انجمن‌های فارسی اوبونتو

خبرها => لینک‌های خبری => نویسنده: mohammad kazemi در 03 مهر 1393، 10:52 ب‌ظ

عنوان: حفره‌ی امنیتی Bash
ارسال شده توسط: mohammad kazemi در 03 مهر 1393، 10:52 ب‌ظ: حفره‌ی امنیتی Bash می‌تواند سال‌ها باعث مشکل امنیتی شود؛ وضعیتی بدتر از خونریزی قلبی؟

کاربران لینوکس و مک امروز بار دیگر با یک غافلگیری ناخوشایند روبرو هستند. یک تیم امنیتی در ردهت از یک باگ ظریف اما خطرناک پرده برداشته که در پوسته‌ی Bash که یک رابط خط فرمان است و بصورت گسترده در سیستم‌های خانواده‌ی یونیکس مورد استفاده قرار می‌گیرد جا خوش کرده.

این نفوذپذیری که باگ Bash یا Shellshock نام گرفته اگر به شیوه‌ی درست مورد دسترسی قرار گیرد می‌تواند به کدهای حمله‌کننده به محض فعال شدن Bash اجازه‌ی اجرا دهد که راه را برای مجموعه‌ی گسترده‌ای از حملات باز خواهد کرد. بدتر از آن اینکه به نظر می‌رسد این باگ در نرم‌افزارهای سازمانی لینوکس و مک برای مدت زمانی طولانی وجود داشته که به موجب آن پچ کردن تمامی سیستم‌های آسیب‌پذیر به مساله‌ای دشوار تبدیل می‌شود.

توزیع‌های ردهت و فدورا لینوکس هم‌اکنون وصله امنیتی مورد نیاز برای رفع این باگ را دریافت کرده‌اند و با بروزرسانی این سیستم‌ها می‌توان آسیب‌پذیری مربوطه را از میان برداشت. انتظار می‌رود به دلیل ماهیت متن‌باز بودن لینوکس و همچنین سازگاری توزیع‌ها با یکدیگر، سایر نسخه‌های لینوکس نیز سریعا نسبت به انتشار وصله‌ی امنیتی مربوطه اقدام کنند. همانطور که گفته شد این باگ کاربران سیستم‌عامل OS X را نیز تحت تاثیر قرار داده و با وجود اینکه اپل هنوز اظهار نظر یا اقدامی برای ارائه‌ی وصله‌ی امنیتی مورد نیاز نکرده، اما یک پست پرسش و پاسخ در Stack Exchange جزئیاتی در خصوص نحوه‌ی بررسی آسیب‌پذیری در سیستم‌عامل مک (احتمالا همین شیوه در لینوکس نیز کاربردی خواهد بود) و نیز اعمال وصله‌ی مورد نیاز در صورت تشخیص در بر دارد. اگرچه ابعاد این مساله هنوز چندان مشخص نیست و به نظر می‌رسد اعمال بروزرسانی مربوط به وصله‌ی این باگ چندان دشوار نیست و بعید به نظر می‌رسد برخلاف باگ «خونریزی قلبی»، سیستم‌های توکار چندان تحت تاثیر باشند، اما عده‌ای نظیر رابرت دیوید گراهام به مقایسه‌ی این دو پرداخته و باگ Bash را گسترده‌تر خوانده است.

منبع: www.zoomit.ir
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: سلمان م. در 03 مهر 1393، 11:02 ب‌ظ: این هم لینک این خبر توی آرس‌تکنیکا:
http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: rezaonline.net در 04 مهر 1393، 01:23 ق‌ظ: متاسفانه سرور بنده هم که اوبونتو 14.04 هست این مشکل رو داره .
نحوه پچ کردن اوبونتو جایی رسمی یا غیر رسمی عنوان نشده ؟
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: nixoeen در 04 مهر 1393، 02:04 ق‌ظ: نحوه پچ کردن این مشکل :)
کد: [انتخاب]
sudo apt-get update sudo apt-get upgrade
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: jackshepherd در 04 مهر 1393، 07:15 ق‌ظ: دوست عزیز ممنون از اطلاع رسانی تون.
اتفاقا امروز اپدیت bash و کرنل 3.13.0.37 برای ابونتو 14.04 اومد.
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: vesal2012 در 04 مهر 1393، 11:01 ق‌ظ: چگونه این مشکل رو میشه رفع کرد؟
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: Ghost Shadow در 04 مهر 1393، 11:03 ق‌ظ: نقل‌قول از: vesal2012 در 04 مهر 1393، 11:01 ق‌ظ
چگونه این مشکل رو میشه رفع کرد؟
آپدیت کن حل میشه :D
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: CodeR در 04 مهر 1393، 11:50 ق‌ظ: آپدیت bash که اومده بود همین پچ این باگ بود ؟

با دستور :
کد: [انتخاب]
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"خروجی
کد: [انتخاب]
completedیعنی باگ برطرف شده ؟
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: vesal2012 در 04 مهر 1393، 12:26 ب‌ظ: آپدیت کردم
بعد کد زیر رو زدم
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
گفته اگه پیفام vulnerable
this is a test بده یعنی سیستمم آسیب پذیره
چکار کنم؟
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: jackshepherd در 04 مهر 1393، 12:34 ب‌ظ: دستور زیر قبل و بعد از اپدیت برای من پیغام completed داد.
کد: [انتخاب]
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: احسان☺ در 04 مهر 1393، 12:37 ب‌ظ: Completed رو که میده.نباید shellshock بنویسه.
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: jackshepherd در 04 مهر 1393، 12:38 ب‌ظ: نقل‌قول از: احسان☺ در 04 مهر 1393، 12:37 ب‌ظ
Completed رو که میده.نباید shellshock بنویسه.
سپاس دوست عزیز.
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: CodeR در 04 مهر 1393، 12:42 ب‌ظ: نقل‌قول از: احسان☺ در 04 مهر 1393، 12:37 ب‌ظ
Completed رو که میده.نباید shellshock بنویسه.
تشکر
برای من که قبل و بعد آپدیت پیغام completed میداد .
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: احسان☺ در 04 مهر 1393، 12:58 ب‌ظ: نقل‌قول از: nixoeen در 04 مهر 1393، 02:04 ق‌ظ
نحوه پچ کردن این مشکل :)
کد: [انتخاب]
sudo apt-get update sudo apt-get upgrade
نقل‌قول از: rezaonline.net در 04 مهر 1393، 01:23 ق‌ظ
متاسفانه سرور بنده هم که اوبونتو 14.04 هست این مشکل رو داره .
نحوه پچ کردن اوبونتو جایی رسمی یا غیر رسمی عنوان نشده ؟

البته اگه به هر دلیلی نمیخواید کل سیستم رو بروز کنید و تنها پچ کردن این مشکل رو میخواید،میتونید فقط بش رو آپدیت کنید.
کد: [انتخاب]
sudo apt-get update && sudo apt-get install bash
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: mohammad kazemi در 04 مهر 1393، 01:21 ب‌ظ: گزارش‌های جدید در خصوص باگ Bash موسوم به Shellshock وضعیت بدتری پیدا کرده‌اند. آسیب‌های احتمالی ناشی از این باگ رو به گسترش بوده و بسیاری از وصله‌های امنیتی اولیه ناکارآمد به نظر می‌رسند. بر خلاف باگ خونریزی قلبی، حملات اجرا شده با استفاده از باگ Shellshock امکان اجرای از راه دور کدهای مخرب را فراهم می‌کند که به واسطه‌ی آن شخص خرابکار می‌تواند به گسترش بدافزار بپردازد.

