[ Dejan Lozanovic @ 25.09.2014. 14:15 ] @
Bushan bash

http://arstechnica.com/securit...le-on-anything-with-nix-in-it/

[ Shadowed @ 25.09.2014. 14:38 ] @
Baš bušan :)
[ Nedeljko @ 26.09.2014. 18:02 ] @
Izvini, a šta je tu bruka? Je li drugi nemaju propuste ili nema zakrpe? Koliko vidim, zakrpljeno je iz odma'.

USB protokol je bušan. Sva računarska industrija ga koristi i nema rešenja, tj. zakrpa nije moguća, tako da će živeti koliko i USB.
[ EArthquake @ 27.09.2014. 08:04 ] @
pa nije bas odmah, bilo je pokusaja , pa su iz drugog, treceg puta uspeli :)

jos jedna potvrda da ona open source krilatica "many eyes make all bugs shallow" trazi dopunu,
to vazi pod uslovom da neko gleda uopste

nakon sto je ovo izaslo, gomila ljudi ce poceti da gleda u bash, pa ce biti gomila bagova
al je moralo nesto ovakvo da se desi da bi krenuli
isto kao s openssl-om skoro...
[ ventura @ 27.09.2014. 09:07 ] @
Ako je napadač već uspeo da stigne do shella, taj bug u bash-u je najmanja briga...
[ Impaler @ 27.09.2014. 09:31 ] @
^ za ovaj bug nemoras imati shell. moguce ga je exploitati i remote.
http://www.youtube.com/watch?v=ArEOVHQu9nk&feature=youtu.be
[ bojan_bozovic @ 27.09.2014. 09:33 ] @
Citat:
ventura: Ako je napadač već uspeo da stigne do shella, taj bug u bash-u je najmanja briga...


Ma nemoj? Kao da nema hostova koji daju shell account, i nema gde je koristan?
[ ventura @ 27.09.2014. 09:37 ] @
Citat:
bojan_bozovic: Ma nemoj? Kao da nema hostova koji daju shell account, i nema gde je koristan?

Nemam pojma... A i ako ima, ti bivaju exploitani svakodnevno i to u više navrata nevezano za ovaj bash exploit, tako da bi ja u širokom luku zaobišao takve hostere...
[ bojan_bozovic @ 27.09.2014. 09:44 ] @
Citat:
ventura: Nemam pojma... A i ako ima, ti bivaju exploitani svakodnevno i to u više navrata nevezano za ovaj bash exploit, tako da bi ja u širokom luku zaobišao takve hostere...


Treba za mod_wsgi/Python, a možda i shared Javu, nisam siguran (ima i to, mada je retkost jer više se koristi VPS/dedicated).
[ Ivan Dimkovic @ 27.09.2014. 09:53 ] @


Ja ne znam sta je tacno bruka ovde.

Jedino moze biti za ljude koji zive u nekom virtuelnom svetu gde softver nema bagove.

Na zalost, fakat zivota je: kompleksan softver dolazi sa bagovima. Uvek ce ih biti i neminovno je da se jednom u par godina nadje i po neka rupetina kao sto je ova.

Ljudi koji misle da su instalacijom Linuxa resili problem sigurnosti su najbolje mete posle clueless Windows korisnika. Zapravo, clueless Windows korisnik ce mozda imati vise srece zato sto ce mu komp doci sa nekim AV-om koji ga mozda zastiti donekle. Clueless Linux korisnik koji isto tako pojma nema ali zamislja da je "ekspert" time sto je instalirao neki click-click-next Linux je jos u vecoj opasnosti zato sto >zamislja< da je zasticen.

Jedino resenje koje, zapravo, nikad ne moze biti 100% sigurno je apsolutna paranoja. Od trcanja samo neophodnih procesa/servisa/daemona, preko otvaranja samo neophodnih portova (dakle, opt-in ne opt-out) pa do fizicke izolacije masina koje nemaju sta da traze na javnom Internetu. I, naravno, konstantno patchovanje softvera.

