|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от opennews (??) on 08-Фев-17, 12:10 | ||
В командном интерпретаторе Bash выявлена уязвимость (http://openwall.com/lists/oss-security/2017/02/07/9) (CVE-2017-5932 (https://security-tracker.debian.org/tracker/CVE-2017-5932)), которая может быть использована (https://github.com/jheyens/bash_completion_vuln/blob/master/...) для выполнения своего кода при выполнении операций автодополнения ввода клавишей табуляция. Проблема затрагивает ветку Bash 4.4. Исправление пока доступно только в виде патча (http://git.savannah.gnu.org/cgit/bash.git/commit/?id=4f747ed...). | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Уязвимость в реализации автодополнения ввода в Bash" | +1 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 12:10 | ||
А в чём практический смысл? Если я уже нахожусь на сервере и могу пользоваться кнопкой tab, то что мешает мне просто запустить скрипт без автодополнения? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Уязвимость в реализации автодополнения ввода в Bash" | +13 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 12:17 | ||
Можно оставить такой файл в системе и надеяться, что администратор под рутом нажмёт на таб. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
4. "Уязвимость в реализации автодополнения ввода в Bash" | +1 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 12:29 | ||
Администратор под рутом не должен запускать скрипты, которые можно было редактировать обычным пользователем. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
5. "Уязвимость в реализации автодополнения ввода в Bash" | +13 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 12:47 | ||
так он не узнает что запустил скрипт)) | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
9. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от Michael Shigorin (ok) on 08-Фев-17, 13:11 | ||
> А в чём практический смысл? | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
19. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 14:21 | ||
> дистрибутивы, где раздают беспарольное sudo, например. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
22. "Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 15:20 | ||
Он как бы специализированный. И кстати в режиме LiveUSB в Ubuntu есть sudo, тоже беспарольный. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
10. "Уязвимость в реализации автодополнения ввода в Bash" | –10 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 13:18 | ||
традиционный опеннет - читать по-английски люди не умеют, но новость ляпнуть норовят. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
11. "Уязвимость в реализации автодополнения ввода в Bash" | +6 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 13:27 | ||
Знатно ты в лужу газанул. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
14. "Уязвимость в реализации автодополнения ввода в Bash" | +1 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 13:33 | ||
... что, впрочем, не отменяет необходимости читать оригинал. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
15. "Уязвимость в реализации автодополнения ввода в Bash" | +4 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 13:36 | ||
> от простого нажатия tab ничего интересного в твоей системе не произойдет. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
20. "Уязвимость в реализации автодополнения ввода в Bash" | –3 +/– | |
Сообщение от пох on 08-Фев-17, 14:45 | ||
> this file will execute shell code without any additional actions taken." | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
21. "Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 15:18 | ||
Вон выше есть код для проверки. Собрал bash и проверил, работает как описано. | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
23. "Уязвимость в реализации автодополнения ввода в Bash" | –4 +/– | |
Сообщение от . on 08-Фев-17, 15:57 | ||
> Вон выше есть код для проверки. Собрал bash и проверил, работает как описано. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
17. "Уязвимость в реализации автодополнения ввода в Bash" | +2 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 13:46 | ||
Написано, что запускать не нужно, достаточно tab нажать. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
18. "Уязвимость в реализации автодополнения ввода в Bash" | +3 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 13:51 | ||
Это ты не так понял, в новости всё правильно написано. Для запуска кода достаточно нажать tab, не нажимая enter. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
13. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от ryoken (ok) on 08-Фев-17, 13:31 | ||
> В командном интерпретаторе Bash выявлена уязвимость (http://openwall.com/lists/oss-security/2017/02/07/9) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
16. "Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 13:42 | ||
> Ну хоть su без дырок? | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
