В тот же день, когда была опубликована информация об оригинальной уязвимости и патчи, исправляющие её, Tavis Ormandy обнаружил новую родственную ошибку CVE-2014-7169

Во время работы над исправлением оригинальной ошибки Shellshock, исследователь компании Red Hat, Florian Weimer обнаружил ещё две ошибки: CVE-2014-7186 и CVE-2014-7187

26 сентября 2014 два разработчика open-source, David A. Wheeler и Norihiro Tanaka заметили, что существуют дополнительные проблемы, всё ещё не исправленные патчами, доступными на тот момент

27 сентября 2014, Michal Zalewski анонсировал, что обнаружил несколько других ошибок в Bash

Анализ исходного кода Bash свидетельствует, что уязвимость была заложена в код приблизительно в версии 1.13 в 1992 году или ранее

~~h578b1bde~~ ★☆
(11.08.15 21:15:50 MSK)

Ответ на: Просто оставлю это здесь от h578b1bde 11.08.15 21:15:50 MSK

Главная проблема линукса то что для его уязвимостей надо чтобы какойнить криворукий китаец написал вебморду к этой уязвимости.

Deleted
(11.08.15 21:27:52 MSK)

Ответ на: комментарий от Deleted 11.08.15 21:27:52 MSK

Миллиард криворуких китайцев

В течение часа после публикации уязвимости Bash появились сообщения о взломе компьютерных систем с её помощью. 25 сентября были подтверждены различные атаки 'in the wild', начиная с простых DoS, заканчивая развёртыванием серверов command & control через зловредную систему «BASHLITE»

26 сентября был обнаружен ботнет «wopbot», составленный из серверов, зараженных через bashdoor, и используемый в DDoS против CDN Akamai Technologies и для сканирования сетей Министерства обороны США

~~h578b1bde~~ ★☆
(11.08.15 21:32:36 MSK)

Ответ на: Миллиард криворуких китайцев от h578b1bde 11.08.15 21:32:36 MSK

И чо?

Deleted
(11.08.15 21:33:12 MSK)

Язык JavaScript отключен Включите JavaScript и обновите страницу =(

garik_keghen ★★★★★
(11.08.15 21:33:34 MSK)

Ссылка

Ответ на: Просто оставлю это здесь от h578b1bde 11.08.15 21:15:50 MSK

дааа! знатное было веселье

der_looser ★★
(11.08.15 21:36:45 MSK)

Ссылка

Ответ на: комментарий от Deleted 11.08.15 21:33:12 MSK

Чо-чо, решето.

~~h578b1bde~~ ★☆
(11.08.15 21:40:43 MSK)

Ответ на: комментарий от h578b1bde 11.08.15 21:40:43 MSK

китайские роутеры?

Deleted
(11.08.15 21:50:02 MSK)

Ответ на: комментарий от Deleted 11.08.15 21:50:02 MSK

китайские роутеры?

Хз, написано что сервера. Вот ещё интересный вектор атаки:

DHCP-клиент обычно запрашивает IP адрес у DHCP-сервера. Однако сервер может послать несколько дополнительных опций, которые могут записываться в переменные среды и приводить к эксплуатации ошибки Shellshock на компьютере или ноутбуке, подключаемом к локальной сети

~~h578b1bde~~ ★☆
(11.08.15 21:54:18 MSK)

Windows - дырявое решето

Как будто кто-то в этом сомневался

~~sudopacman~~ ★★★★★
(11.08.15 22:01:41 MSK)

Ссылка

Ответ на: комментарий от h578b1bde 11.08.15 21:54:18 MSK

ну в инте оно не торчит а с локалки это +1 способ зайти на сервер с дырявой винды (админны putty много расскажут на эту тему)

Deleted
(11.08.15 22:06:54 MSK)

Ну и? У нормальных админов вся внутренняя кухня закрыта с помощью VPN.

