Обнаружены новые уязвимости в bash

Эмм, так у меня как раз и стоит 4.3.9-2 и все равно показывает, что уязвим к CVE-2014-7186 (redir_stack bug). Он у вас после установки еще и патченный из дебиановских реп апдейт-секьюрити?

Ты не путай код на языке высокого уровня, который должен быть удобно читаемый и хорошо тиражируемый, с просессоро-ориентироманными инструкциями.

Высокоуровневый код не обязан быть подобием жабы - жаба у нас ещё есть. И ассемблерные вставки тоже нужны - без них даже на плюсы не обходятся, начинаешь пытаться скомпилить код под линукс и тут вылазит что, без переписывания куска, нельзя.

Я вообще не понял, откуда началось это сравнение и кому в голову пришло. Я с goto начал читать. :-)

А гото откуда пришло в массы и где показало свою няшность? Персональные аппараты с башем, они стали доступны не так давно, а до этого было да лампочки что баш в чём-то неудобнее а учить в нём дофига.

Но сам синтаксис у bash на голову выше, как как разработан с учётом уже существующего опыта, в том числе и бейсика.

Интересно, как это люди фанатеющие от С/С++ могли взять и придумать хороший синтаксис? У них, как в анектоде о мужике, который не мог собрать из деталей швейную машинку и в итоге упорно получалось более привычное изделие (в анекдоте был АК). И потом, нужна же совместимость с кривыми альфаверсиями синтаксисов, чтобы народ не переучивался!

Говорить, что бейсик лучше, так как у него goto есть и структура кода хорошая - это бред.

От гото польза при правильном применении и, в отличии от аппаратнозависимых типов переменных в Си, им пользоваться никто не заставляет , а структура кода в бейсике - так ведь понятная и без перлообразной каши. А то, что МС может испортить неплохую вещь а потом на неё забить, думаю объяснять не надо. Уменьшение количества строк в интерпретируемом коде было актуально во времена дискет - чтение каждой строки = запуск моторов дисковода и шаркание читалкой. Сразу загрузить весь файл в память и потом выполнять нельзя: а вдруг при выполнении первой строки оператор отредактирует вторую. При _таком_ применении ЯП, гото конечно вносит сложности, но можно же обойтись директивой типа $$goto_on после которой и гото действует и код заглатывается интерпретатором большими кусками а не построчно. Но раз баш не улучшают, то надо плодить велосипеды.

Нет мы начали с того что ты начал тыкать в сторону ext2 1993го года выпуска с позиции NTFS Version 3.1 2001го года… И почему-то тебе не понравилось что в том же 1993м был NTFS Version 1.0 который из Windows NT 3.1 и который там никто не использовал потому что он никому там не был нужен и потому-что жрали в те времена FAT и это было нормой.

Где я говорил про ext2? С какой позиции? Ты что-то там много домысливаешь за меня.
Суть в том что в Windows и Mac OS X давно из коробки 255 UTF-16 знаков на имя файла, а в GNU/Linux всё ещё этого нет.
Ладно не буду больше трогать твой хрупкий мирок.

Касаемо багтрекера я уже кидал багтрекер Etersoft, оттуда видно что там не всё просто (особенно с ext4). На кернел.орг я нашёл только это. Будет желание и время попробую сам создать тикет (вряд ли это поможет, но посмотрим), так как хочу на сервере держать файлы длинных имён без костылей и на надёжной ФС, а сейчас меня пока только на кококо на лоре хватает.

скопипащено с опеннета

fixed.

Суть в том что в Windows и Mac OS X давно из коробки 255 UTF-16 знаков на имя файла, а в GNU/Linux всё ещё этого нет.

Суть в том, что в GNU/Linux есть пакетные менеджеры и снапшоты уже только это - неосуществимая мечта убогих и обделенных вендузятников которых кормят обещаниями что когда то это будет и у них. А главные последствия в том, что GNU/Linux доминирует в top500 на мобильном рынке и в самых разнообразных встроенных устройствах а сраная венда всё еще занимает свою нишу только потому что покупает и подкупает производителей железа.

