Жизни радоваться.

На 6 - вполне.

А если '#!/bin/bash' ?

даешь bashd в следующем релизе от Ленчика!

Никаких выкручиваний, просто трансляции символов недостаточно для uppercase.
Но для немецкого языка можно сделать вот так: 9 tr 'a-zà-þ' 'A-ZÀ-Þ' | sed 's/ß/SS/g' (уж не знаю, правильно так делать или нет).

Ну там от простого сетевого запроса может упасть. Так что не спасёт.

И ставь Win? Win на сервере то еще говно, если не нужны конкретные технологии Microsoft.

Или мсье поклонник OS X?

Мысли шире - не компьютера, нет уязвимостей в компьютере.

Спасибо за новость, анончик. Интересный и неведомый ресурс по Perl'у спалил мне.

RedHat подготавливает площадку для внедрения bashd!

В 6-м дебиане исправлений нет. Не знаю, может, и логично, он ведь уже как олд. Но на него ставится bash с зависимостями libtinfo5 и multiarch-support от 7-го.

Нет человека — нет проблем!

Аналог? Или просто другая система инициализации?

В OpenWrt начата интеграция procd — собственной минималистичной системы инициализации

grep -rl -e '^#/bin/bash' -e '^#/usr/bin/env bash' /

точнее так, наверно

Я не только про tr, мне вообще интересно, есть ли еще способы

% export A='фѣљъ Straße'
% bash -c 'echo ${A^^}'
ФѢЉЪ STRAßE
% awk '{ print toupper($0) }' <<< $A
ФѢЉЪ STRAßE
% /opt/plan9/bin/awk '{ print toupper($0) }' <<< $A 
фѣљъ STRAßE
% gawk '{ print toupper($0) }' <<< $A
ФѢЉЪ STRAßE
% perl -CS -pnE '$_=uc' <<< $A
ФѢЉЪ STRASSE

уж не знаю, правильно так делать или нет

Не, ß(эсцет) только один из символов, которые так транслируются. Кроме того в юникоде еще много неожиданных вещей, вроде того что ۶۵٩໓𝟜 - цифры

Надо срочно переписать баш на яваскрипт.

awk из plan9 у меня почему то даже на љ зафейлился

Проблема в том, что plan9 — слишком suckless для юникода.

Ну нафиг, лучше coreutils на node.js и выкинуть bash совсем.

сколько заплатишь?)

говнокод на javascript чем оличаятся от говнокода на ц? тем что больше жрёт и тормозит

Почему у тебя на аватаре адидас с четырьмя полосками?

Тысячи глаз прочёсывают коды свободных проектов и выявляют баги и уязвимости одна за одной.

И используют их в своих корыстных целях. А вы как думали?

Пойду пилить своё окружение для себя...

Там такой код, что прочесывать его без особой необходимости мало кто хочет.

Фигню написал.пнг

GC - это только server-side, на клиенте за такое клиенты могут побить. Батарейка у девайсов не резиновая, а лэптопы около розеток - это для 0.1% гиков. Детерменированные ARC/smart pointers - это way to go, а не серверные слонопотаморантаймы.

Жабоскрипт он медленный и толстый, нативность с памяти- и потоко-безопасностью - вот что нужно - https://github.com/uutils/coreutils

Начало активного применения ShellShock

http://habrahabr.ru/post/238539/

обновился, протестил, все номально супергуд...

всем насрать на твою генту и ебилды. Зачем мне смотреть ебилд, если я собираю пакеты лучше чем всё гентокоммунити сразу, и у меня эти грёбаные уязвимости не работают?

Теперь ваш Баш может выполнить любые команды? Вот это поворот, невероятно!

и у меня эти грёбаные уязвимости не работают?

Ну и молодец возьми себе печеньку с полочки.

Давно пора перейти на systemd вместо дырявых портянок на shell.

Поддерживаю. По ходу достаточно весомый аргумент против инициализации на шелл-скриптах.

Exim, qmail

Что-то не соображу, а в каком месте ? MTA где-то вызывает шел при обработке сообщения !?

procmail

Вот тут понятно, если доходит до procmail... Кстати, ругаемый всеми Sendmail давным давно запускает procmail c smrsh, если используется FEATURE smrsh, что рекомендуется.

По ходу достаточно весомый аргумент против инициализации на шелл-скриптах.

В каком месте он весомый ? В львиной доле случаев уязвимости через bash можно использовать только тогда, когда они уже не нужны. То есть, когда доступ есть и так.

ведь очевидно, что половина проблем

сам бог велел писать на ещё более высокоуровневом языке

Это исключительно ваши измышления. Простая фильтрация CVE List демонстрирует, что в тех же Java и .NET число уязвимостей весьма и весьма впечатляющее.

Поэтому баги bash останутся на совести исключительно разработчиков bash, а язык ни при чем.

openSUSE 13.1:

$ ./bashcheck 
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs

eselect sh set dash

Что ты как маленький. Я это первым делом на серверах делаю.

Пока ты писал сообщение нашли ещё 23уязвимости Гг ) Проверил фряшки, баша нет, всё гут) на бунте есть\ rm -rf bash & use sh :D

Я это первым делом на серверах делаю.

Чем это поможет? У тебя от этого все зависимости от app-shells/bash дропнутся и автоматом выполнится emerge -C app-shells/bash?

А как выпилить bash без ущерба для работы системы?

MTA где-то вызывает шел при обработке сообщения !?

Может вызывать, если в .qmail есть доставка через программу (|/bin/procmail). При этом в переменную SENDER попадает то, что было в mail from:<> SMTP-диалога.

http://www.gossamer-threads.com/lists/qmail/users/138578

если в .qmail есть доставка через программу (|/bin/procmail)

Я вариант с procmail упомянул отдельно. С ним (и подобными вариантами) всё понятно. Только это же не проблема MTA, как такового, это раз, а два, неужели Postfix не уязвим примерно так же ? Почему он отмечен, как неуязвимый ?

А, вообще, давно уже практика должна была быть сведена к MTA -> lmtp -> Mail Storage.

1) Упаси боже, чтоб большая часть лоровцев вообще лезла в код.

2) Альтернатив нет. Думать надо лучше и баги фиксить.

3) А сколько раз были баги-уязвимости в самой ява-машине или .net?

Отлично!

Чертовски приятно увидеть на данном ресурсе подобный комментарий. Поддерживаю руками-ногами :) Ибо от большинства остальных комментариев ощущение, что писали их случайные двуногие обезъяны, по ошибке вместо ВКонтактика попавшие сюда...

Много ли ЛОРовцев могут прямо сейчас влезть в код и его починить ?

Я чинил, когда доставало и наступало понимание, что за меня именно эти баги фиксить никто не будет, или нужные фичи добавлять.

Сколько им понадобится времени на нахождение, фикс, отладку и публикацию в мир ?

Зависит от организации проекта и опыта того, кто полез править. Ну и от масштаба исправления.

аж со времён ... (когда «память - больше не проблема»)

Я не вижу этих времён. Такие вот мышевозилы гуёвые её успешно потребляют. Всю, что есть. На несколько вкладок FireFox уже не хватает 1Гб (!) RAM. Просто полазить по сйтикам... Тьфу... Вспоминается анекдот про агронома и колорадского жука. Купил себе бук, добил до 6Гб, пока жизнь есть. А на долго ?..

У всех с bash паника. А, на деле, найдите вот дистрибутив, где у сервисов не /bin/false в качестве шела. Да, для web это опасно, что-то там подсунуть, безусловно, можно, а в остальном ? Тут же вот, про OpenVPN, примечание: при доступе на сервер злоумышленника. Ну так ты не лазий в непроверенные места. Git - тут, наверное, да, беда. Но размер катастрофы, всё равно, сильно преувеличен на мой взгляд. Некоторые пишут, что это серьёзнее недавней проблемы с ssl. Так вот, думаю, что не серьёзнее ни разу. Давать шелл опасно само по себе, так что, во многих случаях, пострадают или сами себе буратины, или у кого выхода не было. Последние, очевидно, уже обновились.

А сколько уязвимостей в виндовом command.com?

Да ладно command.com, а сколько их в PowerShell?

Ахаха! Вот это вброс systemd говна на вентилятор! :DDD

Вот вам и хваленная ШВАБОДНАЯ безопасность

Они хотя бы нашли уязвимость, и скоро закроют, а как же обстоит дела с шиндовс, умник?

А кто им пользуется?