Hirdetés
Új hozzászólás Aktív témák
-
Ezzel nincs is gond - viszont rengeteg hálózati eszköz, stb. nem frissül hamar - vagy soha. Pl. nem nem tudom, hogy a routeredre vagy NAS-odra érkezett-e frissítés (az enyémre tuti nem).
És már tegnap több szolgáltatótól jött hír arról, hogy rengetegen próbálják kihasználni. (látszik a request logokban, pl. a CloudFlare-nél).
while (!sleep) sheep++;
-
#5
aprokaroka87
nagyúr
aprokaroka87
nagyúr
ez ugye egy terminal emulátorból futtatható parancs?
Lehet hogy én védve vagyok,ugyanis a Droidos telefonomon sem az system/xbin és sem a system/bin mappában nincs ilyen hogy "bash"
Viszont nálam egy cm romban a system/xbin mappában van olyan hogy "bash" fájl.
Ha beirom a terminator emulatorba hogy bash,akkor not foundot ad ki.
Ez az amiről itt szó van? -
Önmagában nem root és nem remote exploit. Gyakorlatilag meg kb. az, mert elegendően sok olyan setup van, ahol a hálózaton hallgatózó szoftver környezeti változókat használ. Ha megnézed a pwn2own-versenyeket, akkor szépen látszik, hogy a törések nem egy nagy hiba kihasználásából szoktak állni, hanem sok kicsi osszefuzesebol.
Ez meg nem kicsi, hanem óriási. Lényegében olyan, mintha odaülhetnél a gép elé, sok esetben egyből rootként.
while (!sleep) sheep++;
-
Out
addikt
Nálam Lubuntu 14.04 van, vulnerable-t ír a teszt, de javítás nem jött.
Ez alapján: env var='() { ignore this;}; echo vulnerable' bash -c /bin/true
A cikkben lévő teszt nem ír vulnerable-t, most akkor melyik a jó?
[ Szerkesztve ]
Commodore Plus/4 --- Személyi számítógép beépített profi szoftverrel
-
-
Ez azért jelent nagy problémát, mert az androidos telefonok esetében közismert a frissítési mechanizmusok tökéletlensége és lassúsága, így ezek az eszközök vannak a legnagyobb veszélyben.
Leszámítva azt, hogy a bash nem része sem az alap Androidnak, sem az iOSnek.
Csak a rootolt Android és jailbreakelt iOS lehet érintett.[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
#15
Translator
tag
Translator
tag
>> fellángoltak azok a viták, amelyek a nyílt szoftverek biztonságosságáról ... folytak
A különbség ott van, hogy ezt egyből javítják, a zárt kódon meg hónapokig ülnek (ha megjavítják egyáltalán...)
Azok akik feladnák alapvető szabadságukat egy ideiglenes biztonságért, nem érdemelnek sem szabadságot, sem biztonságot - Benjamin Franklin
-
#16
joysefke
veterán
Translator
#15
joysefke
veterán
válasz
Translator
#15
üzenetére
A különbség ott van, hogy ezt egyből javítják, a zárt kódon meg hónapokig ülnek (ha megjavítják egyáltalán...)
A különbség ott is van, hogy zárt kód mellett nagyon szűk azoknak a köre, akik egyáltalán analizálhatják a forráskódot és rosszindulatúan nekiállnak hibákat keresni. Zárt kód esetén a hibák egy jó része sosem derül ki, azok a sebezhetőségek amelyek pedig nem derülnek ki, azok senkinek nem fognak problémát okozni.
A nyilt szoftver biztonságossága azon a dogmán alapul, hogy bárki megnézheti a kódot, és ezért a hibákat a Linux közösség jóhiszemű tagjai
1, _hamar_ felfedik és a felfedezés után
2, _gyorsan_ készül rá hibajavítás.Ez a sebezhetőség egyértelművé tette, hogy a 2. pont részben teljesül, az aktívan supportált rendszerek gyorsan kapnak patchet. A SoHO routerek meg hasonló eszközök nyilván nem.
Másrészt az is egyértelművé vált, hogy az első pont önámítás. Ez a hiba egy évtizeden keresztül nem tünt fel semmilyen jóhiszemű Linuxernek. Azt pedig már csak remélni lehet, hogy a rosszhiszeműek számára , akik ugye a hibák kiaknázásából élnek és ennek megfelelően nem a hibajentéssel meg javítással foglalkoznak nem volt már egy évtizede ismert ez a hiba.