24. "Это просто непростительно, дайте нам другие программы!" | –1 +/– | |
Сообщение от Марицуми on 08-Фев-17, 15:58 | ||
На что переходить теперь, на zsh? Чтобы поменьше решета. А то шеллшок на шеллшоке сидит в самом деле. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
25. "Это просто непростительно, дайте нам другие программы!" | –3 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 17:05 | ||
О, моя жена любит делать себе шеллак в салоне красоты | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
27. "Это просто непростительно, дайте нам другие программы!" | –1 +/– | |
Сообщение от пох on 08-Фев-17, 18:31 | ||
> На что переходить теперь, на zsh? Чтобы поменьше решета. | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
32. "Это просто непростительно, дайте нам другие программы!" | +2 +/– | |
Сообщение от Марицуми on 08-Фев-17, 19:48 | ||
Сабжевая уязвимость не в bash-completion, а именно в самом голом bash 4.4 с тупым автодополнением по filename/PATH. | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
39. "Это просто непростительно, дайте нам другие программы!" | –1 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 21:00 | ||
> В GNU вообще слышали про юнит-тесты, всякое такое? | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
41. "Это просто непростительно, дайте нам другие программы!" | +1 +/– | |
Сообщение от пох on 08-Фев-17, 23:47 | ||
> Сабжевая уязвимость не в bash-completion, а именно в самом голом bash 4.4 с тупым | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
26. "Уязвимость в реализации автодополнения ввода в Bash" | –7 +/– | |
Сообщение от Michael Shigorin (ok) on 08-Фев-17, 17:59 | ||
"В альте старый баш", верещали они... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
28. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от annual slayer on 08-Фев-17, 19:11 | ||
альт распологал инсайдерской информацией об этой уязвимости? | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
29. "Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от Michael Shigorin (ok) on 08-Фев-17, 19:23 | ||
В данном разе, как понимаю, нет. | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
42. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от Линукс еще не готов on 09-Фев-17, 05:12 | ||
А почему в ал те баш а не какой нибудь zsh | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
45. "Уязвимость в реализации автодополнения ввода в Bash" | –2 +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 09-Фев-17, 07:58 | ||
> А почему в ал те баш а не какой нибудь zsh | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
47. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от Michael Shigorin (ok) on 09-Фев-17, 16:05 | ||
>> А почему в ал те баш а не какой нибудь zsh | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
49. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от пох on 10-Фев-17, 00:17 | ||
ты лучше скажи, на что менять /bin/sh ? Учитывая миллион кривых скриптов (да хоть в тех же rpm'ах) которые радостно развалятся если его заменить чем-то недостаточно похожим на bash. | ||
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору |
51. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от Michael Shigorin (ok) on 10-Фев-17, 00:47 | ||
> ты лучше скажи, на что менять /bin/sh ? | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
52. "Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от пох on 10-Фев-17, 12:16 | ||
> У нас это собранный по минимуму bash3 | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
53. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от Michael Shigorin (ok) on 10-Фев-17, 12:36 | ||
>> У нас это собранный по минимуму bash3 | ||
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору |
54. "Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от Аноним (??) on 11-Фев-17, 16:41 | ||
Почему никто уничижительно не вопит про "те, кто пишет #!/bin/bash, а не #!/usr/bin/env bash" ? Что случилось с opennet-ом? | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
37. "Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 20:33 | ||
Кстати: "культура" коммитов удивительно уродская для такого проекта. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
50. "Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от пох on 10-Фев-17, 00:18 | ||
> Кстати: "культура" коммитов удивительно уродская для такого проекта. | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
40. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 22:32 | ||
Так не работает же. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
43. "Уязвимость в реализации автодополнения ввода в Bash" | +/– | |
Сообщение от Аноним (??) on 09-Фев-17, 05:37 | ||
Может потому, что в 4.4.11(1) исправили? | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
46. "Уязвимость в реализации автодополнения ввода в Bash" | –1 +/– | |
Сообщение от Аноним (??) on 09-Фев-17, 13:55 | ||
это вам не systemd, это хорошая, отлаженная система | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |