Gisp! Shell Shock.

Nyheder om Open Source, Ubuntu, andre distributioner og meget mere.
BrittaP
Indlæg: 59
Tilmeldt: 24. feb 2008, 18:35
Geografisk sted: København

Gisp! Shell Shock.

Indlæg af BrittaP »

Jeg har det lidt ligesom i de ikke så gode gamle windows dage, hvor jeg konstant var nervøs for div. malware o.a. generel ondskab. Det ser ud til at vi bør være meget urolige, men jeg foretrækker at blive BEroliget. Er der nogen der kan gøre det, please? Fortæl mig at problemet løses ved en opdatering indenfor få timer.

Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

http://www.version2.dk/artikel/linux-og-mac-systemer-ramt-af-omfattende-og-alvorlig-saarbarhed-68779#comments
Har lige fået et grafikkort der virker, yesss
Brugeravatar
Blueeyez
Forfatter
Indlæg: 885
Tilmeldt: 24. jul 2012, 21:33
IRC nickname: Blueeyez

Re: Gisp! Shell Shock.

Indlæg af Blueeyez »

Har samme følelse, men sidder med et problem.

Problemet er løst i. bash 4.3-7ubuntu1.1
men jeg har bash 4.3.11-(1)
der er jo forskel på . og - ?
i terminalen skriver jeg bash --version
http://www.ubuntu.com/usn/usn-2362-1/

Håber nogen kan uddybe mht sikkerhed :-)

EDIT: åbn en terminal og skriv: env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"

Så burde den skrive stuff 1 gang og så burde du kunne skrive en ny kommando.. Hvis, så er du i sikkerhed :-)
* Linux Ubuntu 16.04 64 bit - I3, 4 GB DDR3 1600Mhz, intel 7260AC dual band wifi, Samsung EVO 850 250 GB SSD. - Abook Z510
* Asustor nas: AS-202T, AS-202TE & AS-604T
https://linuxviden.dk
Brugeravatar
Christian.Arvai
Admin
Indlæg: 10724
Tilmeldt: 26. apr 2008, 19:27
IRC nickname: Christian_Arvai
Geografisk sted: Holeby - Lolland

Re: Gisp! Shell Shock.

Indlæg af Christian.Arvai »

Jeg har snakket med jarlen over irc, og ifgl. denne artikel http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html skulle man kunne teste om sårbarheden er på en Ubuntuinstall, ved at kører følgende:

Kode: Vælg alt

env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"

Hvis at resultatet er:
c@c:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"
stuff
c@c:~$

skulle sikkerheden være helt ok.
Med venlig hilsen Christian

"We can only see a short distance ahead, but we can see plenty there that needs to be done." -- Alan Turing
Brugeravatar
Kurt Christensen
Indlæg: 2246
Tilmeldt: 12. feb 2011, 13:22
IRC nickname: How to be me

Re: Gisp! Shell Shock.

Indlæg af Kurt Christensen »

Der sker intet med den kode hos mig?
Når lejligheden byder sig.
Klaus Rasmussen
Admin
Indlæg: 5541
Tilmeldt: 26. apr 2010, 02:40
IRC nickname: ClaudiuS
Geografisk sted: Nyborg [fyn]

Re: Gisp! Shell Shock.

Indlæg af Klaus Rasmussen »

Prøv med:

Kode: Vælg alt

bash --version
Med Venlig Hilsen
Klaus

Kører Ubuntu 22.04 på ASUS All-Series, og Probook 4520s.
Gratis Ubuntumagasin: http://fullcirclemagazine.org/
https://mega.nz/folder/aJsmCYKa#dxMHKTi4Idmz6hiVpsI68Q
Brugeravatar
Christian.Arvai
Admin
Indlæg: 10724
Tilmeldt: 26. apr 2008, 19:27
IRC nickname: Christian_Arvai
Geografisk sted: Holeby - Lolland

Re: Gisp! Shell Shock.

Indlæg af Christian.Arvai »

Kurt Christensen skrev:Der sker intet med den kode hos mig?

Hmmm, jeg er på U14.04/64bit. Hvad er du på?
Med venlig hilsen Christian

"We can only see a short distance ahead, but we can see plenty there that needs to be done." -- Alan Turing
Brugeravatar
Kurt Christensen
Indlæg: 2246
Tilmeldt: 12. feb 2011, 13:22
IRC nickname: How to be me

Re: Gisp! Shell Shock.

Indlæg af Kurt Christensen »

Christian.Arvai skrev:
Kurt Christensen skrev:Der sker intet med den kode hos mig?

Hmmm, jeg er på U14.04/64bit. Hvad er du på?

Den samme.
Når lejligheden byder sig.
Brugeravatar
Kurt Christensen
Indlæg: 2246
Tilmeldt: 12. feb 2011, 13:22
IRC nickname: How to be me

Re: Gisp! Shell Shock.

Indlæg af Kurt Christensen »

Klaus Rasmussen skrev:Prøv med:

Kode: Vælg alt

bash --version


GNU bash, version 4.3.11(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html&gt;

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Når lejligheden byder sig.
Brugeravatar
Christian.Arvai
Admin
Indlæg: 10724
Tilmeldt: 26. apr 2008, 19:27
IRC nickname: Christian_Arvai
Geografisk sted: Holeby - Lolland

Re: Gisp! Shell Shock.

Indlæg af Christian.Arvai »

Kurt Christensen skrev:
Christian.Arvai skrev:
Kurt Christensen skrev:Der sker intet med den kode hos mig?

Hmmm, jeg er på U14.04/64bit. Hvad er du på?

Den samme.

Mystisk. Jeg prøvede lige en gang mere:
c@c:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"
stuff
c@c:~$
Med venlig hilsen Christian

"We can only see a short distance ahead, but we can see plenty there that needs to be done." -- Alan Turing
Brugeravatar
Christian.Arvai
Admin
Indlæg: 10724
Tilmeldt: 26. apr 2008, 19:27
IRC nickname: Christian_Arvai
Geografisk sted: Holeby - Lolland

Re: Gisp! Shell Shock.

Indlæg af Christian.Arvai »

Kurt Christensen skrev:
Klaus Rasmussen skrev:Prøv med:

Kode: Vælg alt

bash --version


GNU bash, version 4.3.11(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html&gt;

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Jeg har den samme, så det skulle være fint.
c@c:~$ bash --version
GNU bash, version 4.3.11(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html&gt;

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
c@c:~$
Med venlig hilsen Christian

"We can only see a short distance ahead, but we can see plenty there that needs to be done." -- Alan Turing
BrittaP
Indlæg: 59
Tilmeldt: 24. feb 2008, 18:35
Geografisk sted: København

Re: Gisp! Shell Shock.

Indlæg af BrittaP »

Min version er 4.2.45(1)-release (x86_64-pc-linux-gnu), men læste jeg ikke et sted at selv med version 4.3 er man ikke sikker? Jo jeg gjorde.

http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/

Jeg prøvede lige env X="() { :;} ; echo busted" /bin/sh -c "echo stuff", og fik output stuff, men prøvede også env test='() { ignored;}; echo "Vulnerable"' bash -c true, hvor jeg fik outputtet 'vulnerable', så det er sådan lidt 50/50.
Har lige fået et grafikkort der virker, yesss
AJenbo
Admin
Indlæg: 20862
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Gisp! Shell Shock.

Indlæg af AJenbo »

Blueeyez skrev:Problemet er løst i. bash 4.3-7ubuntu1.1
men jeg har bash 4.3.11-(1)
der er jo forskel på . og - ?
i terminalen skriver jeg bash --version

Når der skrives 4.3-7ubuntu1.1 er det i henvisning til pakke versionen og ikke nødvendigvis den version som som programmet skriver. Så tjek i software centeret: bash
Brugeravatar
Christian.Arvai
Admin
Indlæg: 10724
Tilmeldt: 26. apr 2008, 19:27
IRC nickname: Christian_Arvai
Geografisk sted: Holeby - Lolland

Re: Gisp! Shell Shock.

Indlæg af Christian.Arvai »

Jeg har:

Kode: Vælg alt

bash 4.3-7ubuntu1.1
Med venlig hilsen Christian

"We can only see a short distance ahead, but we can see plenty there that needs to be done." -- Alan Turing
martin joergensen
Indlæg: 293
Tilmeldt: 12. maj 2014, 18:29
Geografisk sted: Kolding

Re: Gisp! Shell Shock.

Indlæg af martin joergensen »

Nu sidder i jo nok på jeres eget lokal netværk, så bare rolig :D

I de fleste hjem sidder man bag en router og den har som standard "Deny" på udefrakommende forespørgslers.
Brugeravatar
Christian.Arvai
Admin
Indlæg: 10724
Tilmeldt: 26. apr 2008, 19:27
IRC nickname: Christian_Arvai
Geografisk sted: Holeby - Lolland

Re: Gisp! Shell Shock.

Indlæg af Christian.Arvai »

martin joergensen skrev:Nu sidder i jo nok på jeres eget lokal netværk, så bare rolig :D

I de fleste hjem sidder man bag en router og den har som standard "Deny" på udefrakommende forespørgslers.

Jeg tager det skam helt afslappet ;) Men, vi (admins) skal jo lige deltage i denne slags tråde, for det kunne jo være relevant for nogle af brugerne herinde.
Med venlig hilsen Christian

"We can only see a short distance ahead, but we can see plenty there that needs to be done." -- Alan Turing