LINUX.ORG.RU
ФорумTalks

bash * SECURITY UPDATE

 


0

1

Мда. Башем занялись вплотную и видимо решили задолбать его окончательно.


bash (4.3-7ubuntu1.5) trusty-security; urgency=medium

  * SECURITY UPDATE: incorrect function definition parsing with
    here-document delimited by end-of-file
    - debian/patches/CVE-2014-6277.diff: properly handle closing delimiter
      in copy_cmd.c, make_cmd.c.
    - CVE-2014-6277
  * SECURITY UPDATE: incorrect function definition parsing via nested
    command substitutions
    - debian/patches/CVE-2014-6278.diff: properly handle certain parsing
      attempts in builtins/evalstring.c, parse.y, shell.h, y.tab.c.
    - CVE-2014-6278
  * Updated patches with official upstream versions:
    - debian/patches/CVE-2014-6271.diff
    - debian/patches/CVE-2014-7169.diff
    - debian/patches/variables-affix.diff
    - debian/patches/CVE-2014-718x.diff

 — Marc Deslauriers <marc.deslauriers@ubuntu.com>  Tue, 07 Oct 2014 10:50:12 -0400

★★★★★

Последнее исправление: hbars (всего исправлений: 1)
Интерес к линуксу падает?
Макском, пора бросать лор, я тебе работу нашёл.

Нормальные люди обновились неделю назад, убунтоводы и прочие пакетоловеры ждут, когда пошевелится дядя, и пошевелится ли он вообще.

lenin386 ★★★★
()
Ответ на: комментарий от init_6

Нет конечно. Все нормально.

hbars ★★★★★
() автор топика

Башем занялись вплотную и видимо решили задолбать его окончательно.

Вижу перечисление заплаток, но не переписывание говнокода.

Gotf ★★★
()

решето-lock-in

И ведь не удалишь это решето, от него куча другого софта зависит.

NeXTSTEP ★★
()
Ответ на: комментарий от vel

Это был другой баг.

А этот апдейт, подтверждаю, на минте прилетел только вчера.

anatoly
()
Ответ на: комментарий от lenin386

Ты так говоришь, будто бы опасность бага появляется в момент попададания его в паблик.

anatoly
()
Ответ на: комментарий от lenin386

Да, а те кто собирает сам либо не имеет личной жизни, либо не обновляется минимум по полгода. Да и за всеми критическими обновлениями просто невозможно уследить, иногда когда исправления навешиваются один за другим, то даже понять где начинается старый и где заканчивается новый патч. Плюс такие обновления обычно делают на скорую руку, скажем прямо на гитхабе, на на официальном сайте финальная не исправленная версия в tar.gz может висеть неделями. И самое главное, что-то критичное, если тормозят можно и самому пересобрать, если есть необходимость. Тем более в debian-based дистрибутивах создание пакета, сплошное удовольствие.
В обычной ситуации, получаешь исправление вчера, а узнаешь о нем только через часов шесть, а то и через дня два. И это если быть подписанным на разного рода «бюллетени» и rss рассылки. К слову на лоре, бывают задержки такого рода новостей, на недели, а то и месяцы.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Да и за всеми критическими обновлениями просто невозможно уследить

Да ладно. Действительно критические уязвимости освещаются в новостях на ЛОРчике, и случаются, в среднем, раз в полгода. Остальное - паранойя и счетоводство.

lenin386 ★★★★
()
Ответ на: комментарий от lenin386

Ты задолбал. Debian stable и то пропатчили за 4 (четыре!) дня до первого треда на ЛОРе. Нельзя ли компилировать потише?..

t184256 ★★★★★
()
Ответ на: комментарий от lenin386

Нормальные люди обновились неделю назад, убунтоводы и прочие пакетоловеры ждут, когда пошевелится дядя

Читать не пробовал, болезный?

— Marc Deslauriers <marc.deslauriers@ubuntu.com> Tue, 07 Oct 2014 10:50:12 -0400

Valkeru ★★★★
()
Последнее исправление: Valkeru (всего исправлений: 1)
Ответ на: комментарий от hbars

Это тебе 'реальные пацаны сказали'?

нет. Это моё личное мнение. Ubuntu это некий коммерческий пиндоский дистрибутив, в котором даже на ядро наложено Over9000 патчей. И да, ЕМНИП там даже шелл по дефолту не bash.

А linux это что?

Slackware Linux например.

emulek
()
Ответ на: комментарий от emulek

пиндоский

Т прнс?

И да, ЕМНИП там даже шелл по дефолту не bash

Бобёр, бобёр, ВЫДЫХАЙ!!!

Valkeru ★★★★
()
Последнее исправление: Valkeru (всего исправлений: 1)
Ответ на: комментарий от emulek

hbars@hbars:~ > cat /etc/rc.local |head -n1
#!/bin/sh -e
Ну а симлинк на dash.

Slackware Linux например.

Опа, опа, опа па.
./configure --perefix=/usr/local и тп думаю люди умеют.

hbars ★★★★★
() автор топика
Ответ на: комментарий от hbars

Ну а симлинк на dash.

ну дык и что там с уязвимостью в bash? Чего вы боитесь-то, если у вас и самого bash'а фактически и нету? А для эксплуатации уязвимости нужен не просто шелл у врага, а именно bash-шелл. Вот тогда враг может там что-то нахимичить в окружении (тоже не очень понятно как), ну и как-то запустить уязвимый bash. Тогда он сможет выполнять любые команды этого bash'а.

Опа, опа, опа па. ./configure --perefix=/usr/local и тп думаю люди умеют.

конечно умеют. А зачем вы пишете --prefix=/usr/local? Пишите --prefix=/usr, или сразу в корень.

emulek
()
Ответ на: комментарий от lenin386

Я скажу более, большинство уязвимостей даже не исправляют.

anonymous_sama ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Интерес к линуксу падает?
Talks
Макском, пора бросать лор, я тебе работу нашёл.