Dedikuoti serveriai, VDS hostingas, debesų kompiuterija
Interneto vizija
Karjera El. paštas

Grįžti   Dedikuoti.lt forumas > Dedikuoti.lt paslaugos > Naujienos, pranešimai

 
 
Temos įrankiai Ieškoti šioje temoje
  #1  
Senas 2014-09-26, 09:25
IV_RomanL avataras
IV_RomanL IV_RomanL neprisijungęs
Interneto vizija
 
Prisiregistravo: 2011 11
Vieta: Vilnius
Žinutės: 640
Exclamation Informacija apie kritinius BASH paketo pažeidžiamumus

informuojame, jog buvo identifikuoti kritiniai bash paketo pažeidžiamumai CVE-2014-6271, CVE-2014-7169. Pasinaudojus šiomis bash saugumo spragomis, įmanoma perimti serverio kontrolę. Daugiau oficialios informacijos apie tai pateikiama adresu:

https://access.redhat.com/articles/1200223

Primygtinai rekomenduojame nedelsiant atsinaujinti bash paketą standartiniu OS paketų atnaujinimo būdu, o senesnių versijų OS naudotojams - perkompiliuoti bash paketą naudojantis naujausia paketo versija.

Kaip patikrinti ar jūsų bash paketas vis dar yra pažeidžiamas

Įvykdykite komandą:

Kodas:
env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"
Jei rezultatas:

vulnerable
this is a test

tuomet jūsų bash paketas pažeidžiamas.

Jei rezultatas:

this is a test

tuomet jūsų bash paketas nepažeidžiamas.

Atnaujinimo procedūros:

- Red Hat OS (CentOS 5/6/7, Fedora 19/20, Scientific Linux 6) atnaujinimo komanda:

Kodas:
 yum update bash -y
- Debian 7, Ubuntu 10.04/12.04/14.04 versijoms atnaujinimo komanda:

Kodas:
 apt-get update; apt-get install bash
-Debian 6 OS papildomai reikia pridėti TLS repozitoriją:
Kodas:
echo "deb http://http.debian.net/debian/ squeeze-lts main contrib non-free" >> /etc/apt/sources.list
apt-get update; apt-get install bash
- Debian 5 OS reikia rankiniu būdu perkompiliuoti bash paketą:

Pridedame archive repostoriją:
Kodas:
echo "deb http://archive.debian.org/debian/ lenny main non-free contrib" >> /etc/apt/sources.list
Ir paleidžiame sekantį scenarijų:
Kodas:
#!/bin/bash

apt-get update; apt-get install build-essential gettext bison

wget http://ftp.gnu.org/gnu/bash/bash-3.2.tar.gz
tar zxvf bash-3.2.tar.gz
cd bash-3.2

for i in $(seq -f "%03g" 1 54); do
    wget -nv http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-$i
    patch -p0 < bash32-$i
done

./configure && make
make install

if [ -e /usr/local/bin/bash ]; then
    mv /bin/bash /bin/bash.old
    ln -s /usr/local/bin/bash /bin/bash
fi
- CentOS 4 OS versijai galite naudoti Oracle rpm paketą:
Kodas:
rpm -Uvh http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Paskutinį kartą redagavo IV_LinasJ : 2014-10-09 11:37
  #2  
Senas 2014-09-26, 10:10
rvel rvel neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 09
Žinutės: 1
Pagrindinis Ats: Informacija apie kritinius bash paketo pažeidžiamumus



Debian 6. Po atnaujinimo komandos (rašo, kad nereikia atnaujinti) vistiek rašo vulnerable. Kur bėda?
  #3  
Senas 2014-09-26, 12:49
IV_LinasJ avataras
IV_LinasJ IV_LinasJ neprisijungęs
Interneto vizija
 
Prisiregistravo: 2011 12
Žinutės: 40
Pagrindinis Ats: Informacija apie kritinius bash paketo pažeidžiamumus

Debian 6 reiktų atlikti šiuos žingsnius:

Kodas:
echo "deb http://http.debian.net/debian/ squeeze-lts main contrib non-free" >> /etc/apt/sources.list

apt-get update; apt-get install bash
Centos 4 galima pasinaudoti Oracle rpm paketu:

Kodas:
rpm -Uvh http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Paskutinį kartą redagavo IV_LinasJ : 2014-10-09 11:37
  #4  
Senas 2014-09-26, 17:41
naujaviltis naujaviltis neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 09
Žinutės: 1
Pagrindinis Ats: Informacija apie kritinius BASH paketo pažeidžiamumus

Man nepavyksta atnaujinti Centos 4 su siūlomu kodu. Rašo: "error: skipping http://public-yum.oracle.com/repo/EnterpriseLinux/EL
4/latest/i386/getPackage/bash-3.0-27.0.1.e14.i386.rpm - transfer fai
led - Unknown or unexpected error "
  #5  
Senas 2014-09-26, 19:22
IV_LinasJ avataras
IV_LinasJ IV_LinasJ neprisijungęs
Interneto vizija
 
Prisiregistravo: 2011 12
Žinutės: 40
Pagrindinis Ats: Informacija apie kritinius BASH paketo pažeidžiamumus

Oracle atnaujino bash paketą ir pasikeitė atsisiuntimo nuoroda.
Nuorodą pataisėme.
  #6  
Senas 2014-09-29, 10:43
waylanderlt waylanderlt neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 09
Žinutės: 2
Pagrindinis Ats: Informacija apie kritinius BASH paketo pažeidžiamumus