Касаемо багтрекера я уже кидал багтрекер Etersoft

Этеркто? На кой хрен мне всрался багтрекер форка wine?

оттуда видно что там не всё просто (особенно с ext4).

Оттуда видно что они не имеет никакого отношения к ядру Linux.

Кроме того я открою тебе страшную тайну - в мире GNU/Linux все фичи делаются либо непосредственно руками тех кто в них заинтерисован либо руками профессионалов которым платят те кто заинтерисован в определенных фичах…

Так вот внимание вопрос - почему с 2000х годов всем в GNU/Linux попросту насрать на совместимость со сраной говновендой? И ответ на этот вопрос этот касается вовсе не количества пользователей в ОСях… Ответ в том кто ближе к стандартам. И под стандартами я понимаю не стандарты сраной говновенды, на которые даже она сама ложит болт, а стандарты POSIX, ISO, DIN и т.д.

GNU/Linux

на мобильном рынке

4.2. Там андроид.

Я не знаю как у тебя, а я сделал просто: вот отсюда взял от бубенты 14.04 вот этот пакет с башем собранным статически под armhf, выдернул из него бинарь, воткнул его в свой планшетик с андроном вместо старого баша и все работает как куранты.
зы: баш у меня отдельно от бузибокса, в бузибоксе другой шелл, аш кажись.. да и не встречал я баш в бузибоксах ни разу.

Высокоуровневый код не обязан быть подобием жабы - жаба у нас ещё есть

А при чём тут жаба ? Или, вернее, только жаба.

И ассемблерные вставки тоже нужны

Они нужны в очень узкоспециализированном сегменте: в районе работы с устройствами. Это не такая большая часть ПО.

А гото откуда пришло в массы

Из машинного языка, очевидно.

и где показало свою няшность ?

Нигде. Это только средство запутать код.

Интересно, как это люди фанатеющие от С/С++ могли взять и придумать хороший синтаксис ?

Я, кстати, не утверждал, что он хороший. Просто хуже Basic, на данный момент, нет уже ничего. Да, он мог быть где-то нужен. На калькуляторе, к примеру. Но на чём-то более серьёзном это уже лишнее.

Этеркто ? На кой хрен мне всрался багтрекер форка wine ?

Ты немножко несовсем в курсе, где можно найти их патчи, и вообще, что им приходится делать, чтобы их форк работал. Кстати, в оригинальный wine тоже попадает от них кое-что. Можешь зайти на winehq.org и поискать там etersoft.ru. Ради общего развития.

У них, как в анектоде о мужике, который не мог собрать из деталей швейную машинку и в итоге упорно получалось более привычное изделие (в анекдоте был АК).

Время ушло, люди уходят, обстоятельства изменились - и анекдот переиначили полностью... (

и анекдот переиначили полностью... (

Да они уж, наверное, и не знают трактор Беларусь...

Лепить тут функции - коряво

вот это попробуй:

#!/bin/bash

echo "код №1"

if false; then
{
	echo "код №2"
}
fi

Для нубов, напоминаю, что метки типа :1, :2, :10, :20 отлично работают и в других языках, просто потому что они удобны

удобнее использовать метки с символическими именами. Метка :1 требует ещё и комментарий.

Где грибов таких забористых достал? Это в бейсике то нет блоков? Да они там по умолчанию. Интерпретатор выполнял код по строкам, в которые можно было запихнуть столько кода, сколько влезет. И чем больше операторов в строке, тем в среднем быстрее выполнялась программа.

это уже более свежие бейсики. В первобейсике в одной строке был только _один_ оператор. Потом сделали бейсики с длинными строками, и без обязательных номеров строки.

Если им особо не пользоваться, то и не нужно, вот только на бейсике можно было и игру сваять, а на баше это мазохизм.

не вижу разницы. В bash'е это даже проще будет.

Смотри выше - для экономии кучи времени при изменении процесса сборки кода, в котором что-то идёт не так. Там много чего надо, не только гото.

смотри выше, есть блоки, если «функции корявые у меня».

Учи матчасть чтобы не тупить даже на своих примерах. Велик - он лёгкий

это ты тупишь. Дело не в весе, а в том, что у автобуса есть карданный вал. И ему цепь тупо не нужна. Как goto в bash'е.

Так что и для этой задачи в нём есть решение, просто про запас: операторы POKE и PEEK.

к сожалению, это сработает только в однозадачной среде. В bash команды запускаются в отдельном процессе, потому POKE/PEEK не имеют смысла.

И что ?

ну по его логике выходит, что «баш говно, т.к. там нет GOTO/POKE/PEEK».

И можно через них реализовать много чего а потом запустить программу в машинных кодах. В одной игре так был реализован

забудь. Это сработает только в MS-DOS. Даже в Windows95 это не взлетит.

Я конечно рад за тебя, что ты ещё не умер, несмотря на преклонный опыт, но таки что ты делал последние 30 лет? MS-DOS давно уже никто не юзает. Как и бейсик.

А длина имен файлов…

а длинна имени файлов в WinXP и новее(для совместимости) не более 265 символов(точнее байтов, ещё точнее ­— октетов) ЕМНИП. Точнее можно посмотреть в header'ах, которые доступны после установки MS Visual Studio с MSVC. Или это недостоверный источник?

Т.ч. пофиг, сколько символов умеет маздайная ФС, сам маздай более 265и не умеет.

Это чуть больше, чем в Linux, потому можно создать архив с файлами с именем из 260 байт, которые не распакуются в Linux.

С другой стороны, GNU tar умеет имена файлов _любой_ длинны. Старый формат имел ограничение 100 байтов, в новом это исправили, и длинна имени _не ограничена_, хоть гигабайт.

Т.ч. пофиг, сколько символов умеет маздайная ФС, сам маздай более 265и не умеет.

Нет, тут проблема есть. Именно в разнице байт/символ. Если у тебя кодировка koi8, то ты проблему не увидишь, но вот если ты на utf8 перейдёшь в Linux, то файл с русским названием из 200 символов ты к себе уже не скопируешь из Windows.

Ты немножко несовсем в курсе, где можно найти их патчи, и вообще, что им приходится делать, чтобы их форк работал.

Оригинальный wine это не полный crossover от codeweavers. И вот из crossover в wine попадает всяко больше чем из этэрсофта.

Кстати, в оригинальный wine тоже попадает от них кое-что. Можешь зайти на winehq.org и поискать там etersoft.ru. Ради общего развития.

В ядро linux попадают даже патчи из микрасофта и что из этого? Если судить по вкладу фирм так всё равно linux пишет red-hat.

4.2. Там андроид.

Дважды 4.2. Как будто андроид не linux. gentoo-prefix для android.

Или это недостоверный источник?

Лично мне по барабану сколько оно умеет или не умеет… Я ни одного раза не сталкивался с такими ограничениями ФС в GNU/Linux которые бы сделали мою жизнь не комфортной. И при этом я постоянно сталкиваюсь с такими дикими граблями в сраной венде если приходится с ней работать. Элементарная задача записать iso на болванку. В linux это одна консольная команда и оно будет работать в любом дистрибутиве… В венде это пипец потому одно из них умеет писать само второе не умеет само но если поставить левый софт то писать будет третье вообще упоротое и не пишет ничем и никак.

И вот из crossover в wine попадает всяко больше чем из этэрсофта.

Я бы так не утверждал. CodeWeavers использует Wine для своих целей и делится с проектом на тех же основаниях, что и EterSoft. Так что, можешь брать код и сравнивать, кто больше. На самом деле, вполне допускаю, что CodeWeavers больше, но вот про поддержку USB ссылка на EterSoft, к примеру, а не на CodeWeavers.

