Gisp! Shell Shock.

[BrittaP]

Jeg har det lidt ligesom i de ikke så gode gamle windows dage, hvor jeg konstant var nervøs for div. malware o.a. generel ondskab. Det ser ud til at vi bør være meget urolige, men jeg foretrækker at blive BEroliget. Er der nogen der kan gøre det, please? Fortæl mig at problemet løses ved en opdatering indenfor få timer.

Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

http://www.version2.dk/artikel/linux-og-mac-systemer-ramt-af-omfattende-og-alvorlig-saarbarhed-68779#comments

[Blueeyez]

Har samme følelse, men sidder med et problem.

Problemet er løst i. bash 4.3-7ubuntu1.1
men jeg har bash 4.3.11-(1)
der er jo forskel på . og - ?
i terminalen skriver jeg bash --version
http://www.ubuntu.com/usn/usn-2362-1/

Håber nogen kan uddybe mht sikkerhed

EDIT: åbn en terminal og skriv: env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"

Så burde den skrive stuff 1 gang og så burde du kunne skrive en ny kommando.. Hvis, så er du i sikkerhed

[Christian.Arvai]

Jeg har snakket med jarlen over irc, og ifgl. denne artikel http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html skulle man kunne teste om sårbarheden er på en Ubuntuinstall, ved at kører følgende:

Kode: Vælg alt

env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"

Hvis at resultatet er:

c@c:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"
stuff
c@c:~$

skulle sikkerheden være helt ok.

[Kurt Christensen]

Der sker intet med den kode hos mig?

[Klaus Rasmussen]

Prøv med:

Kode: Vælg alt

bash --version

[Christian.Arvai]

Der sker intet med den kode hos mig?

Hmmm, jeg er på U14.04/64bit. Hvad er du på?

[Kurt Christensen]

Der sker intet med den kode hos mig?

Hmmm, jeg er på U14.04/64bit. Hvad er du på?

Den samme.

[Kurt Christensen]

Prøv med:

Kode: Vælg alt

bash --version

GNU bash, version 4.3.11(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html&gt;

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

[Christian.Arvai]

Der sker intet med den kode hos mig?

Hmmm, jeg er på U14.04/64bit. Hvad er du på?

Den samme.

Mystisk. Jeg prøvede lige en gang mere:

c@c:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"
stuff
c@c:~$

[Christian.Arvai]

Prøv med:

Kode: Vælg alt

bash --version

GNU bash, version 4.3.11(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html&gt;

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Jeg har den samme, så det skulle være fint.

c@c:~$ bash --version
GNU bash, version 4.3.11(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html&gt;

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
c@c:~$

[BrittaP]

Min version er 4.2.45(1)-release (x86_64-pc-linux-gnu), men læste jeg ikke et sted at selv med version 4.3 er man ikke sikker? Jo jeg gjorde.

http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/

Jeg prøvede lige env X="() { :;} ; echo busted" /bin/sh -c "echo stuff", og fik output stuff, men prøvede også env test='() { ignored;}; echo "Vulnerable"' bash -c true, hvor jeg fik outputtet 'vulnerable', så det er sådan lidt 50/50.

[AJenbo]

Problemet er løst i. bash 4.3-7ubuntu1.1
men jeg har bash 4.3.11-(1)
der er jo forskel på . og - ?
i terminalen skriver jeg bash --version

Når der skrives 4.3-7ubuntu1.1 er det i henvisning til pakke versionen og ikke nødvendigvis den version som som programmet skriver. Så tjek i software centeret: bash

[Christian.Arvai]

Jeg har:

Kode: Vælg alt

bash 4.3-7ubuntu1.1

[martin joergensen]

Nu sidder i jo nok på jeres eget lokal netværk, så bare rolig

I de fleste hjem sidder man bag en router og den har som standard "Deny" på udefrakommende forespørgslers.

[Christian.Arvai]

Nu sidder i jo nok på jeres eget lokal netværk, så bare rolig

I de fleste hjem sidder man bag en router og den har som standard "Deny" på udefrakommende forespørgslers.

Jeg tager det skam helt afslappet Men, vi (admins) skal jo lige deltage i denne slags tråde, for det kunne jo være relevant for nogle af brugerne herinde.