اغلب حملات احتمالی با استفاده از این باگ در حقیقت وب‌سرورها و دستگاه‌های شبکه را هدف قرار می‌دهد که البته متخصصان امنیتی مدعی هستند که اپلیکیشن‌های PHP مبتنی بر وب بیشترین احتمال آسیب‌پذیری را در خود دارند. همچنین این احتمال وجود دارد که لوازم خانگی هوشمند و دستگاه‌های مجهز به سیستم‌عامل توکار (embeded) نیز در دراز مدت در مقابل این باگ آسیب‌پذیر باشند چرا که اینگونه دستگاه‌ها معمولا برای دریافت بروزرسانی و وصله‌ی امنیتی سرعت عمل خوش‌نامی ندارند. گزارش‌های اولیه هشدار می‌دهند که ممکن است تعداد بسیار زیادی از دستگاه‌ها در معرض خطر قرار داشته باشند. دیوید جیکوبی از آزمایشگاه امنیتی Kaspersky می‌گوید که "مقیاس واقعی و دقیق مشکل هنوز مشخص و روشن نیست".

در یک سرشماری اولیه، رابرت دیوید گراهام از Errata Security با اجرای یک اسکن آی‌پی محدود، پیش از کرش کردن عملیات اسکن موفق به یافتن 3,000 سیستم آسیب‌پذیر در مقابل این حفره‌ی امنیتی شد. این آزمایش مشخص کرد که وب‌سرورهای توکار فعال بر روی پورت‌های غیرعمومی نیز بطور خاص در ریسک قرار داشته‌اند. چند ساعت پس از آن، گراهام کشف کرد که شخص دیگری نیز در حال استفاده از همین تاکتیک اما با نیت نه چندان خیر بوده است "به نظر می‌رسد شخصی در حال اجرای اسکن گسترده برای پخش کردن بدافزار است، احتمالا آن‌ها پیش از صبح فردا بسیاری از این سیستم‌ها را مورد نفوذ قرار خواهند داد".

نتیجه‌ی این اطلاع رسانی اکنون با عنوان کرم "تشکر، راب!" شناخته می‌شود و متخصصان امنیتی نگران هستند که بسیاری از حملات پیش از نصب وصله‌ی امنیتی توسط مدیران سیستم‌ها صورت گیرند. به دلیل آنکه بسیاری از سخت‌افزارهای شبکه بر مبنای سیستم‌عامل‌های شبه یونیکس فعالیت می‌کنند، بسیاری از روترها و سوئیچ‌هایی که زیربنای اینترنت را شکل داده‌اند در مقابل این حمله آسیب‌پذیر خواهند بود که امکان از کنترل خارج شدن اوضاع را محتمل خواهد کرد. ریچارد استینن می‌گوید "این کدهای مخرب قادر هستند با سرعت بالایی یک بحران اینترنتی از نوع SQL Slammer را ایجاد کنند." و در ادامه به حمله‌ای که در سال 2003 صورت گرفت اشاره می‌کند که به شکل شدیدی موجب کاهش سرعت ترافیک اینترنت شد.

خدای من. این مساله می‌تواند کل اینترنت را برای ساعت‌ها فلج کند. من می‌روم چند دقیقه گوشه‌ی اتاق گریه کنم!

اپراتورهای شبکه تایید کرده‌اند که این باگ هم‌اکنون تحت سواستفاده‌ی هکرها قرار دارد. شبکه‌ی ارائه‌ی محتوای اینترنتی CloudFlare که بخاطر کنترل بخش عظیمی از ترافیک اینترنت شناخته شده است، مجموعه‌ای از اصول دیواره‌ی آتش اپلیکیشن‌های وب را ارائه کرد تا بتواند از وب‌سایت‌های تحت خدمات خود حفاظت کند اما از آن زمان تا کنون، هکرها با استفاده از این ابزار خطرناک جدید مجموعه‌ای گسترده و متنوع از حملات اینترنتی را ترتیب دیده‌اند. جان گراهام از CloudFlare می‌گوید:

ما تا کنون شاهد تلاش هکرها برای دریافت فایل‌های پسورد، دانلود بدافزار به داخل دستگاه‌ها، دریافت دسترسی از راه دور، و... بوده‌ایم. حتی حمله‌ای در جریان بوده که باز و بسته شدن در دیسک CD/DVD سرور را نیز درگیر کرده است!