На самом деле, вполне допускаю, что CodeWeavers больше, но вот про поддержку USB ссылка на EterSoft, к примеру, а не на CodeWeavers.

Изначально wine это то что отдавал CodeWeavers дальше понятно что там кто-угодно… А разговр был про „недостатки“ ФС в GNU/Linux и ВНЕЗАПНО вклад EterSoft-а в решение этой проблемы… А точнее ОЙ не вклад а небольшой срачик про то как всё плохо и без каких бы то ни было решений фиксов и т.п. Как всегда ни о чем.

GNU/Linux ≠ Linux, а ты пытаешься сделать вид, что на мобильниках — GNU/Linux. Генту-префиксы ставят единицы, несравнимые даже с долей виндофонов.

Андроид может быть хоть сотню раз линуксом, но он — не GNU/Linux (кроме тех случаев, когда фанатику нужно доказать, что GNU/Linux доминирует на мобильных девайсах).

Изначально wine это то что отдавал CodeWeavers

Ну ладно. Пусть так.

А разговр был про „недостатки“ ФС в GNU/Linux и ВНЕЗАПНО вклад EterSoft-а в решение этой проблемы…

Это - единственное место, где я увидел сводное описание всех проблем. И у них уже есть работающее решение для btrfs.

и без каких бы то ни было решений фиксов и т.п

Отнюдь.

GNU/Linux ≠ Linux, а ты пытаешься сделать вид, что на мобильниках — GNU/Linux.

Можешь играть в философа дальше сколько тебе будет угодно а андроид это и есть такой-же GNU/Linux поскольку такое-же ядро linux тот же busybox и coreutils а остальное несущественно. И да чуть менее чем вообще такие-же открытые компоненты. Но да есть и блобы и анальная огороженность загрузчиков и прочие косяки…

Это - единственное место, где я увидел сводное описание всех проблем. И у них уже есть работающее решение для btrfs.

Если бы длина имени файла действительно была бы настолько существенной проблемой её бы уже давно начали бы фиксить или по крайней мере закладывать в новые ФС с запасом…

Если бы длина имени файла действительно была бы настолько существенной проблемой

Я уже писал, что проблема эта только для славян в большинстве. Возможно, ещё у арабов проблемы есть. Латинские символы в utf8 кодируются одним байтом, всякие умляуты и т.п. не являются подавляющим большинством. В случае же кириллицы длинна имени файла гарантированно уменьшается в два раза, до 127 символов. Иероглифы занимают гораздо больше байт на символ, но и сам иероглиф означает очень много. Китайцам и японцам 255 байт хватает тоже.

Таким образом, это фатальная проблема для тех, кому надо в Linux utf8 и, при этом, более 127 на имя файла. У тебя вот какая кодировка системная ? Я, как на utf8 перешёл, уже столкнулся пару раз. У меня была возможность забить, но некоторые, например, хранят полные названия документов в ФС... База файловая заготовлена в Windows и хрен ты её в Linux перенесёшь без правки имён файлов. Или прощай utf8.

Суть в том что в Windows и Mac OS X давно из коробки 255 UTF-16 знаков на имя файла, а в GNU/Linux всё ещё этого нет.

4.2

я не знаю как в макоси, но в маздае 265 БАЙТОВ. Увы, из-за совместимости это не изменить. Старый говнокод сломается. А без старого говнокода сама винда никому не нужна, она нужна лишь потому, что в ней работают старые говноподелия, например на дельфи из 90х годов прошлого века.

У тебя вот какая кодировка системная ?

utf8

Я, как на utf8 перешёл, уже столкнулся пару раз.

Я не сталкивался ни разу. Я чаще баги с кодировками в архивах наблюдаю.

