לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > מערכות הפעלה
רענן עמוד זה פירצת האבטחה Shellshock ב-Bash
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
« לאשכול הקודם | לאשכול הבא »
 
כלי אשכול חפש באשכול זה



  #1  
ישן 27-09-2014, 19:47
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
פירצת האבטחה Shellshock ב-Bash
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 27-09-2014, 21:35
צלמית המשתמש של hellfrost
  hellfrost hellfrost אינו מחובר  
 
חבר מתאריך: 07.12.09
הודעות: 7,072
בתגובה להודעה מספר 1 שנכתבה על ידי dorM שמתחילה ב "פירצת האבטחה Shellshock ב-Bash"
פרצת אבטחה זה לא מילה...

ויש כבר עידכונים לרוב ההפצות
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 28-09-2014, 00:36
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 2 שנכתבה על ידי hellfrost שמתחילה ב "פרצת אבטחה זה לא מילה... ויש..."
אכן.

למרות שאני לא מבין על מה המהומה.

HeartBleed התאפיין ביכולת להגיע למידע שעל המחשב דרך תוכנה שהשימוש בה נפוץ במיוחד - שרת ssh.

אבל Shellshock זו פירצה כזו שכבר צריכה להיות תוכנה כלשהי מותקנת על המחשב אשר תנצל את זה...
או לפחות להכיר תוכנה שמותקנת על המחשב אשר תשתמש במידע שהגיע מהמשתמש באופן כזה שזה ייכנס למשתמש סביבתי ב-Bash...
בקיצור אני לא מבין על מה המהומה בפירצה האחרונה, הסיכויים לפריצה קלושים יותר...
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 28-09-2014, 03:31
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
  
חבר מתאריך: 25.10.01
הודעות: 42,775
בתגובה להודעה מספר 3 שנכתבה על ידי dorM שמתחילה ב "אכן. למרות שאני לא מבין על..."
הדוגמה הטיפוסית ביותר היא שרת HTTP שמעביר בקשות לתוכנה באמצעות פרוטוקול CGI ומעביר אליה פרמטרים באמצעות משתני סביבה. זה עלול לקרות בעיקר באתרים שמריצים Perl/Python באמצעות bash. כמה זה פופולארי? כנראה שבאמת לא הרבה.

בכל מקרה זה אמור לאפשר הרצה של פקודות בתור המשתמש שבו bash הורץ, ובשרת שמקונפג כראוי - למשתמש הזה לא אמורה להיות הרשאה לעשות יותר מדי. אבל... לא תמיד אנשים מקנפגים דברים נכון...

על פניו, אכן נראה ש Heartbleed היה חמור יותר... אבל גם שם השימוש הנפוץ ממש לא היה SSH, אלא שוב, שרתי HTTP (שמריצים גם פורט מאובטח). שרתי SSH שפתוחים לכל העולם הם הרבה פחות נפוצים... או לפחות כך זה אמור להיות. מי שמחליט לעשות אחרת, שלא יתפלא אחר כך...
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 28-09-2014, 07:38
צלמית המשתמש של hellfrost
  hellfrost hellfrost אינו מחובר  
 
חבר מתאריך: 07.12.09
הודעות: 7,072
בתגובה להודעה מספר 3 שנכתבה על ידי dorM שמתחילה ב "אכן. למרות שאני לא מבין על..."
לא...

הארטבליד נתן לראות קטעי זכרון אקראים של המחשב, או לא בדיוק אקראיים כי אתה כנראה תראה זכרון של open ssl שיש מצב שיהיו בו מפתחות.

הבאג המדובר מאפשר לתוקף להריץ איזה קוד שהוא רוצה יחסית בקלות, וקיים כבר המון זמן. יש המון המון תוכנות שפונות לשל בשביל לעשות דברים- אפאצ'י בשביל cgi לדוגמה, ונתיב תקיפה אפשרי....
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה
« לאשכול הקודם | לאשכול הבא »

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
מצב כלאיים מצב כלאיים
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך
קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 03:53

הדף נוצר ב 0.05 שניות עם 10 שאילתות
צור קשר - Fresh - למעלה

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר