ik draai op islam" klinkt haram
Is Islam open source?quote:
[..]
ik draai niet op linux. ik draai op de islam.
tuurlijk niet, dan krijg je datzelfde gedoe als nu met linuxquote:
Je kan de bron code van de Islam wel lezen. Alleen bij het compilen gaat er soms iets mis.quote:
Nou ja, dit lek zat er ook al vele jaren in toch? Het wordt wellicht sneller opgelost nadat het gevonden is, maar of het nou meteen beter is..quote:Op zaterdag 27 september 2014 14:08 schreef robin007bond het volgende:
Dat doet de open source gemeenschap dan toch een stuk beter.
Waarom ben jij Donald Duck held?quote:
tot zover het argument 'open source is veilig omdat duizenden mensen de broncode lezen'
Dat die fout al tig jaar onopgemerkt in de code zit zegt heel wat
Je bent nog serieus ookquote:
[..]
Apple staat juist heel slecht bekend als het gaat om veiligheid:
http://tweakers.net/nieuw(...)rheid-in-icloud.html
http://www.nu.nl/internet(...)pionagesoftware.html
Tweakers bericht: Gebruik een fatsoenlijk ww en brute forcing is niet meer mogelijk. Tevens heb je een voorbeeld van misbruik?
Nu.nl bericht: Alleen op windows, en ook dan alleen als gebruikers updates downloaden uit niet officiële bron.
Apple bekend staan om zijn onveiligheid
Mac OS is ook vatbaar voor de shellshock exploit.quote:
[..]
Je bent nog serieus ook
Tweakers bericht: Gebruik een fatsoenlijk ww en brute forcing is niet meer mogelijk. Tevens heb je een voorbeeld van misbruik?
Nu.nl bericht: Alleen op windows, en ook dan alleen als gebruikers updates downloaden uit niet officiële bron.
Apple bekend staan om zijn onveiligheid
Veiliger? Ja de exploit is gevonden maar niet gefixtquote:Op zaterdag 27 september 2014 14:19 schreef Faux. het volgende:
Alles is zo lek als een mandje. Het is slechts een kwestie van tijd totdat fouten gevonden worden, dus het is mooi dat Linux weer een stukje veiliger is omdat deze fout gevonden is.
Overigens zijn er nog een gigantisch hoop apparaten niet gepatched Fix komt snel genoeg.quote:
[..]
Veiliger? Ja de exploit is gevonden maar niet gefixt
Er zijn al 2 fixes geweest en beide hebben niet geholpen.quote:
Jammer maar helaas. Misschien werkt de derde.quote:
[..]
Er zijn al 2 fixes geweest en beide hebben niet geholpen.
Alleen als je zelf de advanced UNIX services hebt geconfigureerd, dat reduceert de groep al tot een zeer kleine minderheid van de gebruikers. Als je die services weer terug zet dan is het gevaar gelijk geweken.quote:
[..]
Mac OS is ook vatbaar voor de shellshock exploit.
Volgens beveiligingsonderzoeker David Wheeler is de patch van donderdagnacht te waarderen, maar ligt het onderliggende probleem dieper. Bash moet volgens hem stoppen met het automatisch verwerken van environment-variabelen. Gebeurt dat niet, dan is het probleem niet volledig te verhelpen, denkt hij. "Ik heb er geen vertrouwen in dat de huidige patches iemand tegen zullen houden", aldus Wheeler, die aantekent dat hij websites uit de lucht heeft gehaald en niet online durft te winkelen uit vrees voor het probleem.quote:
[..]
Jammer maar helaas. Misschien werkt de derde.
Het probleem is dat Bash niet meer backwards compatible zou zijn als environment-variabelen niet meer automatisch worden geparset, waardoor veel oudere software niet meer zal werken. Tegelijkertijd zal dat het probleem niet volledig oplossen. Het probleem is dat gebruikers apparaten als routers, nas-systemen en zelfs draadloze webcams met een ingebouwde webserver vaak minder snel patchen dan een desktop-besturingssysteem, en daardoor nog jarenlang kwetsbaar kunnen zijn.
Driemaal is scheepsrechtquote:
[..]
Er zijn al 2 fixes geweest en beide hebben niet geholpen.
Daar komt ie weer:quote:
[..]
yeah , maar die hebben waarschijnlijk wat dingen toegevoegd waardoor er een betere kwaliteit gewaarborgd is, zoals gebruikelijk bij Apple. Als het om veiligheid gaat, zou ik i.i.g. geen sloeber willen zijn.
Believin' all the lies that they're tellin' you
Buyin' all the products that they're sellin' you
They say jump and you say how high
You're brain-dead
You've gotta fuckin' bullet in your head
Quote van Rage against the machine.quote:
Believin' all the lies that they're tellin' you
Een bug in OpenSSLquote:
Leren *NIX-programmeurs dat tegenwoordig niet meer? Wie heeft ooit bedacht dat het een goed idee is om bijv. een webserver met root-rechten shellscripts te laten draaien met invoer van niet-root-users?quote:Bash's parser is certain have many many many other vulnerabilities; it was never designed to be security-relevant!
http://seclists.org/oss-sec/2014/q3/771
http://paste.lisp.org/display/143864quote:
Ik ben een beetje verbaasd over dit probleem.
[..]
Leren *NIX-programmeurs dat tegenwoordig niet meer? Wie heeft ooit bedacht dat het een goed idee is om bijv. een webserver met root-rechten shellscripts te laten draaien met invoer van niet-root-users?
Precies. Dus wat zit je te zeiken op Linux.quote:
Ze hebben een bug. Boohoo.
MS heeft jaren bugs en kwetsbaarheden gehad en veel zitten er nog steeds in.
Waar gehakt wordt vallen spaanders en nu moet het gefikst worden. Klaar uit.
De exploits van linux zijn alleen een stuk erger dan die van ms. Je kan ze zo makkelijk actief misbruiken.quote:
Na 20 jaar heeft Linux het Microsoft-monopoly op exploits eindelijk doorbroken!
Ja leuk alleen zijn de exploits van linux zeer makkelijk te misbruiken en krijg je toegang tot een hoop. Heel veel servers draaien ook op een linux. Leuk dan als continu al je passwords etc. worden gehackt omdat er weer servers openliggenquote:
[..]
Precies. Dus wat zit je te zeiken op Linux.
Ze hebben een bug. Boohoo.
MS heeft jaren bugs en kwetsbaarheden gehad en veel zitten er nog steeds in.
Waar gehakt wordt vallen spaanders en nu moet het gefikst worden. Klaar uit.
Dat stukje is nog aardig voorzichtig.quote:
[..]
http://paste.lisp.org/display/143864
Het probleem is sowieso ook al ouder en fundamenteler. Het is voor zover ik weet bijv. altijd al bekend geweest dat je bash-scripts niet als setuid-root moet installeren. Ik vind het onbegrijpelijk dat apache en dhcpd dat blijkbaar min of meer wel doen.
[ Bericht 5% gewijzigd door #ANONIEM op 27-09-2014 14:55:28 ]
Dat is inderdaad een beetje vreemd.quote:
[..]
Dat stukje is nog aardig voorzichtig.
Het probleem is sowieso ook al ouder en fundamenteler. Het is voor zover ik weet bijv. altijd al bekend geweest dat je bash-scripts niet als setuid-root moet installeren. Ik vind het onbegrijpelijk dat apache en dhcpd dat blijkbaar min of meer wel doen.
1-0! u gaat door voor de wasmachine!quote:
[..]
Quote van Rage against the machine.
Zo'n 10 jaar geleden ofzo werd er vaak gelachen om de veiligheidslekken bij Microsoft-producten en werd vaak met leedvermaak gezegd dat veiligheid geen product is, geen extensie die je zo-even aan een systeem toevoegt, maar een proces is waar je continu mee bezig moet zijn. Uiteraard met het idee dat het met Linux wel goed zit, dankzij de Unix-basis en de open source.quote:Op zaterdag 27 september 2014 14:56 schreef robin007bond het volgende:
[..]
Dat is inderdaad een beetje vreemd.
Maar dat blijkt dus tegen te vallen. De oorzaak van deze bug én de falende pogingen om hem op te lossen zijn een typisch voorbeeld van 'veiligheid als add-on'.
quote:
Apple applicaties misschien iets voor jou? Ik zou geen genoegen nemen met goedkope rotzooi i.i.g.
Toch wel vreemd dat zo'n bug zo lang heeft bestaan, terwijl het echt wel iets relatief simpel is. Dat daarbij nog in achting genomen dat iedereen de source aan zou kunnen passen.quote:
[..]
Zo'n 10 jaar geleden ofzo werd er vaak gelachen om de veiligheidslekken bij Microsoft-producten en werd vaak met leedvermaak gezegd dat veiligheid geen product is, geen extensie die je zo-even aan een systeem toevoegt, maar een proces is waar je continu mee bezig moet zijn. Uiteraard met het idee dat het met Linux wel goed zit, dankzij de Unix-basis en de open source.