I sa svim tim se ponekad moze provuci neki exploit, ali su bar sanse minimizovane.
[ bojan_bozovic @ 27.09.2014. 09:55 ] @
^^ Word.
[ Nedeljko @ 27.09.2014. 13:08 ] @
Evo šta mi je stiglo danas. Juče nije bilo, a na testu od pre neki dan sam prošao kao "neranjiv".

bash (4.3-7ubuntu1.3) trusty-security; urgency=medium

* Updated debian/patches/CVE-2014-7169.diff to also patch y.tab.c in
case it doesn't get regenerated when built (LP: #1374207)

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Thu, 25 Sep 2014 21:20:03 -0400

bash (4.3-7ubuntu1.2) trusty-security; urgency=medium

* SECURITY UPDATE: incomplete fix for CVE-2014-6271
- debian/patches/CVE-2014-7169.diff: fix logic in parse.y.
- CVE-2014-7169

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Thu, 25 Sep 2014 02:06:49 -0400

bash (4.3-7ubuntu1.1) trusty-security; urgency=medium

* SECURITY UPDATE: incorrect function parsing
- debian/patches/CVE-2014-6271.diff: fix function parsing in
builtins/common.h, builtins/evalstring.c, subst.c, variables.c.
- CVE-2014-6271
...

[Ovu poruku je menjao Gojko Vujovic dana 28.09.2014. u 16:46 GMT+1]
[ tarla @ 27.09.2014. 21:59 ] @
Citat:
Ivan Dimkovic:

...
Ljudi koji misle da su instalacijom Linuxa resili problem sigurnosti su najbolje mete posle clueless Windows korisnika.


Upravo ako... Posebno mi idu na ganglije ljudi koji za 30-40€ zakupe server, iznabadaju tamo nešto na njemu pa se igraju ozbiljnog servisa... Poslije kriv Linuks i ovaj ili onaj..
[ gandalf @ 29.09.2014. 17:23 ] @
Bug moze da se exploituje remote, poenta je da bilo koji software koji injectuje user podatke kroz env varijable u shell je ranjiv. Ogroman broj programa je indirektno ranjiv.
[ gandalf @ 30.09.2014. 14:00 ] @
Evo lepog primera :))

https://news.ycombinator.com/item?id=8385332
[ aLtipar @ 30.09.2014. 23:50 ] @
Sto se ovog propusta tice, meni su zvanicno javili sledece pre par dana:

"... has become aware of a vulnerability with the Bash shell which is used in many UNIX, Linux and MAC/OSX devices. This vulnerability is officially classified under CVE-2014-6271, CVE-2014-7169 and affects all versions of Bash up to and including version 4.3. The vulnerability allows hackers to gain remote administrative access to these devices. There are patches coming out from vendors to resolve this issue, however the patches do not protect against all scenarios.

If you have a server, appliance and/or a device that uses Bash you need to run this command and check the output to see if the system is vulnerable:
env var='() { ignore this;}; echo vulnerable' bash -c /bin/true

Upon running the above command, an affected version of bash will output "vulnerable".

... network level protection from a lot of these attacks coming from the Internet, however it is important to patch your systems as soon as possible.

More Information about this vulnerability can be found at:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169"


Kao sto je Impaler vec rekao, ovaj propust moze da se eksploatise i preko neta i to bez shell-a. Napad se relativno lako izvodi i trenutno ne postoji patch koji nudi potpunu zastitu. Ovo ima totalno da unisti percepciju Unix servera kao sigurnosno superiornih u odnosu na M$. Heartbleed je bio mala beba u odnosu na ovaj bug. BackTrack 5.3 je takodje ranjiv, upravo sam probao.

Inace, ovaj clanak iz Arstechnica-e navodi: "... found in use by an active exploit against Web servers..." - tu se pre svega misli na Nessus ili mozda Metasploit/Nexpose kombinaciju.
[ plus_minus @ 01.10.2014. 00:36 ] @
Ja mislim da se ovde radi samo o dokazu koliko neki m$ www-fanblogeri jesu svesni da m$ polako gubi bitku na tom polju gde inače žestoko viče i sekira se. Ranjive su samo one distribucije ili linuxi koji su bazirane na nečemu što je bazirano od nečega. Čisto sumanjm da je neki fini CentOS ili dobro konfigurisani debian ranjiv na ovo.
[ aLtipar @ 01.10.2014. 00:48 ] @
@Plus_minus - i Debian i CentOS su ranjivi. Oba brenda su vec izbacila nepotpune patch-eve:

https://lists.debian.org/debia...ty-announce/2014/msg00220.html
http://lists.centos.org/piperm...tos/2014-September/146099.html

Inace, jedan ovakav sistemski bug ne mozes da "pokrijes" dobrom konfiguracijom servera. Jedino da iskljucis sve ranjive servise, ali to onda vise nije server...
[ plus_minus @ 01.10.2014. 01:04 ] @
Majstore o čemu ti pričaš? Znaš li da se bash (kod svih linuxa, pogledaj datume) od tad apdejtovao, ako ne sam, a onda sys/web admin u roku od što pre, pa bar jedno 5 puta do sad.. dakle, svaki aktivni linux, 'normalan' linux.

Citat:

- -------------------------------------------------------------------------
Debian Security Advisory DSA-3032-1 security@debian.org
http://www.debian.org/security/ Florian Weimer
September 24, 2014 http://www.debian.org/security/faq
- -------------------------------------------------------------------------


Citat:

[CentOS] Critical update for bash released today.
Jim Perrin jperrin at centos.org
Wed Sep 24 15:26:24 UTC 2014


A sve i da jeste neki problem, veći problem od svih silnih pedesetak i kusur virusa poznatih za linux, recimo, otići će i ovaj propust u tu kategoriju, kod tih silnih ukoliko nisam u pravu, da je ovo samo jedan stupidni hype te da je opasni bug već prevaziđen .. jer bagova ima skoro pa uvek.
[ aLtipar @ 01.10.2014. 05:46 ] @
Ne mozes ovaj bug da nazivas stupidnim hype-om. Poredjenja radi, kada je objavljen Heartbleed, neki klinci su u roku od tri sata pokrali poverljive podatke iz Kanadske Poreske Uprave, koja je nakon toga iskljucila svoje servere. A ovaj bug je bio dostupan danima i jos uvek na vecini sistema nije ispravljen u celini. Pa evo ti ga najnoviji patch za Mac, izasao je pre nekoliko sati, ali nije ispravio celokupan propust, nego je samo sprecio eksploataciju u 2/3 slucajeva. Naravno da ce svaka ustanova posle jednog ovakvog incidenta dobro razmisliti, barem sto se softvera tice, sta i kako dalje.




[ Nemke_BG @ 01.10.2014. 09:33 ] @
Sta ima da razmatra?

Kao ima veliki izbor na sta drugo ce da predje i sto nikad nece imati slican bug?

Da nece mozda sami da dizu svoj OS?

Sve takve institucije zanima samo jedno, da li je uopste i koliko brzo je izdan patch za to.

P.S. Inace, da slazem se bug nije uopste trivijalan i da je daleko opasniji nego sto je heartbleed bio.
[ EArthquake @ 03.10.2014. 09:19 ] @
For added lulz :



svi zajedno treba da se pokrijemo usima i da cutimo
[ uporna_neznalica @ 03.10.2014. 13:30 ] @
Daleko je od toga da je bug trivijalan.

Ovo je posledica pogresnih izbora koje je Linus vrsio kao tek svrseni student. Prosto je statisticki moralo da dolazi do gresaka.

Inace, ksh, zsh, tsch nisu pogodjeni ovim bagom. Dakle, default shell sva 4 BSD-a i OpenIndiana nisu pogodjeni bagom.
[ bogdan.kecman @ 05.10.2014. 16:36 ] @
@EArthquake to na cmd-u nije bug realno i ne moze da se exploituje, nijedan servis na widowsu ne koristi cmd tako sto mu upucava vrednosti u env

@ventura, ako teras apache + suexec -> bilo ko moze da dobije shell na tvojoj masini, ako teras apache + bilo kakav cgi, ista prica, ako teras bilo koji web server (nginx, khttpd..) koji poziva neki cgi (php, python, perl ...) bilo ko moze da dobije shell na tvojoj masini .. dakle ako pogledamo od web servera nisu busni jedino tomcat, glassfish, wildfly i mozda jos neka sica .. (ok nije ni apache ako teras samo obican mod_php i nista drugo, sve druge kombinacije su busne) ... a kada neko dobije shell na tvojoj masini .. tu ti je dalje vec sve jasno zar ne

meni samo drago sto ja guram tcsh svuda :D
[ Tyler Durden @ 05.10.2014. 17:41 ] @
Da ne pretjerujes malo Bogdane? Kako moze da se dobije shell ako pozivas neki cgi?
Ko bi koristio tako nesto ako je fundamentalno busno kao sto ti kazes?
[ bogdan.kecman @ 05.10.2014. 21:28 ] @
ne preterujem, pogledaj kako radi apache i cgi i bice ti sve jasno,
apache upuca u env ono sto mu dodje u heder i pozove bash ..
najjednostaviniji primer