Egyvalami biztos: minden operációs rendszer tele van bugokkal, sebezhetőségekkel. A kérdés itt az, hogy lehet-e a biztonságosságot arra építeni, hogy a jóhiszemű userek akiket tipikusan nem a sebezhetőségek feltárásáért fizetnek előbb találják meg a hibákat mint azok akik a nevezett hibákat önös érdekeik miatt akarják megtalálni és segítségével másoknak anyagi károkat okozni.
-
lev258
veterán
Nem mondom, hogy az egész feltevés téves, de ez az:
"Zárt kód esetén a hibák egy jó része sosem derül ki, azok a sebezhetőségek amelyek pedig nem derülnek ki, azok senkinek nem fognak problémát okozni."
Valóban sosem derül ki a szoftver gyártójának. Viszont azok, akik eddig is visszafejtették a kódokat, azok majd megtalálják, kihasználják és igenis problémát fog okozni a felhasználóknak.[ Szerkesztve ]
Ubuntu MATE 20.04, hobbi cayenne termesztő
-
-
#82729984
törölt tag
Pontosan igy van.
Az open source esetén rengeteg a téveszme amit sajnos az open source huszárok is magukévá tesznek ebből fakadnak a félreértések.Az opensource egyetlen előnye biztonsági szempontból hogy gyorsan kaphatsz frissitést illetve akár te magad is csinálhatsz/alkalmazhatod a javítást. Az más kérdés hogy éles production környezetben azért még ez is necces.
Ezen felül minden más viszont önámítás, főleg az a része hogy a kódot sokan nézik és ezért a hibákat hamar felfedezik. Ennek rendkivül sok gyakorlati bizonyitéka van, ez, vagy az előző hb. de volt még más openssl-es is és szinte mindegyiknél az derült ki hogy a hibát okozó patch már évek óta a rendszerben van és kutya nem vette észre.
Azon egyszerü oknál fogva és ezt szerintem bármelyik programozó alátámaszthatja hogy egy kellően összetett és bonyolult kód esetén (értsd: több tizezer sor kód főleg ha legacy és mondjuk C-ben) csak az fog "szemmel verve" hibát észrevenni benne aki azt a kódot napi szinten túrja de még neki is minimális az esélye erre.
-
dabadab
titán
"A különbség ott is van, hogy zárt kód mellett nagyon szűk azoknak a köre, akik egyáltalán analizálhatják a forráskódot és rosszindulatúan nekiállnak hibákat keresni."
Igy van, teljesen biztosan vagyok abban, hogy tobben keresnek sebezhetoseget a bashben, mint a Windows kernelben.
Ja, nem.
Egyebkent meg az exploitokat egyebkent is eleg sokszor blackbox-modszerrel keresik, ott meg teljesen mindegy, hogy van-e forras.
"A kérdés itt az, hogy lehet-e a biztonságosságot arra építeni, hogy a jóhiszemű userek akiket tipikusan nem a sebezhetőségek feltárásáért fizetnek előbb találják meg a hibákat mint azok akik a nevezett hibákat önös érdekeik miatt akarják megtalálni és segítségével másoknak anyagi károkat okozni."
Ez egeszen pontosan mennyiben kulonbozik a zart forrasu szoftverek vilagatol? Mert szerintem semmiben.
DRM is theft
-
Ez érdekes, az android is sebezhető ezzel? Én épp az ellenkezőjét olvastam, mert hogy nem használ basht (iOS-szel együtt).
Pénztárca bemutatók: https://www.youtube.com/playlist?list=PLYQxd5Rbby46cPtVVMQodEGZuxZm7csIo
-
-
sztanozs
veterán
A hiba egyébként már több mint húsz éve jelen van a szoftverben - szóval ennyire tud elrejtőzni egy issue mindenki által látható és tesztelt rendszernél is...
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
joysefke
veterán
Erről mi a véleményetek?
http://sg.hu/cikkek/107987/penzert-arul-biztonsagi-hibakat-kevin-mitnick
-
#32
voyager4.4
senior tag
aprokaroka87
#5
voyager4.4
senior tag
válasz
aprokaroka87
#5
üzenetére
Nagyon nem erről van szó.
A bash egy rendszerhéj, mégpedig általában az alapértelmezett a Unix-szerű (Linux, OSX, és igen Android) rendszereken.
no fate but what we make
-
#33
VaniliásRönk
nagyúr
sztanozs
#28
VaniliásRönk
nagyúr
Ezért nem értem miért hiszik egyesek, hogy a közösségi alapon fejlesztett software-ek alapvetően biztonságosabbak a zárt forráskódnál. Még kormányügynökségnek sem kell lenned, hogy beküldhess egy kódrészletet valami trükkös hibával, ráadásul egy ilyen alapvető komponens kompromittálásával gyakorlatilag az összes Unix sebezhetővé válik.
[ Szerkesztve ]
"Only two things are infinite, the universe and human stupidity, and I'm not sure about the former." (Albert Einstein)
-
#34
floatr
veterán
VaniliásRönk
#33
floatr
veterán
válasz
VaniliásRönk
#33
üzenetére
PM kérdése az egész. A bash esetében ezek szerint elég lazán volt kezelve a QA. Igazából az előnye ott lenne, hogy bárki auditálhatja, módosíthatja, javíthatja, nem kell félévet a full disclosure-ig eljutva levelezni, következő patch keddre várni.
-
-
-
sztanozs
veterán
Nem ez a lényeg...
Bárki megcsinálhatta volna? Igen.
Bárki megcsinálta az elmúlt 20 évben? Nem.Ez a lényeg. Ott volt mindenki orra elött. Teljesen nyilvánosan. Auditálhatóan. Módosíthatóan. Mégsem csinálta meg senki 20 éven keresztül (azt azért nem feltételezem, hogy senkinek nem is tűnt fel)...
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
-
jacint78
addikt
Nem is isteníti senki (remélem) az IE-t és pláne nem használják blokkolni kell és nincs gond vele.. Egy eleve rossz hírű, senki által nem használt böngésző hibáját ne hasonlítsuk már, egy sokak által egekig magasztalt, úgy tűnik mgésem olyan biztonságos rendszerhez. Ráadásul a routeremen nincs IE.
[ Szerkesztve ]
type your text here..
-
#48
Tassadar83
csendes tag
Tassadar83
csendes tag
Microsoft és nyílt forrású rendszerekben is tömérdek bug-ot/security hol-t találnak, nem hiszem, hogy egyértelműen ki lehetne mondani, hogy bármelyik biztonságosabb.
Ami számomra nagyobb garanciát jelent a kereskedelmi termékek mellett az két dolog: 1) profit-orintált vállalkozás áll mögötte, aminek elemi érdeke, hogy jó minőségű kódot állítsanak elő.
2) Ebből kifolyólag az összes termékükre azonos QA standarok és validatálási folyamatok érvényesek,
ellentétben egy sok ezer csomagos Linux disztribúcióval, ahol nagyon más kvalitású emberek nagyon különböző minőségben kódoltak. -
Tegnap is jött rá egy BASH frssítés meg ma is.
Csak a rootolt Android és jailbreakelt iOS lehet érintett.
Új hozzászólás Aktív témák
it Különlegesen súlyos sebezhetőséget fedeztek fel, mely sokmillió eszközt érinthet a világon. A javítások készülnek, de máris egyre többen kérdezik meg: hogyan maradhatott észrevétlen ez a hiba több mint húsz éven át? Elsősorban az otthoni eszközök, okostelefonok, routerek vannak nagy veszélyben.
- Mac Mini M1 8GB 512GB SSD + INGYEN KISZÁLLÍTÁS
- HP EliteBook 845 G8 Tartós Fémházas Laptop 14" -60% Ryzen 5 Pro 5650U 6mag 16/512 FHD IPS Matt LTE
- HP EliteBook 845 G7 Fémházas Laptop 14" -45%Ryzen 5 PRO 4650U 16/512 FHD IPS SURE VIEW
- HP Elitebook 840 G8 i5 1145G7 / 32GB / 512GB / hibátlan!
- Nethome Plus, klíma wifi modul
Állásajánlatok
Cég: HC Pointer Kft.
Város: Pécs
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest