نویسنده موضوع: حفره‌ی امنیتی Bash (دفعات بازدید: 6723 بار)

jackshepherd · « **پاسخ #15 :** 04 مهر 1393، 02:48 ب‌ظ »

پست اخری رو خوندم جالب و تاثییر گذار بود.فقط دو تا سوال:
1-الان با این توصیفات به سمت بهتر شدن لینوکس حرکت می کنیم یا هیمنه و ابهت لینوکس میشکنه.؟
2-متخصان ردهت نمی تونستند اول مشکل رو, مثلا به توزیع های پرطرفدار گنو/لینوکس بگند تا بعد از حل شدن مشکل موضوع رو رسانه ای کنند.؟

hira_m2 · « **پاسخ #16 :** 04 مهر 1393، 03:28 ب‌ظ »

نقل‌قول از: jackshepherd در 04 مهر 1393، 02:48 ب‌ظ

پست اخری رو خوندم جالب و تاثییر گذار بود.فقط دو تا سوال:
1-الان با این توصیفات به سمت بهتر شدن لینوکس حرکت می کنیم یا هیمنه و ابهت لینوکس میشکنه.؟
2-متخصان ردهت نمی تونستند اول مشکل رو, مثلا به توزیع های پرطرفدار گنو/لینوکس بگند تا بعد از حل شدن مشکل موضوع رو رسانه ای کنند.؟

همیشه در حال بهتر شدن هستیم. ابهت لینوکس نمی‌شکنه. نرم‌افزارهای غیر آزاد شاید باگهایی خیلی بدتر داشتن و بدون سروصدا حلش کردن و یا هنوز هم دارن کسی پی نبرده. توی ویندوز هنوز باگهایی وجود داره که همه خبر دارن و رفع نشدن.
هیچ چیزی بدون باگ نیست حتما باگ وجود داره.
نکته مثبت اینه که در زودترین زمان ممکن بروزرسانی برای رفع مشکل اومده. در حالی که وقتی ویندوز رو نگاه می‌کنیم خیلی وقتا بعد از چند ماه بروزرسانی برای باگ‌ها منتشر می‌شه.
این که باگ این طوری اعلام شده هم خوبه هم بد شاید یک برنامه نویس در یه گوشه جهان یه روش خیلی کارامدتر از روش‌هایی که متخصصها ارائه دادن پیدا کنه و ارائه بده و یا یکی خیلی سریعتر مشکل رو حل کنه. رسانه‌ای شدن موضوع هم باعث شده همه خیلی زود سیستم‌ها رو ابدیت کنن.
من خودم هم شب سیستم رو ابدیت کردم هم الان هر دو بارم ابدیت برای بش اومده بود

jackshepherd · « **پاسخ #17 :** 04 مهر 1393، 05:02 ب‌ظ »

سپاس دوست عزیز.

CodeR · « **پاسخ #18 :** 04 مهر 1393، 06:02 ب‌ظ »

نقل‌قول

اما بسیاری از افراد نیز بر این باور هستند که این وصله‌ها تنها می‌تواند راه‌حلی موقتی برای خریدن زمان به منظور مقابله‌ی جدی‌تر با این مساله باشد.

یعنی مشکل کامل حل نشده ؟

امین - am1n · « **پاسخ #19 :** 04 مهر 1393، 09:45 ب‌ظ »

به سمت بهتر شدن ...

امروز عصر این میل رو از FSF گرفتم : لینک

« یک آسیب‌پذیری مهم در نرم‌افزار آزاد bash کشف شده. جدی‌ترین مشکل‌ها حل شده و یک اصلاح کامل در پیش است ... تمام استفاده کنندگان bash سریعا باید بروزرسانی کنند ...»

« آزادی نرم‌افزار یک پیش شرط برای محاسبات امن است؛ بررسی کد و کشف نقاط آسیب پذیر را تضمین می‌کند و اگر یک آسیب‌پذیری جدید کشف شود، یک ورژن قابل اطمینان و جدید به وجود می‌آید. آزادی نرم‌افزار شما، کدهای بدون باگ را گارانتی نمی‌کند! نرم‌افزار‌های آزاد هم همینطور ! باگ‌ها بدون توجه به لایسنس وجود دارند، اما وقتی یک باگ در یک نرم‌افزار آزاد کشف شد، هر کسی «اجازه»، «حق» و متن برنامه را دارد تا مشکل را بر طرف کند. این مسئله باعث می‌شود مشکل فورا و آزادانه برای هر کسی که به آن نیاز دارد بر طرف شود، بنابراین، این آزادی برای محاسبات امن و علمی-اخلاقی بسیار مهم است. »