Code:

wget -U "() { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd" http://neka-adresa/nekiurl




dovoljno je da se nekiurl zove kroz suexec i bum ..
takodje umesto cat /etc/passwd mozes da uradis wget neke svoje skripte
pa onda izvrsis tu svoju skriptu i ona uradi na serveru sta god si
napisao u njoj ..

ono sto shellshok bug ne daje je, ne daje ti privilegiju van one koju
imas, ali to je dovoljno da dobijes shell na remote masini, odatle ces
vec lako dalje .. da ne kazem da ces lagano da dobijes podatke o db
serveru, lokaciju, user, pass i slicno ..

pogledaj npr ovo:
http://blog.sucuri.net/2014/09...ncrease-in-the-wild-day-1.html
[ Tyler Durden @ 05.10.2014. 22:05 ] @
Ah, izvini, ja sam skapirao da pricas nevezano za ovaj propust u bash-u.
U pravu si za ovo.
[ bogdan.kecman @ 05.10.2014. 22:35 ] @
ma vezano za ovaj bug... on je strahovit .. pritom je poznato odavno ..
meni su busili neke servere danima, sve zivo sam probao nisam mogao da
resim problem, onda mi drugar ukrainac rekao zameni bash sa tcsh i neces
imati problem .. pazi to je bilo pre tipa 6-7 godina .. sad voleo bi da
mogu da kazem da sam znao za jadac, ali ocigledno ima njih mnogo koji
jesu ..

inace vec duze vreme teram neke java servere sa nginx ispred i imam
poseban log za nginx koji mi hvata samo vreme, ip, url, refurl i onda to
fail2ban cita i blokira ip-ove koji cimaju url-ove koji imaju u sebi
.php na primer ili mysqladmin ili wp-admin ili bilo sta od tih koje znam
da sigurno nemam ja na serveru, a onda imam poseban moj skript koji za
svaki rotate pravi neki sumarum urlova ... elem ja u ref-url vidjam to
() {.. godinama, nisam imao pojma o cemu je rec ... pogledaj ako imas
stare apache logove sa svojih servera ili ako imas neke sumarije ono %
posete po browser id-u .. ja sam sad kopao neke logove od pre 2 godine
.. i naravno () { je tamo .. neke stvari su mi mnogo jasnije od kada je
objavljen ovaj bug.. naravno posle bitke svi su generali ali zgodno je
pogledati stare logove i videti gde se sve pojavljuje "() {" string ...
sto je najgore mislim da i post deo funkcionise na isti nacin a to nemas
u logovima
[ Tyler Durden @ 06.10.2014. 08:57 ] @
Ja nemam neke super poznate sajtove pa sam tek par pokusaja imao, od kojih su dosta njih nakon sto sam zakrpio server, nekoliko je od nekih sec blogova koji su skenirali pola interneta (blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html) i bilo je nekih koji su pokusali da pokrenu irc botove, ali koliko sam vidio nisu uspjeli.
U svakom slucaju, poprilicna pi*darija.
[ bogdan.kecman @ 06.10.2014. 11:15 ] @
nije ni ovo bilo nista super poznato ... a od 27septembra i na mom blogu
(koji nikako ne moze da se racuna kao poznat) ima preko 1000 entrija u
logu dnevno sa () {
[ buda01 @ 06.10.2014. 21:19 ] @
Jel ovo resava problem:
yum update bash


Kada kazete zamenili ste bash sa tcsh , jel to mislite na default shell u /ets/passwd ?
Kao i u vasim skriptama...
[ tarla @ 07.10.2014. 02:39 ] @
Biće da je Yahoo nagrabusio sa ovim. http://www.futuresouth.us/yahoo_response.jpg
[ jablan @ 07.10.2014. 10:15 ] @
Meh... https://news.ycombinator.com/item?id=8418809
[ bogdan.kecman @ 07.10.2014. 14:57 ] @
uh ovo je jos gore nego sto sam mislio ... imam 3 vrste ip kamera kod kuce SVE su afektirane !!!! naravno nema patch-a
[ aLtipar @ 08.10.2014. 00:38 ] @
E bas to, inostrani izvori tvrde da su hakeri masovno urnisali ne web servere, nego NAS servere i druge uredjaje sa ranjivom *nix platformom na sebi :)
[ bogdan.kecman @ 08.10.2014. 06:59 ] @
skroz je ok sto u 90% sprava (ruter, access point, dv risiver, kablovski
risiver, nas, ip kamera...) imam linux, ono sto mi nije jasno je, koji
ce kameri bash .. on je bre velik i glomazan i ... ima bre onih malih
shellova toliko ...
[ newtesla @ 08.10.2014. 22:54 ] @
Čekbre, jesam li ja dobro skapirao da se na Debianu koristi dash, a ne bash?
[ vidonk @ 12.10.2014. 22:44 ] @
Ogromna je frka ispala sa bashom, da ne povjeruješ, i to tolike god stoji da ne povjeruješ. Ali bolje ikad nego nikad

