В openSUSE пофикшено:)

darkest@linux-v4de:~> env x='() { :;}; echo vulnerable' bash -c "echo Do not fuck with me"
bash: попередження: x: ignoring function definition attempt
bash: помилка імпортування означення функції `x'
Do not fuck with me
darkest@linux-v4de:~>

в Дебиане-тестинге умвр. обнвлс, баш нифига не обновляется:

>14:52:51 268 ~$ apt-cache policy bash
bash:
  Установлен: 4.3-9
  Кандидат:   4.3-9
  Таблица версий:
     4.3-9.1 0
         50 ftp://ftp.ru.debian.org/debian/ unstable/main amd64 Packages
 *** 4.3-9 0
        990 ftp://ftp.ru.debian.org/debian/ testing/main amd64 Packages
        100 /var/lib/dpkg/status
     4.2+dfsg-0.1+deb7u1 0
        500 http://security.debian.org/ wheezy/updates/main amd64 Packages
     4.2+dfsg-0.1 0
        500 ftp://ftp.ru.debian.org/debian/ wheezy/main amd64 Packages
     4.1-3 0
        500 ftp://ftp.ru.debian.org/debian/ squeeze/main amd64 Packages
>14:55:39 268 ~$ cat /etc/apt/sources.list | grep -vE "^#|^$"
deb [arch=amd64] ftp://ftp.ru.debian.org/debian/ testing main
deb [arch=amd64] http://security.debian.org/ testing/updates main
deb [arch=amd64] ftp://ftp.ru.debian.org/debian/ wheezy main
deb [arch=amd64] http://security.debian.org/ wheezy/updates main
deb [arch=amd64] ftp://ftp.ru.debian.org/debian/ squeeze main
deb [arch=amd64] http://security.debian.org/ squeeze/updates main
deb [arch=amd64] ftp://ftp.ru.debian.org/debian-multimedia/ wheezy main

Уже выпущенный для баша фикс уже успешно обошли)

env X='() { (a)=>\' bash -c «echo date»; cat echo

А можно ли выпилить баш и сделать симлинк на zsh?

А вот обход патча в openSUSE не пофикшен :(

Говорили вам, что bash — говно, так нет, продолжают жрать.

Уже выпущенный для баша фикс уже успешно обошли)

Боюсь что да...

env X='() { (a)=>\' bash -c "echo date"; cat echo
bash: X: строка 1: ошибка синтаксиса около неожиданной лексемы `='
bash: X: строка 1: `'
bash: ошибка при импортировании определения функции`X'
Чт. сент. 25 15:24:22 MSK 2014

А ты без этого каждый день не обновляешься что ли?

Так в чем ШОК этой уязвимости? как использовать ее, имея локальный непривилегированный доступ и не имея оного? Если у меня нет скриптов на bash, а обычный LAMP / LEMP сервер без панелей.

Так в чем ШОК этой уязвимости?

Начнем с того, что ей как минимум 5 лет.

как использовать ее, имея локальный непривилегированный доступ и не имея оного?

Выше ссылка на github.

Осиль уже ссылки.

Шок в том, что прямо сейчас собираются новые ботнеты. Когда они будут DDoSить твои серверы — ты будешь рассказывать о шоке.

Качаем и выполняем

А за такие советы можно и по пальцам получить.

как использовать ее, имея локальный непривилегированный доступ и не имея оного?

Выше ссылка на github.

вот эта https://gist.github.com/anonymous/929d622f3b36b00c0be1 ?
И что там? Ну пришел запрос со странными http заголовками, в надежде что они проинтерпретируются. Повторяю вопрос - как заюзать уязвимость то если у меня LAMP/LEMP?

Как проверил-то?

$ dpkg-query -W dash
dash    0.5.7-3
$ x='() { :;}; echo vulnerable' /bin/dash -c "echo this is a test"
this is a test
$ x='() { (a)=>\' /bin/dash -c "echo date"; cat echo
date
cat: echo: No such file or directory

О, нет! Моя система уязвима! Не взламывайте меня пока не обновлюсь, если не хотите увидеть на моём компе фотки, как мы с вашей мамой «чай пили».

Повторяю вопрос

Повторяю ответ.

И что там?

Там найденный in the wild запрос, заражающий машину.

как заюзать уязвимость то если у меня LAMP/LEMP?

Уязвимость становится эпичной, если уязвим твой личный сервер? okay.jpg

$ dash
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
$

правда, в сегодняшнем обновлении починили

Уже выпущенный для баша фикс уже успешно обошли)

Всё-таки это другая независимая проблема, которая существовала и до выхода патча. Ничего хорошего в ней тоже нет, но на первый взгляд, произвольный код с её помощью выполнить сильно труднее.

если не хотите увидеть на моём компе фотки, как мы с вашей мамой «чай пили».

Звучит как сюжет порнофильма.

If you want. Но не удивляйся когда что ни будь отвалится..

Там найденный in the wild запрос, заражающий машину.

А какую он машину заражает-то? Какая софтина должна обслуживать запросы чтобы эта штука смогла сделать что-то плохое?

А какую он машину заражает-то?

Ту, на которой обрабатывается.

Какая софтина должна обслуживать запросы чтобы эта штука смогла сделать что-то плохое?