«... نرم‌افزارهای غیر‌آزاد بر پایه یک مدل توسعه‌ی ناعادلانه هستند که آزادی پایه‌ای کابران برای کنترل رایانه‌های خودشان را نقض می‌کند، زمانی که متن برنامه پنهان بماند، آسیب‌پذیر است، نه تنها به خاطر باگ‌هایی که معلوم نشده‌اند، بلکه به خاطر ویژگی‌های مخرب و بدکار که به صورت عمدی وجود دارند.
کمپانی‌ها برای پنهان کردن مشکلات جدی می‌توانند کد‌هایشان رو مبهم و مخفی نگه دارند، مستنداتی هست که مایکروسافت اطلاعاتی به سازمان‌های جاسوسی درباره‌ی آسیب‌پذیری ها قبل از اینکه مشکلات را برطرف کند، می‌دهد!

آزادی نرم‌افزار نمی‌تواند امنیت شما را تضمین کند، در بعضی مواقع ممکن‌است از بعضی نرم‌افزارهای غیر آزاد کمتر امن به نظر برسد. همانطور که همه بر سر عواقب بد باگ خون‌ریزی قلبی توافق دارند، اما راه حل این نیست که یک باگ امنیتی را با یک «ناامنی ذاتی عمیق» که توسط نرم‌افزارهای اختصاصی ایجاد شده‌اند عوض کنیم !
راه حل این است که برای بازرسی و بهتر شدن نرم‌افزار‌های آزاد انرژی بگذاریم. (: ... »

احسان☺ · « **پاسخ #20 :** 04 مهر 1393، 09:48 ب‌ظ »

نقل‌قول از: عمو رامین در 04 مهر 1393، 11:50 ق‌ظ

آپدیت bash که اومده بود همین پچ این باگ بود ؟

با دستور :
کد: [انتخاب]
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"خروجی
کد: [انتخاب]
completedیعنی باگ برطرف شده ؟

این کدی که نوشتید اشتباهه فکر کنم.(بسته به سیستم)
/bin/sh به دش اشاره میکنه نه بش.

کد: [انتخاب]

readlink /bin/sh
dash

با تغییرش به /bin/bash فکر کنم درست بشه.

CodeR · « **پاسخ #21 :** 05 مهر 1393، 12:27 ق‌ظ »

نقل‌قول از: احسان☺ در 04 مهر 1393، 09:48 ب‌ظ

نقل‌قول از: عمو رامین در 04 مهر 1393، 11:50 ق‌ظ
آپدیت bash که اومده بود همین پچ این باگ بود ؟

با دستور :
کد: [انتخاب]
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"خروجی
کد: [انتخاب]
completedیعنی باگ برطرف شده ؟
این کدی که نوشتید اشتباهه فکر کنم.(بسته به سیستم)
/bin/sh به دش اشاره میکنه نه بش.
کد: [انتخاب]
readlink /bin/sh dash با تغییرش به /bin/bash فکر کنم درست بشه.

این کد از سایت زومیت کپی شده اگر هم مشکلی هست از سمت نویسندشه

hira_m2 · « **پاسخ #22 :** 05 مهر 1393، 09:38 ق‌ظ »

نقل‌قول از: عمو رامین در 05 مهر 1393، 12:27 ق‌ظ

این کد از سایت زومیت کپی شده اگر هم مشکلی هست از سمت نویسندشه

اقا احسان درست گفتن کد مشکل داره و باید اصلاحش کرد.
در صورتی که خروجی کد completed باشه یعنی باگ رفع شده و اگر هم shellshock رو چاپ کرد هم completed یعنی هنوز سیستم مشکل داره.

Ariodaad · « **پاسخ #23 :** 05 مهر 1393، 01:17 ب‌ظ »

نقل‌قول از: hira_m2 در 05 مهر 1393، 09:38 ق‌ظ

نقل‌قول از: عمو رامین در 05 مهر 1393، 12:27 ق‌ظ
این کد از سایت زومیت کپی شده اگر هم مشکلی هست از سمت نویسندشه

اقا احسان درست گفتن کد مشکل داره و باید اصلاحش کرد.
در صورتی که خروجی کد completed باشه یعنی باگ رفع شده و اگر هم shellshock رو چاپ کرد هم completed یعنی هنوز سیستم مشکل داره.