Ajde da postavimo ovako stvari zamislite da MS razvija/održava bash, pojavi se ovaj bug (da napomenem da ovaj bug može da se eksplatiše na bar 5 različitih načina laički rečeno) i sad nakon određenog vremena
MS zakrpi bash ovaj prvi bug koji se pojavio i svi srećni i zadovoljni, i ko zna da li bi ovi ostali ikad bili otkriveni/zakrpljeni sreća naša što je open-source inače

Jedino mi nije jasno jedna stvar sad se ne sjećam gdje sam tačno pročitao "never intended to be secure" pa me posle ovoga ovakav bug i ne iznenađuje toliko
[ DusanSukovic @ 16.10.2014. 11:11 ] @
Ko vise koristi Linux na serverima? Da li sam nesto propustio? :D

[ Srđan Pavlović @ 25.10.2014. 02:19 ] @
/bin/bash_ga_usrashe
[ Mister Big Time @ 06.11.2014. 08:55 ] @
Posle Heartbleed-a, Shelldock. Neko ocigledno ima stila
[ lega99 @ 26.11.2014. 15:45 ] @
Izgleda da je neko u mom kraju lepo iskoristio taj bug, ruteri nisu azurirani.

Cambridge Industries(Group) Co.,Ltd RTL8xxx CIG WPA-PSK + WPA2-PSK
starting wpa handshake capture on "rxxxx"
new client found: 00:20:00:80:89:09

TP-LINK TECHNOLOGIES CO., LTD. RTL8xxx CIG WPA-PSK + WPA2-PSK
starting wpa handshake capture on "Oxxxx"
new client found: 00:20:00:80:89:09

TP-LINK TECHNOLOGIES CO., LTD. Ralink Wireless Access Point RalinkAPS WPA-PSK + WPA2-PSK TKIP+CCMP
starting wpa handshake capture on "Kxxxx"
new client found: 00:20:00:80:89:09

Tri razlicita rutera, klijent isti, seta covek od rutera do rutera, najverovatnije je i setovao svoju MAC
adresu u belu listu na svakom ruteru.

[Ovu poruku je menjao lega99 dana 26.11.2014. u 17:33 GMT+1]
[ makajislavko @ 20.01.2016. 13:19 ] @
A sada se pojavio novi BAG
A new zero-day vulnerability has been discovered that allows Android or Linux applications to escalate privileges and gain root access, according to a report released this morning by Perception Point.

"This affects all Android phones KitKat and higher," said Yevgeny Pats, co-founder and CEO at security vendor Perception Point.

Any machine with Linux Kernel 3.8 or higher is vulnerable, he said, including tens of millions of Linux PCs and servers, both 32-bit and 64-bit. Although Linux lags in popularity on the desktop, the operating system dominates the Internet, mobile, embedded systems and the Internet of Things, and powers nearly all of the world's supercomputers.

Using this vulnerability, attackers are able to delete files, view private information, and install unwanted programs.

According to Pats, this vulnerability has existed in the Linux kernel since 2012.

Pats said that the Linux team has been notified, and patches should be available and pushed out soon to devices with automatic updates. Perception Point has also created proof of concept code that exploits this vulnerability to gain root access.

http://www.infoworld.com/artic...of-linux-pcs.html#tk.rss_linux
[ lega99 @ 09.01.2017. 13:12 ] @
Exploit samo 9 godina, auuuuu, da li je moguce 9 godina, slucajno sam nabasao na Mint forumu.....

Dirty cow Exploit patches


Postby deepakdeshp » Tue Oct 25, 2016 5:51 pm
Dirty cow is a very serious exploit. From which Mint versions have the
patches rolled out in update manager?
Which are the Mint versions not tequiring a patch?
There must be versions for which the patch may not have rolled out.
The youtube video is quite good. Looks like one can become root easily
and destroy the system or a whole network.
The bug has existed since around 2.6.22 (released in 2007) and was fixed
on Oct 18, 2016.
https://youtu.be/kEsshExn7aE
http://thehackernews.com/2016/10/linux-kernel-exploit.html?m=1