Интересно получается. Unix-way (для каждой задачки - своя утилитка) + контролируемые исходники неплохо справляются с ловлей мелких и явных уязвимостей. Но с другой стороны, если уязвимость все-таки просачивается сквозь фильтр и попадает в устоявшийся набор утилит - проблема становится малорешаемой. Так как код с уязвимостью оказывается растиражирован в таких количествах, что все пропатчить уже сложно, а если речь заходит об обновлении прошивок на старом железе - вообще нереально.
Что-то у вас причинно-следственные связи какие-то странные. Unix way никак не мешает производителям оборудования делать системы обновления и выпускать заплатки. Просто им это не выгодно.
Так есть же патчи. Еще позавчера вечером/ночью были. И тест есть для проверки на наличие уязвимости. env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Я чего-то не понимаю, или статью слишком долго редактировали?
@Михаил, патч вышел — а уязвимость осталась.
CVE-2014-7169 по-прежнему актуальна :(.
А можно подробностей побольше? Что за патч вышел? Я так понимаю, это временный костыль. Почему он не решает проблему? Почему уязвимость осталась?
Этот настоящий хакер неплохо умеет переводить тексты от настоящих профессионалов:
http://blog.wallarm.com/post/98420727113/5-very-bad-news-about-shellshock
Степан, зачем ты крыса?
Деточка, глаза открой: "Директор по продуктам компании Wallarm и экс-главный редактор журнала «Хакер» Степан Ильин попытался разобраться в ситуации".
Прочитал, ничего не понял:(
ZSH!
Интересно получается. Unix-way (для каждой задачки - своя утилитка) + контролируемые исходники неплохо справляются с ловлей мелких и явных уязвимостей. Но с другой стороны, если уязвимость все-таки просачивается сквозь фильтр и попадает в устоявшийся набор утилит - проблема становится малорешаемой. Так как код с уязвимостью оказывается растиражирован в таких количествах, что все пропатчить уже сложно, а если речь заходит об обновлении прошивок на старом железе - вообще нереально.
Что-то у вас причинно-следственные связи какие-то странные. Unix way никак не мешает производителям оборудования делать системы обновления и выпускать заплатки. Просто им это не выгодно.
Теперь всё понятно!
Спасибо, что объяснил, Степан!
У меня Винда. Я в опасности?
Нет :)
Так есть же патчи. Еще позавчера вечером/ночью были.
И тест есть для проверки на наличие уязвимости.
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Я чего-то не понимаю, или статью слишком долго редактировали?
+1 к ZSH!
Хуяш. Что там юзает пользователь - это к багу не относится.
Кстати, новый патч еще утром вышел.
https://github.com/hannob/bashcheck
Проверить на новые уязвимости.
Статью не читали?
Да, вы тоже в опасности.