Προς το περιεχόμενο

Shellshock: Πολύ σοβαρό κενό ασφαλείας σε συστήματα Linux και OS X


panther_512

Προτεινόμενες αναρτήσεις

  • Moderators

Απο οσο ξερω δεν χακαραν κατι, αλλα εκλεψαν κωδικους (απο αλλες υπηρεσιες;; ;)

 

Σε καθε περιπτωση, το icloud και το skydrive εχουν σχεση με MacOS και Windows  για καποιο προφανη λογο που μου διαφευγει;

Μη, μην το χαλας!

  • Like 2
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • Απαντ. 88
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Έχει βγει και ένα mini iso σχεδόν 20MB όπου μπορεί να το τρέξει κάποιος σε vm και να προσπαθήσει να πάρει πρόσβαση στο μηχάνημα B)  μιας και by default τρέχει web server με cgi-bin :devil:

όποιος το θέλει ας μου πει.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Μια μικρή διόρθωση και θα δανειστώ το επιχείρημα των λινουξάδων που το χρησιμοποιούν όποτε δε συμφέρει:

Το Android δεν είναι ένα καθαρόαιμο Linux, ένα νόθο είναι που έχει απλώς γονίδια από συγγένεια πολύυυυ μακρινού βαθμού.

 

so what? Είπαμε το community έχει συρρικνώσει σημαντικά το ποσοστό των Stallman-complexed και εγώ για να τους κράζω μάλλον δεν ανήκω σε αυτούς που θα ιδρώσει το αυτί τους αν τους προσβάλεις το "linux μας" :P

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Απο οσο ξερω δεν χακαραν κατι, αλλα εκλεψαν κωδικους (απο αλλες υπηρεσιες;; ;)

 

Σε καθε περιπτωση, το icloud και το skydrive εχουν σχεση με MacOS και Windows  για καποιο προφανη λογο που μου διαφευγει;

Ειναι η Out of the box λυση cloud απο την καθε εταιρεια, οπως και η αναπτυξη τους απο τις ιδιες. Δεν καταλαβαινω γιατι δεν τα συσχετιζεις....

 

Μη, μην το χαλας!

ohhh scary.

 

Offtopic: Ελεος με τον fanboyσμο εδω μεσα! Ας βαλουμε τα πραγματα στη θεση τους για μια ακομη φορα! Τα προιοντα της apple εχουν επιλεγμενο κοινο (ειδικα τα mac), οσον αφορα τωρα ipad, iphone κλπ ειναι απλα ακριβα χωρις λογο προιοντα που λανσαριστηκαν σωστα και επιασαν! Δεχομαι απολυτα τις προτιμησεις του καθενος για το τι θελει να αγορασει.

Και για να προλαβω τα τρολ. Ναι η apple στο συνολο της τα σπαει με συνδυασμο

 ολων των υπηρεσιων της και προιοντων σαν συνολικο οικοσυστημα (ios+osX), αλλα μαντεψτε! Υπαρχουν και αλλοι που δινουν ακριβως το ιδιο πραγμα πλεον! Και το ωραιο ειναι οτι το κανουν φτηνοτερα, καλυτερα και με μεγαλυτερο σεβασμο στον πελατη!

 

Καλο ειναι να γνωριζουμε που ειναι δυνατη και που "το χανει" η καθε εταιρεια.

  • Like 2
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • Moderators

Ειναι η Out of the box λυση cloud απο την καθε εταιρεια, οπως και η αναπτυξη τους απο τις ιδιες. Δεν καταλαβαινω γιατι δεν τα συσχετιζεις....

Ισως επειδη αλλο προιον το ενα (cloud service) και αλλο προιον το αλλο (operating system)?

Btw, δεν ηταν hacking αυτο στο iCloud, αλλα παμε σ αλλα χωραφια.

 

ohhh scary.

Wasn't meant to be :-D

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Ισως επειδη αλλο προιον το ενα (cloud service) και αλλο προιον το αλλο (operating system)?

Btw, δεν ηταν hacking αυτο στο iCloud, αλλα παμε σ αλλα χωραφια.

 

Oκ ναι δεν χακαραν το icloud αμεσα, απλα τσιμπησαν ενα app που προυπαρχει το find my iphone. Hταν εμμεσο. Η εχω και εδω αδικο?

Eξαλλου το εγραψα για την συσχετιση που δεν επρεπε να κανεις. Ισως δεν το προσεξες. Κατσε να το παραθεσω

 

Kαι για να το παμε λιγο παραπερα το icloud το χακαραν, το onedrive οχι.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • Moderators

Oκ ναι δεν χακαραν το icloud αμεσα, απλα τσιμπησαν ενα app που προυπαρχει το find my iphone. Hταν εμμεσο. Η εχω και εδω αδικο?

Ναι. Εκτος και εαν το hacking ισοδυναμει με το "μαντευω τον κωδικο σου απο τα στοιχεια που ειναι δημοσια γνωστα για σενα και βασιζομαι στο brute forcing". H συσχετιση του find my iphone που αναφερεις ειναι πως δεν υπηρχε 2FA και η δυνατοτητα να δοκιμαζεις οσους κωδικους θελεις, χωρις να κλειδωσει. Και εδω τελειωνει το "hacking" του iCloud.

Το οποιο οπως αναφερω και στη συνεχεια, δεν εχει καμια σχεση με το θεμα.

Eξαλλου το εγραψα για την συσχετιση που δεν επρεπε να κανεις. Ισως δεν το προσεξες. Κατσε να το παραθεσω

Κατσε να το κανω πιο ξεκαθαρo: Η λειτουργια και η αναπτυξη ενος cloud service δεν εχει σχεση με τις αντιστοιχες ιδιοτητες ενος Operating System και αρα η οποια συσχετιση ειναι ακυρη. Αλλα μπορεις να το παραθετεις ως επιχειρημα κατω απο οποιους ορους θελεις, δημοκρατια εχουμε.
  • Like 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Ναι. Εκτος και εαν το hacking ισοδυναμει με το "μαντευω τον κωδικο σου απο τα στοιχεια που ειναι δημοσια γνωστα για σενα και βασιζομαι στο brute forcing". H συσχετιση του find my iphone που αναφερεις ειναι πως δεν υπηρχε 2FA και η δυνατοτητα να δοκιμαζεις οσους κωδικους θελεις, χωρις να κλειδωσει. Και εδω τελειωνει το "hacking" του iCloud.

Το οποιο οπως αναφερω και στη συνεχεια, δεν εχει καμια σχεση με το θεμα.

Κατσε να το κανω πιο ξεκαθαρo: Η λειτουργια και η αναπτυξη ενος cloud service δεν εχει σχεση με τις αντιστοιχες ιδιοτητες ενος Operating System και αρα η οποια συσχετιση ειναι ακυρη. Αλλα μπορεις να το παραθετεις ως επιχειρημα κατω απο οποιους ορους θελεις, δημοκρατια εχουμε.

 

Kατσε να βαλουμε τα πραγματα στη σειρα.

1ον γνωριζω το τι εγινε γνωστο με το icloud. Δλδ η διαφωνια μας ερχεται στο οτι δεν θεωρεις τα brute force attacks ως hacking? Και ξαναλεω οσο πιο απλα μπορω. Ναι δεν εγινε hacking απευθειας στο icloud, αλλα μεσα απο ενα app τσιμπησαν τους κωδικους του icloud και μπουμ γεμισε γυμνες φωτογραφιες ο πλανητης. Ηταν στις γενικοτερες υπηρεσιες/εφαρμογες που προσφερει η apple? Ναι

 

2ον Δεν συγχεω τους ορους ΟS και Cloud. Και γνωριζω οτι δεν γινεται παραλληλα η αναπτυξη τους.

Το παρεθεσα για να θυμηθουμε ολοι τι εγινε στο κοντινο παρελθον με τις υπηρεσιες της apple. Και πιο συγκεκριμενα, γιατι ειχε βρεθει κενο ασφαλειας οπως και εσυ ο ιδιος αναφερεις.

 

3ον Τι σκας και την υπερασπιζεσαι την apple? Δεκτο να εχεις προιοντα της και να την σεβεσαι σαν εταιρεια, αλλα μην πας να την βγαλεις και κορυφαια. Κριμα ειναι.

 

4ον Δημοκρατια στο Ελλαντα το '14 δεν υπαρχει δυστυχως :P

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • Moderators

Kατσε να βαλουμε τα πραγματα στη σειρα.

