Hi all. Это видели ? https://access.redhat.com/articles/1200223 Как-бы понимаю что у меня фря везде стоит с дефолтным csh-ем, но не сильно ли они преувеличивают проблему? рассказывают про сотни миллионов старых устройств. Только на них давно стоит busybox, проверил - он ошибку выдает, так же проверил на микротике - ему тоже побоку. Кто ж в старое устройство умудрился bash залить - флешки то дорогие были.
Sun, Sep 28, 2014 at 20:34:31, basil wrote about "[uanog] shellshock":
Subject: [uanog] shellshock
Альтернативный термин "bashdoor" мне кажется удобнее.
Hi all. Это видели ? https://access.redhat.com/articles/1200223
Как-бы понимаю что у меня фря везде стоит с дефолтным csh-ем, но не сильно ли они преувеличивают проблему?
Если откуда-то зовётся что-то через "sh -c", то проблема может быть. А это, например, вызовы system() в libc. Иногда в них встраивают логику "если не найдено шелловых метасимволов, разобрать по пробелам и вызвать fork+execl", но чаще зовётся sh -c без раздумий.
рассказывают про сотни миллионов старых устройств. Только на них давно стоит busybox, проверил - он ошибку выдает, так же проверил на микротике - ему тоже побоку.
Там, кажется, ash, а не bash.
Кто ж в старое устройство умудрился bash залить - флешки то дорогие были.
-netch-
Hi!
Кто ж в старое устройство умудрился bash залить - флешки то дорогие были.
Мне кажется, что паника на счёт embedded действительно раздута зря — там редко bash и они обычно не торчат публичными сервисами в интернет. Проблема, скорее, в непредсказуемом количестве софта, который устанавливает переменные окружения на основе внешних данных и делает popen() — начиная от интернет-серверов (tcp/80 на текущий момент не просканил только ленивый; а также привет qmail), заканчивая sip-проксями (https://github.com/zaf/sipshock) и пресловутым dhclient-script. И в шутках про то, что, залив shellshock-код вместо имени на банковскую карточку, можно попробовать завалить процессинг где-то на другом конце планеты, таки может оказаться доля правды. -- ryzh-ripe
Мне кажется, что паника на счёт embedded действительно раздута зря — там редко bash и они обычно не торчат публичными сервисами в интернет.
Проблема, скорее, в непредсказуемом количестве софта, который устанавливает переменные окружения на основе внешних данных и делает popen() — начиная от интернет-серверов (tcp/80 на текущий момент не просканил только ленивый; а также привет qmail), заканчивая sip-проксями ( https://github.com/zaf/sipshock) и пресловутым dhclient-script. И в шутках про то, что, залив shellshock-код вместо имени на банковскую карточку, можно попробовать завалить процессинг где-то на другом конце планеты, таки может оказаться доля правды
про dhcp это была конечно хорошая шутка, но у меня все dhcp-сервера мои. Либо надо его сломать, либо выставить в сетку свой dhcp-сервер про карточку это вы зря - там винда стоит, точнее не так - ничего кроме винды я банкоматах не видел. В общем резюмирую - проблема будет с серверами, настроенными 10 лет тому назад и забытыми под столом у главбуха. Ну так спасибо - будет кому-то дополнительный заработок, а кому-то - урок.
On Sun, Sep 28, 2014 at 08:45:25PM +0300, Valentin Nechayev wrote:
Sun, Sep 28, 2014 at 20:34:31, basil wrote about "[uanog] shellshock":
Subject: [uanog] shellshock
Альтернативный термин "bashdoor" мне кажется удобнее.
Hi all. Это видели ? https://access.redhat.com/articles/1200223
Как-бы понимаю что у меня фря везде стоит с дефолтным csh-ем, но не сильно ли они преувеличивают проблему?
Если откуда-то зовётся что-то через "sh -c", то проблема может быть. А это, например, вызовы system() в libc. Иногда в них встраивают логику "если не найдено шелловых метасимволов, разобрать по пробелам и вызвать fork+execl", но чаще зовётся sh -c без раздумий.
Так во фре баш - совсем не дефолтная штука. хотя sh не проверял :) -- Best regards, Paul Arakelyan.
On Sun, Sep 28, 2014 at 10:44:10PM +0300, Vasiliy P. Melnik wrote:
про dhcp это была конечно хорошая шутка, но у меня все dhcp-сервера мои. Либо надо его сломать, либо выставить в сетку свой dhcp-сервер
про карточку это вы зря - там винда стоит, точнее не так - ничего кроме винды я банкоматах не видел. винда - это фронтенд, а не процессинг. И что ископаемое там может быть - никто не скажет :)
-- Best regards, Paul Arakelyan.
Mon, Sep 29, 2014 at 02:50:02, unisol wrote about "Re: [uanog] shellshock":
Как-бы понимаю что у меня фря везде стоит с дефолтным csh-ем, но не сильно ли они преувеличивают проблему?
Если откуда-то зовётся что-то через "sh -c", то проблема может быть. А это, например, вызовы system() в libc. Иногда в них встраивают логику "если не найдено шелловых метасимволов, разобрать по пробелам и вызвать fork+execl", но чаще зовётся sh -c без раздумий.
Так во фре баш - совсем не дефолтная штука. хотя sh не проверял :)
Уже обнюхали со всех сторон, фрёвый sh не заразен. Кстати, за эти 3 дня 1) выкатили уже третью по счёту версию bash с транка 2) на втором апдейте первой из них фряшники сделали просто - make config _порта_ пишет "включать поиск функций в env?" с умолчанием "не-а". Думаю, после такого перепуга его ещё и проверят вдоль и поперёк. Кстати, программистам на тему глупых ошибок: http://habrahabr.ru/company/pvs-studio/ пацаны, конечно, пиарятся нипадеццки, но коллекция впечатляющая. -netch-
participants (4)
-
Anton Tolchanov -
Paul Arakelyan -
Valentin Nechayev -
Vasiliy P. Melnik