Шерето

Третий раз за два дня обновляю баш

«Они хотя бы нашли уязвимость, и скоро закроют, а как же обстоит дела с шиндовс, умник?»

Расслабься, клоун, в Виндоуз этой узявимости нет, потому что не студенты писали.

Похоже скоро опять надо будет обновляться
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
hack.sh: line 18: 14876 Ошибка сегментирования bash -c «true $(printf '<<EOF %.0s' {1..79})» 2> /dev/null
Vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs

Ну, как минимум шиндоодмины, уж поболее, чем коммандкомом, да и область применения у него значительно шире и функционала гораздо больше, а как следствие и векторов атак, чем у локалхостового коммандкома.. Линупсоидов непосредственно, конечно, не касается, но тем не менее, станций-то на шиндовсах ведь немерено крутится, а может даже и некоторые годные сервисы на них живут.. Так что.. Но я лишь поддержал твою мысль, ибо в опенсорсе хоть находятся уязвимости и исправляются и в этом его сила, а сколько их в закрытой проприетарщине с неперечислимым количеством закладок одному АНБ известно..

не студенты писали

ага, индусы. с последующим наложением патчей от АНБ.

У нас на предприятии везде винды, но пувершелл никаким боком не используется.

Нет, это всего лишь ОНА.

Ну, у вас может и нет, а вообще это практически полноценная среда для скриптинга и автоматизации процессов, особенно когда у тебя сервера без гуев и сотни/тысячи машин, то сам Б-г велел, некрософт сподобилась таки предоставить одминам мощный инструмент, которым можно рулить практически всей системой.. Ну, и даже если не пользуете ps, вопрос о закрытой проприетарщине то это не снимает, это же шиндош$ :)

Тред-детектор белок-истеричек.

крутой у тебя аватар :-)

по теме: я не совсем уловил, т.е. если sh — не симлинк на баш и баш не стоит дефолтным шелом у рута/сервисюзеров, то будут эти уязвимости (уровня сервисов) воспроизводиться или нет?

в Дебиане-тестинге на сей раз среагировали побыстрее:
[code]

21:11:17 272 /tmp$ ./bashcheck

Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs
[/code]

потому что не студенты писали.

Ну да, конечно, я ведь забыл, что за вас дядюшка Билл все продумал.

Только сейчас увидел, что баш обновился, ну и хорошо, дыры закрыли.

% tr а-я А-Я
мята
°±²±°

слушай, тут вообще интересный косяк выходит:
[code]

21:17:36 272 ~$ echo «ололо» | xxd

0000000: d0be d0bb d0be d0bb d0be 0a ...........

21:18:06 272 ~$ echo «ОЛОЛО» | xxd

0000000: d09e d09b d09e d09b d09e 0a ...........

21:18:21 272 ~$ echo «ололо» | tr 'а-я' 'А-Я' | xxd

0000000: b09e b09b b09e b09b b09e 0a ...........
[/code]
почему-то диапазон уходит с 0xd0XX на 0xb0XX, а так все норм)))
в баг-трекере Дебиана с 2002 года, лол

//комментарии не читал

У меня под протухшим цыгвином не работает. Правда, shellshock в нём же есть. Или новые уязвимости актуальны только для пропатченных от шеллшока?

Решето!

Он уже заколебал за 4 дня 4 раза обновляться, а сегодня еще вот это.
Ужасть.

тогда далее нет головы- не надо мыслить шире :)

Какая версия bash?

root@static:~/security# ./bashcheck Not vulnerable to CVE-2014-6271 (original shellshock) Not vulnerable to CVE-2014-7169 (taviso bug) Not vulnerable to CVE-2014-7186 (redir_stack bug) Test for CVE-2014-7187 not reliable without address sanitizer Variable function parser inactive, likely safe from unknown parser bugs

root@static:~/security# uname -a Linux static.211.4.76.144.clients.your-server.de 3.2.0-4-amd64 #1 SMP Debian 3.2.57-3+deb7u2 x86_64 GNU/Linux

ток в швабодном ПО их выявляют и устраняют

выявляют и устраняют? :) ну ты в ведь курсе, да, сколько лет этом багам в баше?

