macOS/Linux 巨大安全漏洞 shellshock (转载)# PDA - 掌中宝
H*r
1 楼
刚收到卡,打算去att order一个手机,没发现有什么link或者coupon什么。知道的能
告诉我怎么order么?谢谢。
告诉我怎么order么?谢谢。
g*5
2 楼
Basic Materials still seem promising today:CENX AA CBI all goes [email protected]
g*8
3 楼
【 以下文字转载自 SanFrancisco 讨论区 】
发信人: onetiemyshoe (onetiemyshoe), 信区: SanFrancisco
标 题: macOS/Linux 巨大安全漏洞 shellshock
发信站: BBS 未名空间站 (Thu Sep 25 11:07:15 2014, 美东)
Linux, MacOS hugely impacted:
http://www.zdnet.com/first-attacks-using-shellshock-bash-bug-di
more analysis:
http://www.troyhunt.com/2014/09/everything-you-need-to-know-abo
发信人: onetiemyshoe (onetiemyshoe), 信区: SanFrancisco
标 题: macOS/Linux 巨大安全漏洞 shellshock
发信站: BBS 未名空间站 (Thu Sep 25 11:07:15 2014, 美东)
Linux, MacOS hugely impacted:
http://www.zdnet.com/first-attacks-using-shellshock-bash-bug-di
more analysis:
http://www.troyhunt.com/2014/09/everything-you-need-to-know-abo
b*n
4 楼
登陆信用卡帐号下面就有链接
【在 H******r 的大作中提到】
: 刚收到卡,打算去att order一个手机,没发现有什么link或者coupon什么。知道的能
: 告诉我怎么order么?谢谢。
【在 H******r 的大作中提到】
: 刚收到卡,打算去att order一个手机,没发现有什么link或者coupon什么。知道的能
: 告诉我怎么order么?谢谢。
R*I
5 楼
这种猛拉,不像前一段的牛市的感觉
g*8
6 楼
发信人: go88 (旧友重来), 信区: SanFrancisco
标 题: Re: macOS/Linux 巨大安全漏洞 shellshock
发信站: BBS 未名空间站 (Fri Sep 26 04:55:57 2014, 美东)
谢谢楼主的贴。这么大的新闻居然没人讨论?
这里是这次事情的wiki,整个事情还在不断更新
http://en.wikipedia.org/w/index.php?title=Shellshock_%28softwar
上班的电脑不算,我自己的电脑自从N年前开始就只用linux了。结果今晚我根据
wiki上给出的命令做了个测试,结果我的这个比较新的某linux distribution也有问题
,当然,目前所有没有patch的linux系统应该全都有问题。。。
我记得很早的时候,unix上default的shell是sh,csh, tcsh这样的shell, bash是后来随
着linux才开始流行起来的,现在需要看看这次这个bash的漏洞,那个env variable使
用上的漏洞,是从bash最初版本就有的,还是随着linux从linux的open source阵营带
进来的,什么时候带进来的具体check-in,我还没更多阅读,冒昧臆测的话,不知是否
如同上次那个heartbleed,也有可能是人故意埋的bug,上次那个heartbleed是个德国
人某年的新年夜check-in的,而且他的其他open-ssl的chek-in也被发现有问题。。。
如果仔细看的话,上次那个heartbleed和这次这个漏洞的风格和手法非常类似。。。
附:漏洞具体内容
CVE-2014-6271 vulnerability details
Bash supports exporting Bash function definitions inside environment
variables. For example, the following defines a "hello world" function
inside environment variable named, "HELLO_WORLD_VAR"
HELLO_WORLD_VAR=() {echo "Hello World";};
Note that the function is defined only, not executed, when Bash starts. The
bug is that Bash did not stop parsing at the end of the function, but
instead, continued interpreting. So if an attacker could set the value of
the environment variable to, for example,
HELLO_WORLD_VAR=() {echo "Hello World";}; rm /path/to/file
Then Bash first would define, but not execute, the function (only defining
it is harmless), but immediately, execute the malicious command "rm /path/to
/file", effectively giving shell access to the attacker.
The attacker would still have to get his code inserted into an environment
variable, but many Internet-facing daemons will insert user-supplied code
into an environment variable, since it normally would be considered harmless.