سخت‌افزارهای شبکه در سطوح بالاتر نیز ممکن است تحت تاثیر آسیب‌پذیری باشند. اشکان سلطانی، محقق و ژورنالیست می‌گوید که هشدار دهنده‌ترین حمله‌ای که تا کنون دیده مربوط به آسیب‌پذیری Bash بوده که در سرویس BIG IP متعلق به F5 رخ داده است که بعنوان یک دروازه‌ی هوشمند میان وب‌اپلیکیشن‌ها و کاربر قرار می‌گیرد. آسیب‌پذیری این سرویس در خارج از محدوده‌ی دسترسی عمومی قرار دارد و برای اجرای حمله‌ی موفق لازم است یک کاربر تایید شده‌ی F5 با سطح دسترسی مشخص باشید؛ اما این مساله نمایانگر سطح بسیار بزرگ‌تر و خطرناک‌تر حملات ناشی از آسیب‌پذیری Bash است. سلطانی‌ می‌گوید:

بسیاری از سیستم‌های شبکه‌ی سطح بالا بر پایه‌ی پلتفرم لینوکس/یونیکس فعالیت می‌کنند که می‌تواند بارها آسیب‌پذیرتر باشد. یک آسیب‌پذیری در تجهیزات هسته‌ای و اصلی شبکه، بسیار مشکل‌زا تر از سیستم تکی یک کاربر است چرا که امکان اجرای حملات ریدایرکت و Man-in-the-middle را فراهم می‌کند.

به عبارتی کوتاه و ساده، ما اکنون شاهد مسابقه‌ای میان جمعیت فعال در حوزه‌ی IT و امنیت و نیز انتشار دهندگان بدافزار هستیم. وصله‌های امنیتی به سرعت برای بسیاری از توزیع‌های لینوکس در دسترس قرار گرفته‌اند اما بسیاری از افراد نیز بر این باور هستند که این وصله‌ها تنها می‌تواند راه‌حلی موقتی برای خریدن زمان به منظور مقابله‌ی جدی‌تر با این مساله باشد. Secunia Security به ارائه‌ی مطلبی پرداخته که مدعی است وصله‌ی ارائه شده توسط گنو (GNU) در حل این مساله ناتوان است. همینطور یکی دیگر از محققان می‌گوید "اگر قرار بود شرط‌بندی کنم، شرط خود را بر روی دوام آوردن بلند مدت این وصله‌ی امنیتی قرار نمی‌دادم."

سیستم‌عامل‌ها و نرم‌افزارهای انحصاری معمولا در مواجهه با اینگونه باگ‌های خطرناک تلاش می‌کنند موضوع را سربسته نگاه داشته و بدون اطلاع‌رسانی و از طریق ارائه‌ی بروزرسانی مربوطه مشکل را به کوچک‌ترین وضعیت عمومی تقلیل دهند. اما به نظر می‌رسد اطلاع‌رسانی سریع متخصصین ردهت در مواجهه با این حفره‌ی امنیتی، در نقطه‌ی عکس موجب اطلاع سریع‌تر هکرها و بحرانی شدن وضعیت شده است.

این که وضعیت موجود در واقع تا این حد خطرناک است یا تنها با جوسازی رسانه‌ای روبرو هستیم بزودی مشخص خواهد شد.
اطمینان حاصل کنید که سریعا سیستم خود را بروزرسانی نمایید. اغلب توزیع‌های مطرح لینوکس نظیر اوبونتو، دبیان و سیستم‌های بر پایه‌ی آن‌ها، و سیستم‌های بر پایه‌ی ردهت و فدورا نظیر CentOS و نیز آرچ و اوپن سوزه و... هم‌اکنون وصله‌ی امنیتی مربوطه را از طریق بروزرسانی در دسترس قرار داده‌اند.
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: jackshepherd در 04 مهر 1393، 02:48 ب‌ظ: پست اخری رو خوندم جالب و تاثییر گذار بود.فقط دو تا سوال:
1-الان با این توصیفات به سمت بهتر شدن لینوکس حرکت می کنیم یا هیمنه و ابهت لینوکس میشکنه.؟
2-متخصان ردهت نمی تونستند اول مشکل رو, مثلا به توزیع های پرطرفدار گنو/لینوکس بگند تا بعد از حل شدن مشکل موضوع رو رسانه ای کنند.؟
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: hira_m2 در 04 مهر 1393، 03:28 ب‌ظ: نقل‌قول از: jackshepherd در 04 مهر 1393، 02:48 ب‌ظ
پست اخری رو خوندم جالب و تاثییر گذار بود.فقط دو تا سوال:
1-الان با این توصیفات به سمت بهتر شدن لینوکس حرکت می کنیم یا هیمنه و ابهت لینوکس میشکنه.؟
2-متخصان ردهت نمی تونستند اول مشکل رو, مثلا به توزیع های پرطرفدار گنو/لینوکس بگند تا بعد از حل شدن مشکل موضوع رو رسانه ای کنند.؟
همیشه در حال بهتر شدن هستیم. ابهت لینوکس نمی‌شکنه. نرم‌افزارهای غیر آزاد شاید باگهایی خیلی بدتر داشتن و بدون سروصدا حلش کردن و یا هنوز هم دارن کسی پی نبرده. توی ویندوز هنوز باگهایی وجود داره که همه خبر دارن و رفع نشدن.
هیچ چیزی بدون باگ نیست حتما باگ وجود داره.
نکته مثبت اینه که در زودترین زمان ممکن بروزرسانی برای رفع مشکل اومده. در حالی که وقتی ویندوز رو نگاه می‌کنیم خیلی وقتا بعد از چند ماه بروزرسانی برای باگ‌ها منتشر می‌شه.
این که باگ این طوری اعلام شده هم خوبه هم بد شاید یک برنامه نویس در یه گوشه جهان یه روش خیلی کارامدتر از روش‌هایی که متخصصها ارائه دادن پیدا کنه و ارائه بده و یا یکی خیلی سریعتر مشکل رو حل کنه. رسانه‌ای شدن موضوع هم باعث شده همه خیلی زود سیستم‌ها رو ابدیت کنن.
من خودم هم شب سیستم رو ابدیت کردم هم الان هر دو بارم ابدیت برای بش اومده بود :o
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: jackshepherd در 04 مهر 1393، 05:02 ب‌ظ: سپاس دوست عزیز.
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: CodeR در 04 مهر 1393، 06:02 ب‌ظ: نقل‌قول
اما بسیاری از افراد نیز بر این باور هستند که این وصله‌ها تنها می‌تواند راه‌حلی موقتی برای خریدن زمان به منظور مقابله‌ی جدی‌تر با این مساله باشد.
یعنی مشکل کامل حل نشده ؟
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: امین - am1n در 04 مهر 1393، 09:45 ب‌ظ: به سمت بهتر شدن ...

امروز عصر این میل رو از FSF گرفتم : لینک (https://fsf.org/news/free-software-fouو ndation-statement-on-the-gnu-bash-shellshock-vulnerability)

« یک آسیب‌پذیری مهم در نرم‌افزار آزاد bash کشف شده. جدی‌ترین مشکل‌ها حل شده و یک اصلاح کامل در پیش است ... تمام استفاده کنندگان bash سریعا باید بروزرسانی کنند ...»