А вообще про ФС в последнее время я юзал ext4 в lvm2 в luks этот конфиг у меня прожил долго… Фактически до кончины ноута. Всмысле ноут еще окончательно не почил… но уже близок к этому. Что юзать дальше пока особо не думал но btrfs в целом выглядит интересно.

андроид это и есть такой-же GNU/Linux

https://www.gnu.org/gnu/gnu-linux-faq.html#linuxsyswithoutgnu

Из общего тут одно ядро.

Нет, тут проблема есть.

это проблема исключительно венды, т.к. она до сих пор на cp1251. Я тоже могу перейти на cp1251, и проблем у меня не будет с этими файлами, как в венде. Проблема будет у маздайщиков, ибо я на 1251 переходить не собираюсь, а UTF-8 это говно до сих пор не научилось.

Лично мне по барабану сколько оно умеет или не умеет… Я ни одного раза не сталкивался с такими ограничениями ФС в GNU/Linux которые бы сделали мою жизнь не комфортной.

иногда бывает. Либо файл, который в 1251 по-русски и из 200 букв, тут не перевести в UTF-8, ибо 400 букв получается, либо файлы в 260 байт, которые в маздае работают, а в линуксе — увы, чутка не влезают.

Впрочем, для этого придумали xattr.

Китайцам и японцам 255 байт хватает тоже.

Да ладно, у некоторых японских групп (вроде An Cafe) одно название трека будет под 200 байт, а если ещё исполнителя добавить — точно не влезет.

андроид это и есть такой-же GNU/Linux

4.2

это закрытая проприентарщина. там только ядро в сферическом вакууме GNU/Linux, но ядро само по себе бесполезно.

Из общего тут одно ядро.

И что? Мне втулить вот прям сейчас gentoo на свою мобилу мешает только лень убивать sd карточку под это дело. Но если это сделать там будет полноценная gentoo со всем деревом портежей. Так что linux оно или нет лично мне по барабану до тех пор пока я легко, просто и непринужденно могу даже туда впихнуть gentoo.

Если бы длина имени файла действительно была бы настолько существенной проблемой её бы уже давно начали бы фиксить

пофиксили давно. Man xattr. И вводи какие хочешь имена.

А вот само имя файла это ключ в индексе, оно и не должно быть большим. И его никто никогда и не будет делать большим. 255 байт вполне достаточно, или 265, как в маздае.

сраная говновенда

Тебе нужно к доктору

База файловая заготовлена в Windows и хрен ты её в Linux перенесёшь

это проблема СУБД ваще-то.

это закрытая проприентарщина.

Тебя сырцами этой „закрытой проприетарщины“ на охренеть сколько гиг удивить? И да там есть закрытые компоненты так же как и на вообще любом десктопе обычного GNU/Linux. Если уж докапываться до вообще каждой запятой так на любой системе есть BIOS, прошивки wifi и т.д. т.е. блобы.

я сам доктор. drBatty.

а UTF-8 это говно до сих пор не научилось.

Ещё раз, по буквам: в utf8 и во многих FS, и в Linux VFS ограничение на длинну имени файла - 127 русских символов. 127, а не 256. Так понятно ? Похрену совершенно на Windows, и что она там умеет, или не умеет.

это проблема СУБД ваще-то.

Тебе слово «файловая» ни о чём не говорит ? :-) Поясню: куча файлов, имена которых соответствуют названиям каких-то там документов.

Тебя сырцами этой „закрытой проприетарщины“ на охренеть сколько гиг удивить?

удиви. Интересует серверная часть гуглодиска например.

И да там есть закрытые компоненты так же как и на вообще любом десктопе обычного GNU/Linux.

белены объелся? В Slackware Linux такого нет.

Если уж докапываться до вообще каждой запятой так на любой системе есть BIOS, прошивки wifi и т.д. т.е. блобы.

при чём тут firmware? Какое отношение они имеют к десктопу/лаптопу/планшету и ПО в нём?

у некоторых японских групп (вроде An Cafe) одно название трека будет под 200 байт

Ну так 200 же, а не 256. Исполнителю надо сколько иероглифов ?

11 символов. Из них 9 в CJK, оставшиеся 2 имеют право быть широкими. И это далеко не рекордсмены.

А без старого говнокода сама винда никому не нужна

Да-да, всем нужен линукс, ага. Такой весь из себя качественный и бесплатный.

Эмм, так у меня как раз и стоит 4.3.9-2 и все равно показывает, что уязвим к CVE-2014-7186 (redir_stack bug). Он у вас после установки еще и патченный из дебиановских реп апдейт-секьюрити?

нет, из тестинга как поставился, тот и есть. у пакета из stable-security ниже и приоритет, и версия.
вот, запустил свежую версию скрипта специально из-под nobody, чтоб с чистым профилем:

>15:03:48 275 /tmp$ sudo -u nobody /bin/bash
[sudo] password for dimas: 
nobody@Ulf:/tmp$ wget -nv "https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck"
2014-10-02 15:04:05 URL:https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck [2784/2784] -> "bashcheck" [1]
nobody@Ulf:/tmp$ chmod 700 bashcheck
bashcheck      bashcheck.tmp  
nobody@Ulf:/tmp$ rm bashcheck.tmp 
nobody@Ulf:/tmp$ chmod 700 bashcheck 
nobody@Ulf:/tmp$ ./bashcheck 
Testing /bin/bash ...
GNU bash, version 4.3.25(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [(), redhat], bugs not explitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)
nobody@Ulf:/tmp$ apt-cache policy bash
bash:
  Установлен: 4.3-9.2
  Кандидат:   4.3-9.2
  Таблица версий:
     4.3-10 0
         50 ftp://ftp.ru.debian.org/debian/ unstable/main amd64 Packages
 *** 4.3-9.2 0
        990 ftp://ftp.ru.debian.org/debian/ testing/main amd64 Packages
        100 /var/lib/dpkg/status
     4.2+dfsg-0.1+deb7u3 0
        500 http://security.debian.org/ wheezy/updates/main amd64 Packages
     4.2+dfsg-0.1 0
        500 ftp://ftp.ru.debian.org/debian/ wheezy/main amd64 Packages
     4.1-3 0
        500 ftp://ftp.ru.debian.org/debian/ squeeze/main amd64 Packages

но в маздае 265 БАЙТОВ

Это ты откуда взял?
Я вот только что создал файлы:

яяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяя

и

私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私私

Да-да, всем нужен линукс, ага.

ага. Сами десктопы уже отживают своё. А венда работает только на PC, её не засунешь ни в роутер, ни в суперкомпьютер. Даже в планшет/телефон не получилось.

Я вот только что создал файлы

AFAIK там у тебя какой-то костыль вроде нашего xattr(а может xattr и есть, я не в курсе). Т.е. это не имена. Да, работают, ну и что? В Slackware тоже работает.

удиви. Интересует серверная часть гуглодиска например.

А при чем здесь серверная часть гуглодиска к сырцам самой прошивки? Андроид открытая система. Иначе были-бы невозможны десятки форков на его основе: CyanogenMod, MIUI, Replicant…

белены объелся? В Slackware Linux такого нет.

Окай так и запишем. Что есть или чего нет в конкретном дистре только вопрос выбора соответствующего дистростроителя а в целом блобы на графику, wifi это иной раз единственный способ добиться от железа его номинального режима работы.

при чём тут firmware? Какое отношение они имеют к десктопу/лаптопу/планшету и ПО в нём?

firmware ВНЕЗАПНО как ты не отмазывайся но такой же блоб. И без всех этих блобов систем исчезающе крайне мало. Поэтому говорить что в „Slackware Linux такого нет“ на обычном PC с BIOS как минимум глупо потому что вместе со слакой у тебя работает BIOS который ВНЕЗАПНО блоб и плевать на то что там есть или чего там нет в твоей слаке.