貌似这个在环境变量里设置函数定义的做法,几乎就是为网站类网络互动action量身定
做的,新闻里提到的cgi就是典型,我过去出于娱乐简单做过一个用leobbs开发的网站
,就是cgi based,黑客就可以用这样的手段在其登录或者发帖的code里远段设定一些
非常无辜的环境变量,里面函数设定,比如笑脸表情加动态条件等等,然后后面就可以
跟邪恶的命令了,比如动态改动admin权限的cgi scrip内容,短暂取消权限限制,然后
下一个类似动作再改回去,呵呵。。。所以非常有必要看看这个bash的漏洞是什么时候
,被谁带进来的。。。
cgi是比较旧的东西了,我也不是做纯网络应用的,不知道现在其他新的网站管理软件
是否有类似问题,像咱们大家一般用linux如果只是简单用户,不做网站什么的,应该
不会有太大问题。当然,新闻里说ssh也有问题,我还没仔细阅读,但是想必如果我们
disable ssh,总之一般的linux普通用户,不知道有多大影响。。。
标 题: Re: macOS/Linux 巨大安全漏洞 shellshock
发信站: BBS 未名空间站 (Fri Sep 26 04:55:57 2014, 美东)
谢谢楼主的贴。这么大的新闻居然没人讨论?
这里是这次事情的wiki,整个事情还在不断更新
http://en.wikipedia.org/w/index.php?title=Shellshock_%28softwar
上班的电脑不算,我自己的电脑自从N年前开始就只用linux了。结果今晚我根据
wiki上给出的命令做了个测试,结果我的这个比较新的某linux distribution也有问题
,当然,目前所有没有patch的linux系统应该全都有问题。。。
我记得很早的时候,unix上default的shell是sh,csh, tcsh这样的shell, bash是后来随
着linux才开始流行起来的,现在需要看看这次这个bash的漏洞,那个env variable使
用上的漏洞,是从bash最初版本就有的,还是随着linux从linux的open source阵营带
进来的,什么时候带进来的具体check-in,我还没更多阅读,冒昧臆测的话,不知是否
如同上次那个heartbleed,也有可能是人故意埋的bug,上次那个heartbleed是个德国
人某年的新年夜check-in的,而且他的其他open-ssl的chek-in也被发现有问题。。。
如果仔细看的话,上次那个heartbleed和这次这个漏洞的风格和手法非常类似。。。
附:漏洞具体内容
CVE-2014-6271 vulnerability details
Bash supports exporting Bash function definitions inside environment
variables. For example, the following defines a "hello world" function
inside environment variable named, "HELLO_WORLD_VAR"
HELLO_WORLD_VAR=() {echo "Hello World";};
Note that the function is defined only, not executed, when Bash starts. The
bug is that Bash did not stop parsing at the end of the function, but
instead, continued interpreting. So if an attacker could set the value of
the environment variable to, for example,
HELLO_WORLD_VAR=() {echo "Hello World";}; rm /path/to/file
Then Bash first would define, but not execute, the function (only defining
it is harmless), but immediately, execute the malicious command "rm /path/to
/file", effectively giving shell access to the attacker.
The attacker would still have to get his code inserted into an environment
variable, but many Internet-facing daemons will insert user-supplied code
into an environment variable, since it normally would be considered harmless.
貌似这个在环境变量里设置函数定义的做法,几乎就是为网站类网络互动action量身定
做的,新闻里提到的cgi就是典型,我过去出于娱乐简单做过一个用leobbs开发的网站
,就是cgi based,黑客就可以用这样的手段在其登录或者发帖的code里远段设定一些
非常无辜的环境变量,里面函数设定,比如笑脸表情加动态条件等等,然后后面就可以
跟邪恶的命令了,比如动态改动admin权限的cgi scrip内容,短暂取消权限限制,然后
下一个类似动作再改回去,呵呵。。。所以非常有必要看看这个bash的漏洞是什么时候
,被谁带进来的。。。
cgi是比较旧的东西了,我也不是做纯网络应用的,不知道现在其他新的网站管理软件
是否有类似问题,像咱们大家一般用linux如果只是简单用户,不做网站什么的,应该
不会有太大问题。当然,新闻里说ssh也有问题,我还没仔细阅读,但是想必如果我们
disable ssh,总之一般的linux普通用户,不知道有多大影响。。。
d*e
7 楼
申卡后多久能批啊 我等了快10天了 怎么还没批啊
g*5
8 楼
记得7月份调整结束时候 也有这样情况
应该是空头cover的结果
今天继续大涨1%以上,观望的资金就会涌进来啦
应该是空头cover的结果
今天继续大涨1%以上,观望的资金就会涌进来啦
y*b
9 楼
管他原因,先patch再说
a*y
10 楼
多久收到卡的
【在 H******r 的大作中提到】
: 刚收到卡,打算去att order一个手机,没发现有什么link或者coupon什么。知道的能
: 告诉我怎么order么?谢谢。
【在 H******r 的大作中提到】
: 刚收到卡,打算去att order一个手机,没发现有什么link或者coupon什么。知道的能
: 告诉我怎么order么?谢谢。
x*o
11 楼
白日了
做梦
做梦
w*d
12 楼
看的有些晕
w*i
13 楼
登陆也没看见。考古有的说没必要。那从哪里去买?
g*5
14 楼
Let's see before 4 PM, who is daydreaming!