«Apache с mod_cgi или mod_cgid (если скрипты CGI написаны на bash или вызывают bash-скрипты), клиенты DHCP (если они вызывают скрипты для настройки системы), CUPS и вообще любые приложения, которые запускают bash (или bash-скрипты) и могут устанавливать переменные окружения на основе данных, полученных извне».

правда, в сегодняшнем обновлении починили

Насколько я могу судить, последнее обновление dash в stable было в 2012 году [1].

Для проверки уязвимости важен не текущий шелл, где выполняется вызов, а вызываемый. Твоя команда тестирует bash, а не dash.

[1] http://metadata.ftp-master.debian.org/changelogs/main/d/dash/stable_changelog

Интересно, а нашли неуловимого джо каким образом? Ред Хат раз в 5 лет аудит сделали или кто-то нашёлся (школьник например, т. к. уязвимость очень простая) кому стало любопытно?
А сколько втихую эту уязвимость использовали? Или на юникс-мирок до сих пор мало кому есть дело, даже не смотря на наличие огромного числа веб-серверов?

Или на юникс-мирок до сих пор мало кому есть дело

Нет. Ты просто не знешь, какой ажиотаж вокруг локал рут эксплоитов.

Ну наконец-то Ънтерпрайзных слоупоков можно будет пнуть, чтоб обновились до bash 4.3, ато они уже засовокупляли со своим bash 3.*

Кстати, в msys до сих пор bash 3.1?

Зачем нужен bash, если есть perl?

О нет, интерактивный Perl — г-но еще то. Без rlwrap вообще не юзабелен. Развечто perlconsole (та, что REPL).

Ты просто не знешь, какой ажиотаж вокруг локал рут эксплоитов.

А где можно узнать?

Начни с rdot.org, там найдешь ссылки на зарубежные источники. Мне это давно неинтересно, поэтому актуальных ссылок не дам.

Какая софтина должна обслуживать запросы чтобы эта штука смогла сделать что-то плохое?

«Apache с mod_cgi или mod_cgid (если скрипты CGI написаны на bash или вызывают bash-скрипты), клиенты DHCP (если они вызывают скрипты для настройки системы), CUPS и вообще любые приложения, которые запускают bash (или bash-скрипты) и могут устанавливать переменные окружения на основе данных, полученных извне».

ну таких машин 0.1% в сети. В общем, расходимся, здесь не на что смотреть. Очередная раздутая IT журналистами «массовая уязвимость».

таких машин 0.1% в сети

Лол. Уже назвали cpanel.

Да, и плюс возможность получить рута у всех линуксоидов в локалке путём правильной настройки dhcp-сервера =).

ну таких машин 0.1% в сети

«Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён домена таких сайтов может оказаться в 50 раз больше). Организация целевых атак на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi из CPanel, позволяет как минимум в 10 раз расширить область действия атаки».

Очередная раздутая IT журналистами «массовая уязвимость».

Аналитики в треде, все в хонипот.

Ясно. Кстати решил погуглить и нашёл вот это видео. Забавно.

на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi

Так?

89.207.135.125 - - [25/Sep/2014:15:03:38 +0400] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 301 184 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"

Только

с указанием корректных имён домена таких сайтов

неделя эпичных новостей..

Я ж не спорю, что уязвимость не работает. Да, такие хосты есть. Но посуди сам, насколько распространены системы, где можно заюзать эскплоит? Это же не LAMP/LEMP.

Организация целевых атак на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi из CPanel, позволяет как минимум в 10 раз расширить область действия атаки».

пруф успешной атаки на cpanel пожалуйста.

Ладно, bash bash'ем, а что там с APT? Насколько все серьезно, господа аналитики?

Уже выпущенный для баша фикс уже успешно обошли)

bash --version
GNU bash, version 4.2.48(1)-release (x86_64-pc-linux-gnu)


env X='() { (a)=>\' bash -c «echo date»; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
cat: echo: No such file or directory

Воздействие на rhel (да и на другие по сути тоже) https://access.redhat.com/node/1200223

в Дебиане-тестинге умвр. обнвлс

В минте 17 обнова вчера прилетела

bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test

ходят слухи, что tcsh тоже...

ЛПП!

nkt@belfalas ~ % csh --version
tcsh 6.18.01 (Astron) 2012-02-14 (x86_64-amd-FreeBSD) options wide,nls,dl,al,kan,sm,rh,color,filec
nkt@belfalas ~ % env x='() { :;}; echo vulnerable' csh -c "echo this is a test"
this is a test

у настоящих посоноф в качестве шелла стоит Node REPL!

ЛПП!

фу, грубиян

Так, с загрузкой разобрались, теперь ждём когда говнобаш повыпиливают из оставшихся приличных мест.

Ну так обойди запрет запуска программ и скриптов в Aчайников. Ну, а сидя под админом и отключая тот же «UAC -для чайников», чего ты хочешь?

Я ничего не хочу,

особенно я не хочу копаться в дырявых говношиндоусах.

Да, действительно

Уязвимость, успевшая получить названия Shellshock или Bashdoor, была обнаружена Стефани Чазелас, администратором Unix- и Linux-сетей и телекоммуникаций в Akamai. Как отмечает The Verge, эта уязвимость могла годами позволять хакерам контролировать компьютеры, работающие на Linux.

дебилан решето!