эх
в n900 3 уязвимости в бузибоксе
и все 4 в bash4 пакете
чо делать...

разве zsh не совместим с башизмами?

В дебиане то на dash перевели по дефолту для sh давно. #!/bin/bash и, впрочем, всё равно остались.

В gentoo от app-shells/bash зависят:

$ equery d app-shells/bash
 * These packages depend on app-shells/bash:
app-admin/eselect-mesa-0.0.10 (>=app-shells/bash-4)
app-admin/perl-cleaner-2.16 (app-shells/bash)
app-shells/bash-completion-2.1-r2 (>=app-shells/bash-3.2)
app-text/xmlto-0.0.26 (app-shells/bash)
games-util/steam-launcher-1.0.0.48 (app-shells/bash)
sys-apps/portage-2.2.8-r1 (>=app-shells/bash-4.2_p37[readline])
                          (<app-shells/bash-4.2_p37)
                          (>=app-shells/bash-3.2_p17)
sys-apps/rescan-scsi-bus-1.57-r1 (app-shells/bash)
sys-devel/crossdev-20140118 (app-shells/bash)

И во всём этом самое страшное и суровое sys-apps/portage и была правда затея с libbash на насколько я знаю ничего путного там так и не вышло.

А так то да заменить для конкретного юзера не проблема однако даже на что перевести #!/bin/bash разницы мало если основные системные компоненты один хрен требуют bash.

самое странное что вторая *РАБОТАЕТ* на android и openwrt на ash.

разве zsh не совместим с башизмами?

Я исхожу из обратного - если бы zsh был бы полностью совместим с bash то наверное и глобальная замена не вызывала бы попоболи и подобные топики не привлекали бы такого внимания.

самое странное что вторая *РАБОТАЕТ* на android и openwrt на ash.

А вот это вообще шикарно.

Ждём обновлений и последующих за ними внезапных поломок в самых неожиданных местах.

У меня она в роутере на бизибоксе сработала. Команда вернула $?=2, но вроде написано что уязвимость бестолковая: позволяет атакующему изменить переменную к которой у него и так есть доступ...

Упс.. не сработало.. бизибокс ее вообще кушать не хочет. Два - это код ошибки.

ы? а как это глянуть?

$ bash -c "true $(printf '</dev/null
>    if [ $? != 0 ]; then
>       echo -e "Vulnerable to CVE-2014-7186"
>    fi
> 
>    bash -c "`for i in {1..200}; do echo -n "for x$i in; do :;"; done; for i in {1..200}; do echo -n "done;";done`" 2>/dev/null
>    if [ $? != 0 ]; then
>       echo -e "Vulnerable to CVE-2014-7187"
>    fi
> 
> 
> 
> 

Как это вообще запускать?

ты даже форматирование не осилил. это не твоё

Как это вообще запускать?

$ wget https://github.com/hannob/bashcheck/raw/master/bashcheck
$ chmod 755 bashcheck
$ ./bashcheck

внезапно, в man. верифицировать можно strace

LOR-овское форматирование запиливали по дичайшей накурке. А ещё оно не работает так, как от него ожидаешь. Казалось бы, \" и '>' не должны ничего нарушать в блоке 'code' - но неееет же.

полностью согласен

это надо додуматься устанавливать переменные извне в енваиронмент на сервере, даже без известных уязвимостей это ссзб дикое

Для gentoo app-shells/bash-4.2_p49:

./bashcheck
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
./bashcheck: line 18:   537 Ошибка сегментирования                   bash -c "true $(printf '<<EOF %.0s' {1..79})" 2> /dev/null
Vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser still active, likely vulnerable to yet unknown parser bugs like CVE-2014-6277 (lcamtuf bug)

Непофикшено CVE-2014-7186 и CVE-2014-6277 но там уже куча новых ebuild-ов готова.

На 4.2 и 4.3 не работает, штоле?

Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer

На 4.2 и 4.3 не работает, штоле?

Скачай и проверь. Выше я написал вполне конкретную версию ebuild-а и выхлоп bashcheck.

это уже результат проверки.

Ну и я бы сказал для кого ебилды - у меня сорт оф LFS в продакшне и на ноуте.

