Linux za Sve forum

Izvor: http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/

Dakle postoji sigurnosna rupa u bashu.

Za testiranje vašeg sustava dovoljno je pogledati output ove naredbe:

Kod: Označi sve

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Ovo je znak da bug nije popravljen na vašoj instalaciji

Kod: Označi sve

vulnerable
 this is a test

dok ovakav output upućuje da je rupa "zakrpana":

Kod: Označi sve

 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test

Mogu potvrditi da je na openSUSEu 13.1 (redovito updejtan) sve OK:

Kod: Označi sve

stefan@linux-6csa:~> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test


Nakon nadogradnje i na Archu sve šljaka kako treba.

Kod: Označi sve

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test


I na Manjaru je ok, maloprije sam imo update Basha

hvala stefan. I meni je sve u redu, ali dobro je provjeriti u svakom slucaju

Debiša isto radi očekivano

Kod: Označi sve

Distributor ID:   Debian
Description:   Debian GNU/Linux 7.6 (wheezy)
Release:   7.6
Codename:   wheezy
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

BBC napisao jedan poprilično apokaliptičan članak na tu temu:

http://www.bbc.com/news/technology-29361794

holden je napisao/la:BBC napisao jedan poprilično apokaliptičan članak na tu temu:

http://www.bbc.com/news/technology-29361794

A posebno me ovaj dio nasmijao:

However, other security researchers warned that the patches were "incomplete" and would not fully secure systems.

Nikada i ništa neće biti savršeno pa tako niti jedan OS i normalno da će u budućnosti ponovno biti sigurnosnih rupa - to je normalan tijek događaja. Mediji vole raditi ovakvu buku da bi im čitanost ili gledanost bila veća, da bi ljudi što više kupovali antivirusni software (mediji iz regije su ovaj bug nazvali virusom ) i da bi se diskreditiralo Linux i OSX u korist OS-a "čije ime ne izgovaramo"

Ovo je stvarno veliki sigurnosni propust, pogotovo pogađa servere. Čim sam vidio stefanovu poruku, napravio sam probu sa par komandi za koje treba biti root i nije prošlo. Uglavnom bi se komanda skršila. Ali one za koje ne treba root rade.
Međutim, kad sam preko mreže testirao tcomov ruter koji koristi linux, dobio sam nekakav odgovor iako ne ono što sam tražio. Vjerovatno se isto tako skršila naredba u ruterovom bashu.
Znači, stvar nije za šalu.
Ali, pročitao sam na stranici Guardiana kako iz Kasperskog kažu da k'o fol oni znaju za to već duže vrijeme (moš mislit) i da treba zaštititi računala, vjerojatno njihovim antivirusom. Svatko sad pokušava profitirati na panici iako će se updateima sve brzo riješiti.
Što se tiče toga da patch nije potpun - nije, to su poručili razvijatelji iz RedHata i da još rade na tome.

I moj Mint (3.13.0-24-generic) kaže da je rupa zakrpana.

Interesantno obzirom da bash postoji nekih 20-ak godina da bas sada,u trenutku kada se toliko govori i pise o prisluskivanjima, NSA i sta ja znam cemu vec , ovaj problem izlazi na svjetlo dana. Sta ako smo vec 20 godina na ovaj nacin kontrolisani i manipulisani i sada, posto su mozda nasli novu i bolju metodu, ovaj "bug" javno objavljuju i nude hackerima. Pa covjece , ljudi spremaju misije na mars, salju satelite prema marsu i sve to sa linuxa i sad odjednom neko pametan nadje ovaj shellshock . Ma nije da sam paranoja, fakat , ali eto nesto mi ovo na um pade maloprije.