Reset ★★★★★
(11.08.15 22:23:07 MSK)

Ссылка

Ответ на: комментарий от Deleted 11.08.15 22:06:54 MSK

ну в инте оно не торчит

Как это не торчит если ты сам про роутеры начал рассказывать?

а с локалки это +1 способ зайти на сервер с дырявой винды (админны putty много расскажут на эту тему)

ЯННП, переформулируй.

~~h578b1bde~~ ★☆
(11.08.15 23:51:32 MSK)

Ответ на: комментарий от h578b1bde 11.08.15 23:51:32 MSK

Как это не торчит если ты сам про роутеры начал рассказывать?

Омг, роутеры DHCP наружу торчат? А ты случаем не блондинка?

Deleted
(12.08.15 00:03:50 MSK)

https://eugene.kaspersky.ru/2012/05/25/exploits-and-zerodays-protection/

~~Deathstalker~~ ★★★★★
(12.08.15 00:09:59 MSK)

Ссылка

Ответ на: комментарий от Deleted 11.08.15 21:27:52 MSK

Я gitolite через башовую уязвимость поимел, например.

gadfly ★★
(12.08.15 00:17:24 MSK)

Ответ на: комментарий от Deleted 12.08.15 00:03:50 MSK

Омг, роутеры DHCP наружу торчат? А ты случаем не блондинка?

Продумать дальше одного шага белка не осиливает? Хинт: ломаем роутеры, добавляем нужные опции DHCP, получаем красноглазый ботнет из их клиентов, для профита на клиентах реализовываем автоматический взлом и заражение других уязвимых роутеров при подключении к ним. Наиболее эффективно во всяких техновузах и ближайших кафешках, где концентрация ноутбуков с линуксами максимальная.

~~h578b1bde~~ ★☆
(12.08.15 00:29:21 MSK)

Ответ на: комментарий от gadfly 12.08.15 00:17:24 MSK

а я именно поэтому юзал gitblit - чем меньше древнего говна типа баша доступно через инет чем лучше

вообще странно юзать такие поделки и рассказывать что линукс решето

Deleted
(12.08.15 01:01:42 MSK)

Ответ на: комментарий от h578b1bde 12.08.15 00:29:21 MSK

Хинт: ломаем роутеры, добавляем нужные опции DHCP,

Ётить ты чудище.

Deleted
(12.08.15 01:02:14 MSK)

Ответ на: комментарий от Deleted 12.08.15 01:01:42 MSK

В данном случае правильнее говорить GNU, а не линукс.

gadfly ★★
(12.08.15 01:16:47 MSK)

Ссылка

Ответ на: комментарий от Deleted 12.08.15 01:02:14 MSK

Ётить ты чудище.

А в чём проблема поменять настройки DHCP, нужен рут? Используем наиболее свежие уязвимости для локального поднятия привилегий исходя из того что 99,9% роутеров никто после покупки не перепрошивал. Для атаки же клиентов на другие роутеры и ддоса рут не нужен.

~~h578b1bde~~ ★☆
(12.08.15 01:34:35 MSK)

Зачем ты это сюда притащил?

А вообще на линуксовых серверах больше применяется практика «работает - не обновляю», поэтому...

In the *nix world, autoupdate technologies aren’t widely used, especially in comparison with desktops and smartphones. The vast majority of webmasters and system administrators have to update their software manually and test that their infrastructure works correctly. For ordinary websites, serious maintenance is quite expensive and often webmasters don’t have an opportunity to do it. This means it is easy for hackers to find vulnerable web servers and to use such servers in their botnets.

PS: для меня windows и server - смешное сочетание слов.

PSS: да и приводить секурный бюлетень глупость, можешь бота написать, который бы за тебя это дело срал. Всегда интересно про реальную эксплуатацию в живой природе, а не сферический доклад в вакууме, который может и не имеет практического применения

fornlr ★★★★★
(12.08.15 05:38:18 MSK)
Последнее исправление: fornlr 12.08.15 05:41:16 MSK (всего исправлений: 1)