O kaip atnaujinti ubuntu 13.04, nes vykdant apt-get update ismeta klaidas:
Err http://ubuntu-archive.mirror.serveriai.lt raring/main amd64 Packages
404 Not Found
Err http://ubuntu-archive.mirror.serveriai.lt raring/restricted amd64 Packages
404 Not Found
....
  #7  
Senas 2014-09-29, 11:22
waylanderlt waylanderlt neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 09
Žinutės: 2
Pagrindinis Ats: Informacija apie kritinius BASH paketo pažeidžiamumus

ja radau ir parasiau santrauka, gal kam prireiks:
pakeiciaum repozitorijas:
https://forumas.dedikuoti.lt/showthr...=raring%2Fmain
update:
apt-get update
suinstaliuojam patch compileri:
apt-get install patch
suinstaliuojam installeri
apt-get install build-essential
ir ivykdom sia seka:
mkdir src
cd src
wget http://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
#download all patches
for i in $(seq -f "%03g" 0 25); do wget http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-$i; done
tar zxvf bash-4.3.tar.gz
cd bash-4.3
#apply all patches
for i in $(seq -f "%03g" 0 25);do patch -p0 < ../bash43-$i; done
#build and install
./configure && make && make install
cd ..
cd ..
rm -r src


rezultatas ivykdzius test komanda:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Kaip suprantu rezultatas geras?
  #8  
Senas 2014-09-29, 15:47
IV_RomanL avataras
IV_RomanL IV_RomanL neprisijungęs
Interneto vizija
 
Prisiregistravo: 2011 11
Vieta: Vilnius
Žinutės: 640
Pagrindinis Ats: Informacija apie kritinius BASH paketo pažeidžiamumus

Citata:
waylanderlt rašė Peržiūrėti žinutę
rezultatas ivykdzius test komanda:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Kaip suprantu rezultatas geras?
Taip, reiškia bash pažeidžiamumo nėra.
  #9  
Senas 2014-09-30, 16:26
remigijusko remigijusko neprisijungęs
Naujokas (-ė)
 
Prisiregistravo: 2014 09
Žinutės: 2
Pagrindinis Ats: Informacija apie kritinius BASH paketo pažeidžiamumus

Sveiki.

Nepavyksta atnaujinti Debian 6 bash:

root@server:~# uname -a
Linux server 2.6.32-042stab092.3 #1 SMP Sun Jul 20 13:27:24 MSK 2014 i686 GNU/Linux
root@server:~# echo "deb http://http.debian.net/debian/ squeeze-lts main contrib non-free" >> /etc/apt/sources.list
root@server:~# apt-get update
Hit http://security.debian.org squeeze/updates Release.gpg
Ign http://security.debian.org/ squeeze/updates/main Translation-en
Hit http://ftp.debian.org squeeze Release.gpg
Ign http://ftp.debian.org/debian/ squeeze/main Translation-en
Hit http://http.debian.net squeeze-lts Release.gpg
Ign http://http.debian.net/debian/ squeeze-lts/contrib Translation-en
Ign http://http.debian.net/debian/ squeeze-lts/main Translation-en
Ign http://http.debian.net/debian/ squeeze-lts/non-free Translation-en
Hit http://security.debian.org squeeze/updates Release
Hit http://ftp.debian.org squeeze Release
Hit http://security.debian.org squeeze/updates/main Sources
Hit http://http.debian.net squeeze-lts Release
Hit http://ftp.debian.org squeeze/main Sources
Hit http://security.debian.org squeeze/updates/main i386 Packages
Hit http://ftp.debian.org squeeze/main i386 Packages
Hit http://http.debian.net squeeze-lts/main i386 Packages/DiffIndex
Hit http://http.debian.net squeeze-lts/contrib i386 Packages
Hit http://http.debian.net squeeze-lts/non-free i386 Packages
Reading package lists... Done
root@server:~# apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 66 not upgraded.
root@server:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

ką daryti?
  #10  
Senas 2014-09-30, 16:31
IV_RomanL avataras
IV_RomanL IV_RomanL neprisijungęs
Interneto vizija
 
Prisiregistravo: 2011 11
Vieta: Vilnius
Žinutės: 640
Pagrindinis Ats: Informacija apie kritinius BASH paketo pažeidžiamumus

Pamėginkite:

Kodas:
echo "deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib" >> /etc/apt/sources.list
Kodas:
apt-get update; apt-get install bash
 

Žymės
bash, shellshock

Temos įrankiai Ieškoti šioje temoje
Ieškoti šioje temoje:

Detali paieška

Žinučių rašymo taisyklės
Jūs negalite kurti naujų temų
Jūs negalite rašyti žinučių
Jūs negalite įkelti failų
Jūs negalite redaguoti savo įrašų

BB kodas yra Įjungtas
Šypsenos yra Įjungtas
[IMG] kodas yra Įjungtas
HTML kodas yra Išjungtas

Greita navigacija

Panašios temos
Tema Temą sukūrė Forumas Atsakymai Paskutinė žinutė
Informacija apie Redis duomenų bazės pažeidžiamumą iv_valentinasc Naujienos, pranešimai 0 2016-09-04 22:10
Informacija apie SAMBA tarnybos pažeidžiamumą IV_RomanL Naujienos, pranešimai 0 2016-04-13 15:47
Kaip istraukti informacija is serverio? wazhgas Klausimai, pastabos, pasiūlymai 1 2016-03-22 12:12
Pašalintas kritinis CVE-2014-3519 pažeidžiamumas IV_VygandasS Naujienos, pranešimai 0 2014-06-26 11:21
Daugiau informacijos apie serverių darbą admin Naujienos, pranešimai 0 2012-03-26 13:14


Visi laikai yra GMT +3. Šiuo metu yra 23:47.


Powered by vBulletin®
Copyright ©2000 - 2019, vBulletin Solutions, Inc.