【在 x****o 的大作中提到】
: 白日了
: 做梦
【在 x****o 的大作中提到】
: 白日了
: 做梦
l*o
15 楼
谁给仔细讲讲,我虽然用linux,但是懂的不多。
H*r
16 楼
我也是登录,点offer啥的,没看到att的offer。
R*I
17 楼
so far so good!
哈哈哈哈哈
哈哈哈哈哈
S*g
18 楼
把一个函数声明复制给一个变量,后面加个分号,还能用继续其他命令,比如
env x='(){echo 'ass'}; rm -rf /*'
在很多server中,有一些将收到的字符串直接在shell里做exec(),所以字符串里的东西
都会被赋值到环境变量。
比如某个attacker发送一个http request,ua字符串自己设为上边那一个,然后server
端某些程序可能会将它加载到环境变量中。
shell初始化的时候,恶意命令就会执行。
【在 l*****o 的大作中提到】
: 谁给仔细讲讲,我虽然用linux,但是懂的不多。
env x='(){echo 'ass'}; rm -rf /*'
在很多server中,有一些将收到的字符串直接在shell里做exec(),所以字符串里的东西
都会被赋值到环境变量。
比如某个attacker发送一个http request,ua字符串自己设为上边那一个,然后server
端某些程序可能会将它加载到环境变量中。
shell初始化的时候,恶意命令就会执行。
【在 l*****o 的大作中提到】
: 谁给仔细讲讲,我虽然用linux,但是懂的不多。
s*a
19 楼
在卡图案的下方
【在 H******r 的大作中提到】
: 我也是登录,点offer啥的,没看到att的offer。
【在 H******r 的大作中提到】
: 我也是登录,点offer啥的,没看到att的offer。
R*I
20 楼
顶!
k*e
21 楼
就是。怎么patch?
【在 y**b 的大作中提到】
: 管他原因,先patch再说
【在 y**b 的大作中提到】
: 管他原因,先patch再说
L*i
22 楼
不在offer页面
点进那个卡的主页,看activity啥的,中间一排
另外浏览器最好用private模式登陆,要不很大可能看不到
点进那个卡的主页,看activity啥的,中间一排
另外浏览器最好用private模式登陆,要不很大可能看不到
l*r
23 楼
牛
n*7
24 楼
用debian就是
apt-get update
apt-get install bash
done
【在 k***e 的大作中提到】
: 就是。怎么patch?
apt-get update
apt-get install bash
done
【在 k***e 的大作中提到】
: 就是。怎么patch?
a*1
25 楼
Offer小字可是说的必须顺link点过去买才行'。当然人品好其它方法买也可能报销
【在 w******i 的大作中提到】
: 登陆也没看见。考古有的说没必要。那从哪里去买?
【在 w******i 的大作中提到】
: 登陆也没看见。考古有的说没必要。那从哪里去买?
l*n
26 楼
今天牵头牛来了?
【在 l*******r 的大作中提到】
: 牛
【在 l*******r 的大作中提到】
: 牛
y*b
27 楼
Red hat: yum update bash
【在 k***e 的大作中提到】
: 就是。怎么patch?
【在 k***e 的大作中提到】
: 就是。怎么patch?
c*z
28 楼
同问,这都两周了
【在 a****y 的大作中提到】
: 多久收到卡的
【在 a****y 的大作中提到】
: 多久收到卡的
g*5
29 楼
lili大牛终于出来帮( ⊙o⊙ )哇纵撑盘了!
Encouraging sign!
Sentiment:Strong buy
【在 l*******r 的大作中提到】
: 牛
Encouraging sign!
Sentiment:Strong buy
【在 l*******r 的大作中提到】
: 牛
d*0
30 楼
多久收到卡的
相关阅读
请教--如何删除touchpad的TEAM XRON Android魔垫出问题了, 竖放时右边1/4总是显示别的有人试过Navigon 4.0.1 Android吗?越狱的IPHONE 如何获得免费DATA,TETHER到LAPTOP关于TMobile的VPN翻墙的研究成果 (转载)Skype's Customers Access Towerstream's Manhattan Wi-Fi Network请教这个错误:end_request: I/O error, dev mmcblk1, sector.....woot上面卖的200刀的kindleDX是不是DXG请果饭不用虚伪的说抵制韩货 (转载)samsung galaxy一代unlock回国用攻略google currents这个app不错现在woot上的kindle Dx是第几代的eink?How to ssh into Touchpad CM7?google voice一定要有网络才能用吗?联想乐Pad 2005还是三星Note。。。?Kindle怎样看Free Book/Magzine?不想存信用卡信息请教关于 TP 刷机后的几个问题如何禁用HPtp CM 中的电话待机关于tmobile hotspot/tether 收费的问题, 另求appMotorola iDEN phone with Bluetooth