немедленно ставлю себе винду, ведь там нет коммандной строки!

По крайней мере, они умеют в юникод, в отличие от утилит GNU.

«Действительно. Тысячи глаз прочёсывают коды свободных проектов и выявляют баги и уязвимости одна за одной. Свободный софт становится всё безопасней, в отличие от проприетарщиков, которые даже отрепорченные баги не торопятся исправлять.»

Лол, как раз данный баг, который присутствовал в системе годами, эти хваленые тысячи глаз не нашли. Страшно представить, что сделали за эти годы хакеры, обладавшие сакральным знанием.

4.2. все программы GNU умеют в Unicode.

strace

ага, я об этом забыл/не знал.

sh это не для юзера, у юзеров как был bash так и остался.

Ну и я бы сказал для кого ебилды - у меня сорт оф LFS в продакшне и на ноуте.

Зашел packages.gentoo.org -> app-shells/bash ткнул на ebuild-ик дальше полазил и нашел там app-shells/bash-4.2_p49 с 80-й строчки увидел патчики которые можно найти вот там. А в самом ebuild-е так же можно найти и все параметры сборки и вообще всё что portage делает и до сборки и после сборка пакета.

Так что насрать что там у тебя. Хоть SlackWare!

самое странное что вторая *РАБОТАЕТ* на android и openwrt на ash.

Боюсь, теперь отложат релиз OpenWRT... они и так должны были где-то в конце августа-начале сентября выкатить либо очередной RC, либо релиз, но вот уже месяц как тянут. А жаль, там много вкусного в релизе, один аналог systemd чего стоит.

% tr а-я А-Я
мята
°±²±°

Ммммаксимум поддержки юникода! Для сравнения:

% 9 tr а-я А-Я 
мята
МЯТА

что значит «по умолчанию»? /bin/sh слинкован на него? тогда вот так проверяй:

grep -rl -e '^#/usr/bin/bash' -e '^#/usr/bin/env bash' /

аналог systemd

Аналог? Или просто другая система инициализации?

sh это не для юзера, у юзеров как был bash так и остался.

Вообще та самая тема это выпилить вообще все интерпретаторы. Потому-что не bash-ем единым… В системе как правило ещё и perl, python, lua, ruby… и, как говорится, понеслась!

И то что так активно взялись за bash конечно очень замечательно. Но по сути то в любом интерпретаторе потенциально могут быть ещё и не такие баги.

Ну а если и не полностью выпилить то по возможности как-то оградить их от всего остального так чтобы песочница не дала бы навредить.

Лол, как раз данный баг, который присутствовал в системе годами, эти хваленые тысячи глаз не нашли.

Программ без багов не бывает. Вопрос в их количестве, скорости нахождения и исправления.

Страшно представить, что сделали за эти годы хакеры, обладавшие сакральным знанием.

Страшно - не представляй. Ни один адекватный безопасник не уповает на то, что в каком-то софте нет багов. Для этого и делают многоуровневую защиту.

Вот только более другие «интерпретаторы» таки ЯП, а баш это «палка, палка, огуречик». Нет нормальных типов данных, постоянные проблемы с экранированием, сабшеллы и прочая лабуда.

Давно пора перейти на systemd вместо дырявых портянок на shell.

Вот вам и хваленная ШВАБОДНАЯ безопасность

а пропиетарщина торт? Баги были есть и будут, ток в швабодном ПО их выявляют и устраняют.

Dash:

$ dash bashcheck 
-e Not vulnerable to CVE-2014-6271 (original shellshock)
-e Not vulnerable to CVE-2014-7169 (taviso bug)
-e Not vulnerable to CVE-2014-7186 (redir_stack bug)
-e Vulnerable to CVE-2014-7187 (nessted loops off by one)
-e Variable function parser inactive, likely safe from unknown parser bugs

Не подвержены проблеме Postfix

В определённых, недефолтных условиях — подвержен т.к. procmail.

bashcheck on debian

Выхлоп bashcheck на debian jessie и wheezy после установки последних обновлений:

Not vulnerable to CVE-2014-6271 (original shellshock) Not vulnerable to CVE-2014-7169 (taviso bug) Not vulnerable to CVE-2014-7186 (redir_stack bug) Test for CVE-2014-7187 not reliable without address sanitizer Variable function parser inactive, likely safe from unknown parser bugs

Так если у меня по умолчанию zsh?

