Wykryto wysokie zagrożenie dla m.in. Linuksa - bash.

[darekkkk]

Problem dot. także chyba i Ubuntu.
http://forsal.pl/artykuly/824587,inform ... adzen.html

[bear7]

Odpowiedni patch już został wydany: http://www.ubuntu.com/usn/usn-2362-1/

Należy zaktualizować system:

Kod: Zaznacz cały

sudo apt-get update && sudo apt-get dist-upgrade

[rom]

W komentarzach na niebezpieczniku ktoś dał inne polecenie, które podobno nadal działa (tylko trzeba poprawić apostrofy i cudzysłowy, a ja nie wiem które)

Kod: Zaznacz cały

env X=’() { (a)=>’ bash -c “echo echo vuln”; [[ "$(cat echo)" == "vuln" ]] && echo “still vulnerable :(“

[bear7]

Pare sznurków, które pomogą śledzić, kiedy dziura zostanie załatana:
http://www.ubuntu.com/usn/
http://people.canonical.com/~ubuntu-sec ... /main.html
http://people.canonical.com/~ubuntu-sec ... /bash.html
http://people.canonical.com/~ubuntu-sec ... -2014-7169

[darekkkk]

Poproszę o dwa słowa wyjaśnienia.

Odpowiedni patch już został wydan: http://www.ubuntu.com/usn/usn-2362-1/

Należy zaktualizować system:

Kod: Zaznacz cały

sudo apt-get update && sudo apt-get dist-upgrade

wobec:

Pare sznurków, które pomogą śledzić, kiedy dziura zostanie załatana:
http://www.ubuntu.com/usn/
http://people.canonical.com/~ubuntu-sec ... /main.html
http://people.canonical.com/~ubuntu-sec ... /bash.html
http://people.canonical.com/~ubuntu-sec ... -2014-7169

No to jest już ta poprawka czy jej nie ma?

//bear7: Usunąłem zbędne formatowania tekstu - samo pogrubienie wystarczy.

[marcin1982]

Sprawdzenie czy wersja bash jest podatna na ataki spowodowane tom dziurom.

[norvoles]

No to jest już ta poprawka czy jej nie ma?

Jedna poprawka już została wydana, ale nie rozwiązuje problemu w pełni (choć już istnieje co najmniej jedno obejście).

[darekkkk]

No to jest już ta poprawka czy jej nie ma?

Jedna poprawka już została wydana, ale nie rozwiązuje problemu w pełni (choć już istnieje co najmniej jedno obejście).

Dzięki.

[bear7]

No to jest już ta poprawka czy jej nie ma?

Bierzesz się za zakładanie wątku z "niusem", a nawet nie wiesz jak go dobrze śledzić... Kolega rom wyjaśnił - wystarczyło przeczytać ze zrozumieniem:

W komentarzach na niebezpieczniku ktoś dał inne polecenie, które podobno nadal działa

Kolejny patch został już wydany. Wygląda na to, że jest już po dziurze. Po szczegóły odsyłam do wyżej wstawionych sznurków.

[infort]

Potwierdzam, poprawka całkowicie łatająca basha została wydana i jest już dostępna, wystarczy zaktualizować system.

I nie siać proszę paniki. Ta dziura zagrażała przede wszystkim słabo skonfigurowanym serwerom webowym (w typie: admin śpi spokojnie, bo skoro coś działało od zawsze to po co to ruszać). Dla użytkowników indywidualnych właściwie bez znaczenia.

I uwaga ogólna. Jesli ktoś, coś, kiedyś napisał na necie, a zwłaszcza w komentarzach, to nie oznacza, że to prawda objawiona. Na bezpieczeństwie systemów zna się tak naprawdę nieliczna grupa informatyków, reszta udaje, że ma jakieś pojęcie, o całej rzeszy userów nawet nie wspomnę.