LINUX.ORG.RU

они молчат и не отвечают - заняты установкой линукса, ведь к утру надо чтобы на всех серверах стояла обновленная система

Deleted
()

Просто оставлю это здесь

https://ru.wikipedia.org/wiki/Bashdoor

В тот же день, когда была опубликована информация об оригинальной уязвимости и патчи, исправляющие её, Tavis Ormandy обнаружил новую родственную ошибку CVE-2014-7169

Во время работы над исправлением оригинальной ошибки Shellshock, исследователь компании Red Hat, Florian Weimer обнаружил ещё две ошибки: CVE-2014-7186 и CVE-2014-7187

26 сентября 2014 два разработчика open-source, David A. Wheeler и Norihiro Tanaka заметили, что существуют дополнительные проблемы, всё ещё не исправленные патчами, доступными на тот момент

27 сентября 2014, Michal Zalewski анонсировал, что обнаружил несколько других ошибок в Bash

Анализ исходного кода Bash свидетельствует, что уязвимость была заложена в код приблизительно в версии 1.13 в 1992 году или ранее

h578b1bde ★☆
()
Ответ на: комментарий от Deleted

Миллиард криворуких китайцев

В течение часа после публикации уязвимости Bash появились сообщения о взломе компьютерных систем с её помощью. 25 сентября были подтверждены различные атаки 'in the wild', начиная с простых DoS, заканчивая развёртыванием серверов command & control через зловредную систему «BASHLITE»

26 сентября был обнаружен ботнет «wopbot», составленный из серверов, зараженных через bashdoor, и используемый в DDoS против CDN Akamai Technologies и для сканирования сетей Министерства обороны США

h578b1bde ★☆
()

Язык JavaScript отключен Включите JavaScript и обновите страницу =(

garik_keghen ★★★★★
()
Ответ на: комментарий от Deleted

китайские роутеры?

Хз, написано что сервера. Вот ещё интересный вектор атаки:

DHCP-клиент обычно запрашивает IP адрес у DHCP-сервера. Однако сервер может послать несколько дополнительных опций, которые могут записываться в переменные среды и приводить к эксплуатации ошибки Shellshock на компьютере или ноутбуке, подключаемом к локальной сети

h578b1bde ★☆
()

Windows - дырявое решето

Как будто кто-то в этом сомневался

sudopacman ★★★★★
()
Ответ на: комментарий от h578b1bde

ну в инте оно не торчит а с локалки это +1 способ зайти на сервер с дырявой винды (админны putty много расскажут на эту тему)

Deleted
()

Ну и? У нормальных админов вся внутренняя кухня закрыта с помощью VPN.

Reset ★★★★★
()
Ответ на: комментарий от Deleted

ну в инте оно не торчит

Как это не торчит если ты сам про роутеры начал рассказывать?

а с локалки это +1 способ зайти на сервер с дырявой винды (админны putty много расскажут на эту тему)

ЯННП, переформулируй.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Как это не торчит если ты сам про роутеры начал рассказывать?

Омг, роутеры DHCP наружу торчат? А ты случаем не блондинка?

Deleted
()
Ответ на: комментарий от Deleted

Омг, роутеры DHCP наружу торчат? А ты случаем не блондинка?

Продумать дальше одного шага белка не осиливает? Хинт: ломаем роутеры, добавляем нужные опции DHCP, получаем красноглазый ботнет из их клиентов, для профита на клиентах реализовываем автоматический взлом и заражение других уязвимых роутеров при подключении к ним. Наиболее эффективно во всяких техновузах и ближайших кафешках, где концентрация ноутбуков с линуксами максимальная.

h578b1bde ★☆
()
Ответ на: комментарий от gadfly

а я именно поэтому юзал gitblit - чем меньше древнего говна типа баша доступно через инет чем лучше

вообще странно юзать такие поделки и рассказывать что линукс решето

Deleted
()
Ответ на: комментарий от Deleted

В данном случае правильнее говорить GNU, а не линукс.

gadfly ★★
()
Ответ на: комментарий от Deleted

Ётить ты чудище.

А в чём проблема поменять настройки DHCP, нужен рут? Используем наиболее свежие уязвимости для локального поднятия привилегий исходя из того что 99,9% роутеров никто после покупки не перепрошивал. Для атаки же клиентов на другие роутеры и ддоса рут не нужен.

h578b1bde ★☆
()

Зачем ты это сюда притащил?

А вообще на линуксовых серверах больше применяется практика «работает - не обновляю», поэтому...

In the *nix world, autoupdate technologies aren’t widely used, especially in comparison with desktops and smartphones. The vast majority of webmasters and system administrators have to update their software manually and test that their infrastructure works correctly. For ordinary websites, serious maintenance is quite expensive and often webmasters don’t have an opportunity to do it. This means it is easy for hackers to find vulnerable web servers and to use such servers in their botnets.

(c) https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Mayhem

PS: для меня windows и server - смешное сочетание слов.

PSS: да и приводить секурный бюлетень глупость, можешь бота написать, который бы за тебя это дело срал. Всегда интересно про реальную эксплуатацию в живой природе, а не сферический доклад в вакууме, который может и не имеет практического применения

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от Deleted

если ты взломал роутер то за ним стоит не линукс

Инфа 146%? Я про вузы и кафешки не просто так написал.

h578b1bde ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.