:: Shellshock :: Πολύ σοβαρό bash security flaw!

[chek2fire]

Tα qnap όντος έχουν πρόβλημα και δεν έχει βγει κανένα update μέχρι στιγμής. Όσοι έχουν τέτοια nasserver καλύτερα να τα βγάλουν τελείως από το internet.

[coffeex]

Όποιος θέλει να κάνει δοκιμές σε εικονικό server ας διαβάσει εδώ

[chek2fire]

Αν κατάλαβα καλά σε άφησε να συνδεθείς με password 1234 -p 1234v 
χωρίς να έχει τέτοιο η κάνω λάθος? Αν είναι έτσι μιλάμε για epic fail bug

Διεθεσαν και τα update για το qnap αν και πρέπει κάποιος να τα κατεβάσει manual και δεν έρχονται από το αυτόματο update.

[coffeex]

Αν κατάλαβα καλά σε άφησε να συνδεθείς με password 1234 -p 1234v 

χωρίς να έχει τέτοιο η κάνω λάθος? Αν είναι έτσι μιλάμε για epic fail bug

Όχι το 1234 είναι το port, κωδικός δεν χρειάζεται πουθενά

[coffeex]

LOL

[chek2fire]

http://www.wired.com/2014/09/shellshocked-bash/?mbid=social_twitter

 

φοβερό άθρο για το θέμα το παραπάνω. Στην ουσία μας λέει ότι υπάρχουν τόσο δημοφιλή και ευρέως εγκατεστημένα προγράμματα σε σχεδόν όλους τους server που δεν τα συντηρεί κανείς ούτε καν κάποιος από τους μεγάλους όπως IBM,Google δεν μπαίνουν στον κόπο να ελέγξουν τον κώδικα τους.

Το πρόβλημα του Bash κλείνει 30! χρόνια με έναν άνθρωπο να συντηρεί το πρόγραμμα και αυτό όχι σαν κυρίως δουλειά. Τραγική κατάσταση. Ο κώδικας είναι ανοιχτός αλλά το θέμα είναι να τον κοιτάει και κάποιος.

[coffeex]

Τελικά μέχρι και Site: DoS attacks μπορεί να κάνει κανείς με το Shellshock bug ακόμα και σε Android.

[mobinmob]

Λογικά το bash θα υπάρχει σε custom roms. H google χρησιμοποιεί το mksh σαν βασικό shell στο android.

[brute-force]

Ίσως το καλύτερο άρθρο που έχω διαβάσει για το συγκεκριμένο bug

https://blog.cloudflare.com/inside-shellshock/