کد صحیح اینه :

کد: [انتخاب]

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
اگر پاسخ این بود سیستم مشکل داره :

کد: [انتخاب]

vulnerable
 this is a test

و اگر پاسخ این باشه یعنی تا اطلاع ثانوی نسبت به این حفره ایمن هستید:

کد: [انتخاب]

bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test

hira_m2 · « **پاسخ #24 :** 06 مهر 1393، 01:21 ب‌ظ »

نقل‌قول از: عمو رامین در 04 مهر 1393، 06:02 ب‌ظ

نقل‌قول
اما بسیاری از افراد نیز بر این باور هستند که این وصله‌ها تنها می‌تواند راه‌حلی موقتی برای خریدن زمان به منظور مقابله‌ی جدی‌تر با این مساله باشد.
یعنی مشکل کامل حل نشده ؟

این جور که من هر روز دارم ابدیت بش دریافت می‌کنم هنوز کامل رفع نشده

jackshepherd · « **پاسخ #25 :** 06 مهر 1393، 07:10 ب‌ظ »

واسه من فقط این پیام رو نشون داد:

کد: [انتخاب]

this is a test

احسان☺ · « **پاسخ #26 :** 06 مهر 1393، 07:38 ب‌ظ »

دوستان توجه داشته باشید که ظاهرا این کد ها برای آزمایش یه قسمت از این باگه.
راستش بیشتر از این دنبالش نرفتم.البته اگه میرفتم هم فکر نکنم چیز زیادی میفهمیدم.

CodeR · « **پاسخ #27 :** 06 مهر 1393، 08:43 ب‌ظ »

نقل‌قول از: hira_m2 در 06 مهر 1393، 01:21 ب‌ظ

نقل‌قول از: عمو رامین در 04 مهر 1393، 06:02 ب‌ظ
نقل‌قول
اما بسیاری از افراد نیز بر این باور هستند که این وصله‌ها تنها می‌تواند راه‌حلی موقتی برای خریدن زمان به منظور مقابله‌ی جدی‌تر با این مساله باشد.
یعنی مشکل کامل حل نشده ؟

این جور که من هر روز دارم ابدیت بش دریافت می‌کنم هنوز کامل رفع نشده

آره مداوم داره آپدیت میاد در موردش

Ghost Shadow · « **پاسخ #28 :** 23 مهر 1393، 02:06 ب‌ظ »

http://www.itna.ir/vdcjxaet.uqe8xzsffu.html

ح.م · « **پاسخ #29 :** 23 مهر 1393، 10:28 ب‌ظ »

به نظر من مسخرس که وقتی این باگ پیدا شد توی بوق و کرنا کنیم

اصلا اون متخصص ها واسه چی این باگ رو علنی کردن ! آپدیت رو ارائه می دادن صداشون هم در نمی یومد به شرکت های بزرگی هم که این مشکل رو داشتن در گوشی می گفتن نه اینکه هوار بکشن ، امنیت همه رو به خطر بندازن ! ماکروسافت وصله های امنیتی در حد گیگ ارائه می ده

شما عمق فاجعه رو خودتون درک کنید دیگه

صداش در نمی یاد چه باگ های خطرناکی رو پچ کرده ، الان حدود ۸۰ الی ۹۰ درصد گوشی های مبتنی بر لینوکس (آندروید) این باگ رو دارن و خیلی هاشون هم قرار نیست پچ بشن ! خوب قشنگ الان هکرها می دونن باید چی کار کنن

انجمن‌های فارسی اوبونتو

نویسنده موضوع: حفره‌ی امنیتی Bash (دفعات بازدید: 6723 بار)

jackshepherd

پاسخ : حفره‌ی امنیتی Bash

hira_m2

پاسخ : حفره‌ی امنیتی Bash

jackshepherd

پاسخ : حفره‌ی امنیتی Bash

CodeR

پاسخ : حفره‌ی امنیتی Bash

امین - am1n

پاسخ : حفره‌ی امنیتی Bash

احسان☺

پاسخ : حفره‌ی امنیتی Bash

CodeR

پاسخ : حفره‌ی امنیتی Bash

hira_m2

پاسخ : حفره‌ی امنیتی Bash

Ariodaad

پاسخ : حفره‌ی امنیتی Bash

hira_m2

پاسخ : حفره‌ی امنیتی Bash

jackshepherd

پاسخ : حفره‌ی امنیتی Bash

احسان☺

پاسخ : حفره‌ی امنیتی Bash

CodeR

پاسخ : حفره‌ی امنیتی Bash

Ghost Shadow

پاسخ : حفره‌ی امنیتی Bash

ح.م

پاسخ : حفره‌ی امنیتی Bash