OpenBSD утилиты

Мы еще помним heartbleed.

Во Фряхе это сделали отключаемым совсем недавно. На этой неделе где-то. Плюс по скрипту на Гитхабе:

Vulnerable to CVE-2014-7186 (redir_stack bug)

Ну что, солнце уже встало, а о новых уязвимостях еще ничего не известно?!

а сколько там еще таких дыр не анонсировано..

Бояться. Неуязвим только даш и бсд всякие.

Если ты сегодня патч накатил,то да, неработает, а так, все 3 дыры светятся, если баш стандартный или с 1м патчем.

со вторым патчем не работает, с позавчерашним, который 7u3

А сколько уязвимостей в виндовом command.com?

Думаю, что меньше. Он же убогий. Меньше фич → меньше кода → меньше дыр. Ну и в M$-софте не так часто передают строки непонятно откуда в cmd.

Вообще-то, это баш убогий, как топор из силикона. Язык скриптовой, часто используется как тупо набор последовательностей и при этом не имеет goto! Как только потребется при отладке пропустить с 10 по 1000 строки, так надо все 991 комментировать или портить код и делать функцию а потом её удалять и копипастить код обратно - вот до чего секта готоненавистников язык испортила. В виндовом cmd.exe такой хентай не реализован, потому что его разработчики об удобстве пользователей позаботились.

Они хотя бы нашли уязвимость, и скоро закроют, а как же обстоит дела с шиндовс, умник?

«Зато у вас негров линчуют!»

ибо в опенсорсе хоть находятся уязвимости и исправляются и в этом его сила

Ага, миллионы зорких глаз по всему миру...

Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs

Фух...

В виндовом cmd.exe <…> об удобстве пользователей позаботились.

Благодарю за позитив с утра :)

при этом не имеет goto

Лучше бы ты молчал, убожество.

в ведь

и что?

это были последние )))

На несколько вкладок FireFox уже не хватает 1Гб (!) RAM

Бред. С полусотней вкладок он сидит на 300 мегабайтах. 33b6

Лол, как раз данный баг, который присутствовал в системе годами, эти хваленые тысячи глаз не нашли.

Ну если не нашли тысячи глаз, то сложно предполагать, что данную узявимость мог найти какой-то вундеркинд

Страшно представить, что сделали за эти годы хакеры, обладавшие сакральным знанием

Я не думаю что разработчики баша злонамеренны. В отличие от майкрософта, засветившегося в PRIZM. А кто кроме разработчиков может заведомом знать о «тонких» местах?

Подчеркну основную мысль: если тысячи глаз не нашли, то кто тот вундеркинд, который нашел и взломал весь интернет? А главное, где последствия его действий?

Опять у меня не работает! Дискриминация какая-то.

У меня кстати оба выражения ничего не возвращают. Первое правда возвращало ошибки сначала, говорило «не хватает парных скобочек, парных ковычек»

В виндовом cmd.exe <…> об удобстве пользователей позаботились.

Благодарю за позитив с утра :)

Главное не заниматься отладкой башскрипта, иначе позитив исчезнет без следа. В такие минуты возникает желание запилить ему альтернативу, хотя бы на основе паскальскрипта.

Бред. С полусотней вкладок он сидит на 300 мегабайтах. 33b6

Как бы вкладки бывают разные, например книжки с полмиллионом букв, с нехорошим форматированием и картинками.

а как же обстоит дела с шиндовс, умник?

Думаю с шиндовс дела обстоят исходя из комерческой целесообразности, и только из нее. А принцип коммерческой целесообразности одинаков и на стройке, и в инжинерии, и в IT, я полагаю:

лепи левой, лепи резче, пока заказчик не видит. Косяк? Главное чтобы пролезло. Не заметят? Считай пролезло.