Не имеет значения. На рхел подобных /bin/sh это симлинк на bash.

Я же говорил, что эпично, а вы мне не верили.

То-то у рхел7 обновления к баш два раза прилетали.

Все больше кажется что пора отключаться от интернетов. Нет интернета- нет уязвимостей

% echo 'фыъ Straße'|tr '[:lower:]' '[:upper:]' 
фыъ STRAßE

% echo 'фыъ Straße'|/opt/plan9/bin/tr '[:lower:]' '[:upper:]'
фыъ Straße

plan9 tr не умеет метаклассы?

Ну ок, как мне с этого получить нормальный юникодный uppercase?

echo 'фыъ Straße'| ???
ФЫЪ STRASSE

Исправить самому. В чём сложность? Кросс-компилятор в одну руку, скрипты для пересборки deb-пакета — в другую и вперёд! А вообще пора выкинуть этот мертвый телефончик и купить Jolla.

В любом продукте есть дыры, но если взглянуть на них через призму FOSS и преимуществ, которые выдвигают апологеты Линукса, получается картина не намного лучше проприетарных поделий:

1. Да, код открытый. И ЧТО? Много ли ЛОРовцев могут прямо сейчас влезть в код и его починить? Сколько им понадобится времени на нахождение, фикс, отладку и публикацию в мир? Думаю, даже больше проприетарного, потому что в закрытом коде ОДИН разработчик (BTW постоянно работающий над кодом) и он знает, где-что-как. В FOSSе никто никому ничего не должен, даже сам автор программы. Соизволит - починит, а будет занят - считай, всё ложится на плечи абсолютно посторонних людей.
2. Удручает качество кода. Неужто когда писалась вся эта лабуда, автору не пришло в голову, что данную архитектуру можно хакнуть? (как видим, даже без особых хитростей по обману юзера) Почему потенциально дырявые места даже не помечаются как проблемные? Не потому ли, что сам С/С++ суть решето замедленного действия и бессмысленно помечать каждую первую строчку? :)
3. Странно, что аж со времён Java (когда «память - больше не проблема») никто не озадачился переходом на более безопасный язык - ведь очевидно, что половина проблем - как раз из-за ручного влезания в механизмы, где человеческий мозг просто не в состоянии удерживать всё в голове. Тот, кому «нехватает ручного управления» либо слишком умный (0.000001% прогеров), либо очень глупый и своей тупой настырностью только лишний раз подвергает код ненужным опасностям. Большинство софта СПОКОЙНО обходятся GC - достаточно взглянуть на .NET;
Соответственно, если бы линуксоиды поменьше переписывали «скрипты загрузки» и «пакетные менеджеры», у них появилось бы время подумать о переходе на другие языки - ту же Жабу в своё время можно было сделать компилируемой. Или подхватить Ди - ещё лучше идея.
Линукс даже в системной части не нуждается в ассемблере - спокойно пишется на Си. А уж перделки вроде «ls» сам бог велел писать на ещё более высокоуровневом языке, чтобы повышать надёжность системы.

Вот такие вот грустные мысли... Почему грустные? Да потому что всем нас-рать - Торвальдс купается в лучах славы, космонавт пилит десктоп, красношляп пилит бабло, а перетряхнуть основы решета - никто на это не отваживается даже в рамках консольных утилит (хотя почему-то вещи вроде Perl-linux нашли себе место). Вот такой он, пингвинукс - ещё консервативнее замшелых «банковских систем на Коболе»!

plan9 tr не умеет метаклассы?

Да, не умеет.

Ну ок, как мне с этого получить нормальный юникодный uppercase?

Никак, и вот почему: tr означает translate characters. Т.е он переводит символы в символы, ну или удаляет их, но не переводит символы в строки. А «SS» — уже строка.

А openssh, конечно, тормозит парсинг небинарного лога, а не процесс сопоставления ключей, ко-ко-ко, продолжайте, Петечка.

не выкручивайся, твой p9 тоже уг не могущее в юникод

Бздуны так и сделали.

looooooooool