« آزادی نرم‌افزار یک پیش شرط برای محاسبات امن است؛ بررسی کد و کشف نقاط آسیب پذیر را تضمین می‌کند و اگر یک آسیب‌پذیری جدید کشف شود، یک ورژن قابل اطمینان و جدید به وجود می‌آید. آزادی نرم‌افزار شما، کدهای بدون باگ را گارانتی نمی‌کند! نرم‌افزار‌های آزاد هم همینطور ! باگ‌ها بدون توجه به لایسنس وجود دارند، اما وقتی یک باگ در یک نرم‌افزار آزاد کشف شد، هر کسی «اجازه»، «حق» و متن برنامه را دارد تا مشکل را بر طرف کند. این مسئله باعث می‌شود مشکل فورا و آزادانه برای هر کسی که به آن نیاز دارد بر طرف شود، بنابراین، این آزادی برای محاسبات امن و علمی-اخلاقی بسیار مهم است. »

«... نرم‌افزارهای غیر‌آزاد بر پایه یک مدل توسعه‌ی ناعادلانه هستند که آزادی پایه‌ای کابران برای کنترل رایانه‌های خودشان را نقض می‌کند، زمانی که متن برنامه پنهان بماند، آسیب‌پذیر است، نه تنها به خاطر باگ‌هایی که معلوم نشده‌اند، بلکه به خاطر ویژگی‌های مخرب و بدکار که به صورت عمدی وجود دارند.
کمپانی‌ها برای پنهان کردن مشکلات جدی می‌توانند کد‌هایشان رو مبهم و مخفی نگه دارند، مستنداتی هست که مایکروسافت اطلاعاتی به سازمان‌های جاسوسی درباره‌ی آسیب‌پذیری ها قبل از اینکه مشکلات را برطرف کند، می‌دهد!

آزادی نرم‌افزار نمی‌تواند امنیت شما را تضمین کند، در بعضی مواقع ممکن‌است از بعضی نرم‌افزارهای غیر آزاد کمتر امن به نظر برسد. همانطور که همه بر سر عواقب بد باگ خون‌ریزی قلبی توافق دارند، اما راه حل این نیست که یک باگ امنیتی را با یک «ناامنی ذاتی عمیق» که توسط نرم‌افزارهای اختصاصی ایجاد شده‌اند عوض کنیم !
راه حل این است که برای بازرسی و بهتر شدن نرم‌افزار‌های آزاد انرژی بگذاریم. (: ... »
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: احسان☺ در 04 مهر 1393، 09:48 ب‌ظ: نقل‌قول از: عمو رامین در 04 مهر 1393، 11:50 ق‌ظ
آپدیت bash که اومده بود همین پچ این باگ بود ؟

با دستور :
کد: [انتخاب]
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"خروجی
کد: [انتخاب]
completedیعنی باگ برطرف شده ؟
این کدی که نوشتید اشتباهه فکر کنم.(بسته به سیستم)
/bin/sh به دش اشاره میکنه نه بش.
کد: [انتخاب]
readlink /bin/sh dash با تغییرش به /bin/bash فکر کنم درست بشه.
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: CodeR در 05 مهر 1393، 12:27 ق‌ظ: نقل‌قول از: احسان☺ در 04 مهر 1393، 09:48 ب‌ظ
نقل‌قول از: عمو رامین در 04 مهر 1393، 11:50 ق‌ظ
آپدیت bash که اومده بود همین پچ این باگ بود ؟

با دستور :
کد: [انتخاب]
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"خروجی
کد: [انتخاب]
completedیعنی باگ برطرف شده ؟
این کدی که نوشتید اشتباهه فکر کنم.(بسته به سیستم)
/bin/sh به دش اشاره میکنه نه بش.
کد: [انتخاب]
readlink /bin/sh dash با تغییرش به /bin/bash فکر کنم درست بشه.
این کد از سایت زومیت کپی شده اگر هم مشکلی هست از سمت نویسندشه
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: hira_m2 در 05 مهر 1393، 09:38 ق‌ظ: نقل‌قول از: عمو رامین در 05 مهر 1393، 12:27 ق‌ظ
این کد از سایت زومیت کپی شده اگر هم مشکلی هست از سمت نویسندشه