Даже если предположить, что сам автор говнокода, который был вынужден ваять откровенно криво, под давлением дедлайнов, знает об уязвимости, то вряд ли его инициативу по улучшению&исправлению одобрит руководство. Время деньги ведь. Софт который делается сугубо ради денег не может быть лучше того, который делается из любви к искуству.

Вообще отношение M$ к пользователю хорошо демонстрируют notepad и paint, не изменившиеся за 20 лет. Если они не берутся совершенствовать явное убожество, то что говорить о скрытых косяках?

А как выпилить bash без ущерба для работы системы?

Поставить ${something}BSD?

Как только потребется при отладке пропустить с 10 по 1000 строки, так надо все 991 комментировать или портить код и делать функцию а потом её удалять и копипастить код обратно

Ужос... Вы просто не умеете его готовить.
Откройте для себя

true || {
# 991 lines of code
}

Вообще отношение M$ к пользователю хорошо демонстрируют notepad и paint, не изменившиеся за 20 лет.

Между прочим, пайнт отличная рисовалка для тех, кому не объяснили как пользоваться слоями. В более сложных редакторах, сделал что-то и кисть не рисует. Отчего? Почему? В итоге приходится рисовать по новой, и только когда прочитаешь статью в книжке, сможешь работать с несколькими слоями и пользоваться программой лучше пайнта. Тоже самое и с нотепадом, он стоит в системе для совместимости с пользователями не требующими многого и не изучавшими лишнего, а для прочих в системе есть альтернативный wordpad.

Софт который делается сугубо ради денег не может быть лучше того, который делается из любви к искуству.

Взять даже изначальную убогость и кастрированность cmd, и тот факт что в итоге таки (не прошло и 20 лет) появился PowerShell.

Эти факты отдельно вроде ни о чем не говорят, но о чем говорит сочетание этих фактов? То что M$ действует по принципу минимизации усилий и затрат в стремлении к прибыли. PowerShell появился только тогда, когда апологетов винды затюкали беспомощностью cmd и когда преимущества bash стали очевидны даже клиентам M$. Только тогда в конторе изволили пошевелить сракой, чтобы предоставить сколько-нибудь более серьезный инструментарий консоли. В принципе вся политика M$ достаточно последовательна, и укладывается в формулировку

корми пока жрут

Они избегают баловать своих клиентов качеством или функциональностью, понимая, что тем самым стимулируют рост ожиданий и претензий клиента, что обещает необходимость затрат несоизмеримо больших усилий времени и денег на достижения того же уровня комерческой выгоды.

Коммерческая организация заинтересована не в качестве софта, а в том, чтобы каждое усилие программиста было как можно дороже оплачено. Это обусловлено самой по себе хищнической сутью коммерци. Иначе быть просто не может.

Поэтому «фичи» сознательно растягиваются по ранжиру версий, совершенствование сознательно происходит из принципа минимализма: только то, что не обходимо. А необходимо лишь столько, чтобы новую версию клиент действительно нашел новой. Нередко для этого нужны лишь новые иконки, исправление ошибок, и чтобы просто прошло некоторое время. Главное чтобы пипл хавал.

Тоже самое и с нотепадом, он стоит в системе для совместимости с пользователями не требующими многого и не изучавшими лишнего

То есть нотепад до сих пор загибается от мегабайтных документов сугубо ради удобства пользователя?

и не изучавшими лишнего

С точки зрения средневекового монаха — компьютер вообще лишнее в доме. С точки зрения дикаря, туалет — лишнее в хижине.

Видишь ли, в естественной среде обитания человека новые возможности ищут себе способов и областей применения, а не наоборот: появляются новые фичи, новые технологии, новые подходы, и только привыкнув к ним люди говорят «это мне необходимо». Это естественный путь развития потребностей.

Только в M$ действует принцип насущной необходимости: что потребовали то и дать, и ни грама сверх того, а то еще зажрутся.

Ужос... Вы просто не умеете его готовить.
Откройте для себя

А перескочить вперёд на 991 линию так тоже можно;) И желательно чтобы не считать линии и при довавке/убавке строчек код не менялся.