1ον γνωριζω το τι εγινε γνωστο με το icloud. Δλδ η διαφωνια μας ερχεται στο οτι δεν θεωρεις τα brute force attacks ως hacking? Και ξαναλεω οσο πιο απλα μπορω. Ναι δεν εγινε hacking απευθειας στο icloud, αλλα μεσα απο ενα app τσιμπησαν τους κωδικους του icloud και μπουμ γεμισε γυμνες φωτογραφιες ο πλανητης. Ηταν στις γενικοτερες υπηρεσιες/εφαρμογες που προσφερει η apple? Ναι

Ναι λες εσυ, οχι λεω εγω. Το brute forcing δεν ειναι hacking. Εαν βρω τον κωδικο του gmail σου επειδη χρησιμοποιεις τα γενεθλια σου, δεν εχω κανει hacking. Εαν διαφωνεις, no worries, σεβαστη η γνωμη σου.

2ον Δεν συγχεω τους ορους ΟS και Cloud. Και γνωριζω οτι δεν γινεται παραλληλα η αναπτυξη τους.

Το παρεθεσα για να θυμηθουμε ολοι τι εγινε στο κοντινο παρελθον με τις υπηρεσιες της apple. Και πιο συγκεκριμενα, γιατι ειχε βρεθει κενο ασφαλειας οπως και εσυ ο ιδιος αναφερεις.

Μπορω να παραθεσω μπολικες αποτυχιες της Apple, του Linux και της Microsoft. Αλλα εαν δεν εχουν σχεση με το θεμα, αδικο κοπο θα κανω. Αλλα οπως ειπα και πριν, σεβαστη η αποψη σου. Και διαφωνω μαζι της.

3ον Τι σκας και την υπερασπιζεσαι την apple? Δεκτο να εχεις προιοντα της και να την σεβεσαι σαν εταιρεια, αλλα μην πας να την βγαλεις και κορυφαια. Κριμα ειναι.

Ριξε μια ματια σε ποια sections του forum ειμαι moderator, ποιος εκανε αναλυση του προβληματος του iCloud και της Apple στα αντιστοιχα θεματα και με ποιο OS εχει σχεση το thread που μιλαμε. Πριν κολλησεις ταμπελα στον οποιοδηποτε, φροντισε να γνωριζεις εαν ισχυει αυτο που λες. Btw, η υπερασπιση της ασφαλειας των Windows σε thread που αφορα το bash δεν ξεκινησε απο μενα. Αλλα για καποιο λογο εγω δεν σε χαρακτηρισα fanboy. Αποψεις θα μου πεις.

4ον Δημοκρατια στο Ελλαντα το '14 δεν υπαρχει δυστυχως :P

Agreed. Αλλα οταν συζητας μαζι μου, σου υποσχομαι πως μπορεις να την θεωρεις δεδομενη.

To pastebin εχει παρει φωτια απο PoC :-D

  • Like 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δεν καταλαβαίνω γιατί χωράει fun-boysm εδώ πέρα... Security issue είναι, ΟΚ, το βρήκαν 20-30 χρόνια μετά. Good. Τώρα το βρήκαν τώρα το έφτιαξαν. Που το πρόβλημα; Αν οι αρχικές λύσεις δεν ήταν αρκετές, θα είναι οι επόμενες. Το σημαντικό είναι πως υπάρχει άμεση ανταπόκριση από το community. Αν ο άλλος όμως δεν περνάει τα bug fixes τι να κάνεις την ταχύτητα;

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

η διαφορά του να βρεθει μια ευπάθεια στο *νιξ από τα μακ-γουιντοζ είναι οτι το συντριπτικό ποσοστό των ευαίσθητων σοβαρών σερβερ που χρειάζονται προστασία είναι *νιξ.

 

με λίγα λόγια χέστηκε ο χακερ να μπει στο χ/ψ σερβερ με windows server+ISS για να αλλάξει το index.html

οταν όμως μπορει να μπει στη βάση ενός υπουργείου, ενος νοσοκομείου κλπ αλλάζει το πράγμα.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Όσο ασχολούμαστε με το θέμα του Bash φαίνεται να υπάρχει και άλλο πρόβλημα με το XEN που μέχρι στιγμής δεν έχει γίνει τίποτα γνωστό αλλά η Amazon

Amazon forced to reboot EC2 to patch Xen bug

από αρχές του επόμενου μήνα θα μάθουμε και το λόγο.

  • Like 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα

  • Δημιουργία νέου...