اقا احسان درست گفتن کد مشکل داره و باید اصلاحش کرد.
در صورتی که خروجی کد completed باشه یعنی باگ رفع شده و اگر هم shellshock رو چاپ کرد هم completed یعنی هنوز سیستم مشکل داره.
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: Ariodaad در 05 مهر 1393، 01:17 ب‌ظ: نقل‌قول از: hira_m2 در 05 مهر 1393، 09:38 ق‌ظ
نقل‌قول از: عمو رامین در 05 مهر 1393، 12:27 ق‌ظ
این کد از سایت زومیت کپی شده اگر هم مشکلی هست از سمت نویسندشه

اقا احسان درست گفتن کد مشکل داره و باید اصلاحش کرد.
در صورتی که خروجی کد completed باشه یعنی باگ رفع شده و اگر هم shellshock رو چاپ کرد هم completed یعنی هنوز سیستم مشکل داره.
کد صحیح اینه :
کد: [انتخاب]
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
اگر پاسخ این بود سیستم مشکل داره :
کد: [انتخاب]
vulnerable this is a test
و اگر پاسخ این باشه یعنی تا اطلاع ثانوی نسبت به این حفره ایمن هستید:
کد: [انتخاب]
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: hira_m2 در 06 مهر 1393، 01:21 ب‌ظ: نقل‌قول از: عمو رامین در 04 مهر 1393، 06:02 ب‌ظ
نقل‌قول
اما بسیاری از افراد نیز بر این باور هستند که این وصله‌ها تنها می‌تواند راه‌حلی موقتی برای خریدن زمان به منظور مقابله‌ی جدی‌تر با این مساله باشد.
یعنی مشکل کامل حل نشده ؟

این جور که من هر روز دارم ابدیت بش دریافت می‌کنم هنوز کامل رفع نشده
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: jackshepherd در 06 مهر 1393، 07:10 ب‌ظ: واسه من فقط این پیام رو نشون داد:
کد: [انتخاب]
this is a test
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: احسان☺ در 06 مهر 1393، 07:38 ب‌ظ: دوستان توجه داشته باشید که ظاهرا این کد ها برای آزمایش یه قسمت از این باگه.
راستش بیشتر از این دنبالش نرفتم.البته اگه میرفتم هم فکر نکنم چیز زیادی میفهمیدم.:D
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: CodeR در 06 مهر 1393، 08:43 ب‌ظ: نقل‌قول از: hira_m2 در 06 مهر 1393، 01:21 ب‌ظ
نقل‌قول از: عمو رامین در 04 مهر 1393، 06:02 ب‌ظ
نقل‌قول
اما بسیاری از افراد نیز بر این باور هستند که این وصله‌ها تنها می‌تواند راه‌حلی موقتی برای خریدن زمان به منظور مقابله‌ی جدی‌تر با این مساله باشد.
یعنی مشکل کامل حل نشده ؟

این جور که من هر روز دارم ابدیت بش دریافت می‌کنم هنوز کامل رفع نشده
آره مداوم داره آپدیت میاد در موردش
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: Ghost Shadow در 23 مهر 1393، 02:06 ب‌ظ: http://www.itna.ir/vdcjxaet.uqe8xzsffu.html
عنوان: پاسخ : حفره‌ی امنیتی Bash
ارسال شده توسط: ح.م در 23 مهر 1393، 10:28 ب‌ظ: به نظر من مسخرس که وقتی این باگ پیدا شد توی بوق و کرنا کنیم :) اصلا اون متخصص ها واسه چی این باگ رو علنی کردن ! آپدیت رو ارائه می دادن صداشون هم در نمی یومد به شرکت های بزرگی هم که این مشکل رو داشتن در گوشی می گفتن نه اینکه هوار بکشن ، امنیت همه رو به خطر بندازن ! ماکروسافت وصله های امنیتی در حد گیگ ارائه می ده ;) شما عمق فاجعه رو خودتون درک کنید دیگه :D صداش در نمی یاد چه باگ های خطرناکی رو پچ کرده ، الان حدود ۸۰ الی ۹۰ درصد گوشی های مبتنی بر لینوکس (آندروید) این باگ رو دارن و خیلی هاشون هم قرار نیست پچ بشن ! خوب قشنگ الان هکرها می دونن باید چی کار کنن :o