Maar dat blijkt dus tegen te vallen. De oorzaak van deze bug én de falende pogingen om hem op te lossen zijn een typisch voorbeeld van 'veiligheid als add-on'.
Heb jij in je vrije tijd zin om van een willekeurig ingewikkeld softwarepakket de broncode te gaan zitten auditten? Ik niet.quote:
[..]
Toch wel vreemd dat zo'n bug zo lang heeft bestaan, terwijl het echt wel iets relatief simpel is. Dat daarbij nog in achting genomen dat iedereen de source aan zou kunnen passen.
En blijkbaar is de verleiding erg groot, mede aangemoedigd door de Unix-filosofie van flexibiliteit, hergebruik, simpliciteit en tekstbestanden, om shell-scripts te gebruiken op plekken waar het niet kan en waar je eigenlijk gewoon een zorgvuldig geschreven C-programma moet maken.
iets met een gegeven paard
Nee oké, ik ook niet. Maar je zou zeggen dat grote organisaties er zelf belang bij hebben om zo'n security audit een keer te laten doen bijvoorbeeld.quote:
[..]
Heb jij in je vrije tijd zin om van een willekeurig ingewikkeld softwarepakket de broncode te gaan zitten auditten? Ik niet.
En blijkbaar is de verleiding erg groot, mede aangemoedigd door de Unix-filosofie van flexibiliteit, hergebruik, simpliciteit en tekstbestanden, om shell-scripts te gebruiken op plekken waar het niet kan en waar je eigenlijk gewoon een zorgvuldig geschreven C-programma moet maken.
En verder mee eens.
- Als je op een webserver shell-scripts als cgi-programma's gebruikt, maar dan ben je sowieso een oen,
- Als je op je webserver cPanel gebruikt, want cPanel is blijkbaar zo dom om op twee plekken een shell te starten (bron). Maar cPanel is een commercieel bedrijf. Zij zouden hun eigen code beter moeten auditen.
- Of als je een SSH server hebt waarbij je ForceCommand gebruikt om een kooi op te zetten en te beperken wat voor commando's gebruikers wel en niet kunnen uitvoeren, maar wel gewoon de shell voor de gebruikers op bash hebt laten staan zodat die kooi binnen een bash-shell draait. Maar dan ben je sowieso een oen.
[ Bericht 0% gewijzigd door #ANONIEM op 27-09-2014 18:57:28 ]
Ditterdeditquote:
jullie kunnen wel allemaal mooi gaan klagen dat die developers het niet kunnen oplossen maar kunnen jullie dat zelf dan wel?
Er is geen enkele software immuun voor malware. Ook linux en apple niet. Sterker nog, door dat jarenlang categorisch te ontkennen en hun kop in het zand te steken hebben ze een achterstand ontwikkeld op dit gebied. Waar microsoft al decennia voorop loopt met antivirus en firewallgebruik, zie je dat linux en apple nu ineens al jaren achter de feiten aan blijken te rennen
Nooit last van malware.
Neuh.quote:
[..]
Apple is ook vatbaar voor deze exploits aangezien het op unix draait
Heb je nou 10+ jaar moeten wachten tot er een Linux-bug in het nieuws kwam, voordat je dit kon posten? Bij Microsoft is dit dagelijkse kost, het wordt alleen onder de pet gehouden.quote:
Zo'n 10 jaar geleden ofzo werd er vaak gelachen om de veiligheidslekken bij Microsoft-producten en werd vaak met leedvermaak gezegd dat veiligheid geen product is, geen extensie die je zo-even aan een systeem toevoegt, maar een proces is waar je continu mee bezig moet zijn. Uiteraard met het idee dat het met Linux wel goed zit, dankzij de Unix-basis en de open source.
de bash bug zit er in vanaf 1992, dat is ouder dan de gemiddelde fokkerquote:
[..]
Apple staat juist heel slecht bekend als het gaat om veiligheid:
http://tweakers.net/nieuw(...)rheid-in-icloud.html
http://www.nu.nl/internet(...)pionagesoftware.html
[..]
Dat doet de open source gemeenschap dan toch een stuk beter.
Kredietkaart heb ik gelukkig niet, dus dat is veilig, ik gebruik Ubuntu, omdat Windows onbeveiligbaar bleek, maar af en toe moet ik iets overschrijven via de bank en papieren overschrijvingskaarten worden niet meer uitgegeven.
Ik kan naar de bibliotheek fietsen in de hoop dat hun computers geen virussen bevatten, maar wellicht is ook dat niet zeker.
Anders maar geld in een enveloppe stoppen en het geld per reguliere post verzenden, anders weet ik het ook niet meer. Stom systeem ook dat ze papieren overschrijvingskaarten hebben afgeschaft, nu kan ik gewoon rekeningen niet meer betalen en moet ik contant geld in een enveloppe gaan sturen, hetgeen ook een risico is.
10 jaar wachten? Wat dacht je van de Heartbleed-bug. Of de bug in de Debian willekeurige-getallen-generator.quote:
[..]
Heb je nou 10+ jaar moeten wachten tot er een Linux-bug in het nieuws kwam, voordat je dit kon posten? Bij Microsoft is dit dagelijkse kost, het wordt alleen onder de pet gehouden.
En de eerste internetworm, in de jaren '80, draaide op Unix. Een reactie van iemand Slashdot:
Because nobody remembers the days when UNIX was just as 'keep security out of the way of the user' as Windows was. Nobody remembers the good old days of sendmail happily handing root access for the asking. 'wizard', 'debug', etc. Nobody remembers that UNIX is 'MULTICS with most of the security stripped out.' UNIX as in eunuchs as in a castrated version of MULTICS.
[ Bericht 20% gewijzigd door #ANONIEM op 28-09-2014 14:10:46 ]
quote:
Het ziet er gewoon naar uit dat de ecte basis van Linux niet aangepast is voor veiligheid en nu het steeds interessanter is om data op servers te stelen zal men steeds actiever op zoek gaan naar exploits.
quote:
Maar uiteindelijk is 'zo lek als een mandje' ook wat overdreven. Er is pas een kwetsbaarheid:
- Als je op een webserver shell-scripts als cgi-programma's gebruikt, maar dan ben je sowieso een oen,
- Als je op je webserver cPanel gebruikt, want cPanel is blijkbaar zo dom om op twee plekken een shell te starten (bron). Maar cPanel is een commercieel bedrijf. Zij zouden hun eigen code beter moeten auditen.
- Of als je een SSH server hebt waarbij je ForceCommand gebruikt om een kooi op te zetten en te beperken wat voor commando's gebruikers wel en niet kunnen uitvoeren, maar wel gewoon de shell voor de gebruikers op bash hebt laten staan zodat die kooi binnen een bash-shell draait. Maar dan ben je sowieso een oen.
Dat is wat er aanvankelijk gedacht werd maar de bash bug is veel omvangrijker. Daar is ook genoeg over te lezenquote:
precies, ik had al zoiets van "wtf je moet al toegang tot bash of bash-scripts hebben om deze exploit te gebruiken". dan zit je al praktisch in het systeem.quote:
Het gevaar moet niet overdreven worden. Als iemand al toegang tot je shell heeft was je computer toch al niet veilig. Het zijn mensen die geen verstand van Linux hebben en dan cPanel of Webmin installeren, of MySQL met wachtwoord '1234'. Linux is nog steeds veilig en door het naar bovenkomen van deze exploit zal het nog veiliger worden.
Dan kun je ons vast wel een linkje geven met informatie over die 'omvangrijkere' remote vulnerabilities.quote:
[..]
Dat is wat er aanvankelijk gedacht werd maar de bash bug is veel omvangrijker. Daar is ook genoeg over te lezen
Precies, ook nog van die mensen die dan te gierig zijn om iets te doneren voor hun software.quote:
jullie kunnen wel allemaal mooi gaan klagen dat die developers het niet kunnen oplossen maar kunnen jullie dat zelf dan wel?
Maak je maar geen zorgen, LBK.quote:
Kan ik nu niet meer internetbankieren?
Kredietkaart heb ik gelukkig niet, dus dat is veilig, ik gebruik Ubuntu, omdat Windows onbeveiligbaar bleek, maar af en toe moet ik iets overschrijven via de bank en papieren overschrijvingskaarten worden niet meer uitgegeven.
Ik kan naar de bibliotheek fietsen in de hoop dat hun computers geen virussen bevatten, maar wellicht is ook dat niet zeker.
Anders maar geld in een enveloppe stoppen en het geld per reguliere post verzenden, anders weet ik het ook niet meer. Stom systeem ook dat ze papieren overschrijvingskaarten hebben afgeschaft, nu kan ik gewoon rekeningen niet meer betalen en moet ik contant geld in een enveloppe gaan sturen, hetgeen ook een risico is.
