20:22
27/1/2015

Dziura znajdująca się w kluczowej bibliotece Linuksa, glibc (do wersji 2.18), pozwala atakującym na całkowite przejęcie kontroli nad systemem. I chociaż luka wcale nie jest taka łatwa do wykorzystania, lepiej szybko zaaplikujcie patche!

GHOST straszy

Ostatnie miesiące obfitują w “ciężkie” i szeroko exploitowalne podatności (będące przy okazji PR-owymi perełkami z własnymi logotypami i dedykowanymi stronami internetowymi). Był Heartbleed i Shellshock (bash bug), a teraz pora na GHOST, podatność typu buffer overflow, którą zidentyfikowano w funkcji __nss_hostname_digits_dots() biblioteki glibc, czyli GNU C Library. Szczegóły znajdziecie w obszernym poście na liście OSS Security.

Oficjalny logotyp podatności GHOST

Oficjalny logotyp podatności GHOST ;-)

Co ciekawe, wszystko wskazuje na to, że błąd został ujawniony światu przedwcześnie, poprzez błąd osoby (z agencji PR?), która wysłała opis problemu na francuską listę mailingową.

Ta wpadka (i “marketingowa” otoczka wokół podatności) nie uszła branżowym oczom — polecamy prześmiewczy post lcamtufa na ten temat :-)

Na czym polega atak?

Za pomocą dziury w glibc atakujący może przejąć całkowitą kontrolę nad waszym serwerem. Atak może przeprowadzić zdalnie, czyli np. przez internet, jak i lokalnie (jeśli posiada konto na atakowanym systemie). Exploity już są dostępne.

Warto podkreślić, że na atak podatnych jest wiele aplikacji, które korzystają z protokołu DNS poprzez funkcje z rodziny gethostbyname*(). I choć funkcja ta nie jest polecana (“deprecated”) to wciąż mogą z niej korzystać niektóre z usług. Przykładowo, podatne na atak mogą być:

  • Serwery pocztowe, które resolvują domeny/adresy IP (funkcje DNS blacklistingu, sprawdzenia SPF, itp.). Badaczom z Qualysa udało się przy pomocy GHOST i odpowiednio spreparowanego e-maila przesłanego na serwer Exima (wymaga jest jednak jego “sprzyjająca” konfiguracja), przejąć kontrolę nad serwerem omijając ASLR, PIE i NX zarówno na architekturze 32 jak i 64 bitowej.
  • Formularze w serwisach internetowych, które powodują zapytania DNS (np. IP komentującego)
  • Serwery SSH, które wykonują zapytania DNS w kwestii uwierzytelnienia na podstawie regułek allow/deny

Podatności nadano już identyfikator CVE-2015-0235.

Jak sprawdzić, czy jestem podatny?

Pierwsza podatna na atak biblioteka glibc pochodzi z 2000 roku (glibc-2.2) i co ciekawe, podatność została “przypadkowo” usunięta 21 maja 2013 roku w glibc-2.18, ale ponieważ nie było to wydanie związane z bezpieczeństwem, większość systemów według Qualysa dalej posiada starsze, dziurawe wersje glibc. Dlatego lepiej sprawdźcie jaką wersję posiada wasz system lub przetestujcie go na ewentualność tej dziury poniższym skryptem:

wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/
de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235

Qualys opublikował kod programu, którego uruchomienie daje odpowiedni werdykt:

#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>

#define CANARY "in_the_coal_mine"

struct {
char buffer[1024];
char canary[sizeof(CANARY)];
} temp = { "buffer", CANARY };

int main(void) {
struct hostent resbuf;
struct hostent *result;
int herrno;
int retval;

/*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
char name[sizeof(temp.buffer)];
memset(name, '0', len);
name[len] = '\0';

retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);

if (strcmp(temp.canary, CANARY) != 0) {
puts("vulnerable");
exit(EXIT_SUCCESS);
}
if (retval == ERANGE) {
puts("not vulnerable");
exit(EXIT_SUCCESS);
}
puts("should not happen");
exit(EXIT_FAILURE);
}

Sprawdzenia można dokonać w ten sposób:

wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/
de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235

Jak usunąć podatność? Gdzie są patche?

Ponieważ dostępne są już patche dla poszczególnych dystrybucji (Debian, RedHat), należy jak najszybciej je wgrać (czyli zaktualizować glibc do najnowszej wersji). Nie zapomnijcie po aktualizacji zrestartować wszystkich usług, które wykorzystują glibc:

$ lsof | grep libc | awk '{print $1}' | sort | uniq


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

70 komentarzy

Dodaj komentarz
  1. Mam już wgrywać Windowsa?

    • Wgraj emacsem przez gethostnamebyaddr() ;P

  2. Może już ktoś zadał to sakramentalne pytanie, ale wydaje mi się na miejscu: mam Linuksa, jestem bezpieczny?

    • Raczej “Mam aktualne wersje pakietów, jestem bezpieczniejszy”.

  3. ubuntu 14.04 z wgranymi aktualizacjami not vulnerable

    • Jeśli miałbym wybór między Linux a Windows wybrał bym linux ale jeśli miałby to być Ubuntu wybrałbym Windows.

    • @Konrad, uzasadnij proszę…

  4. Zastanawiało mnie zawsze, co jest bezpieczniejsze dla *laika*: Linux, którego ciężko skonfigurować “bezpiecznie” i łatwo coś popsuć, Windows, gdzie niby są aktualizacje, etc, ale łatwo go zainfekować, czy Mac, gdzie… cokolwiek zrobić jest ciężko :)

    • Linux z ustawionymi aktualizacjami automatycznymi. Za każdym razem kurwica mnie bierze, gdy widzę pozmieniane domyślne wyszukiwarki (ask to pikuś) i tonę adware’u. “Ej, Mati umiesz naprawić komputer? Bo jakieś coś mi się wyświetla.”

    • Co masz na myśli mówiąc, że trudno skonfigurować systemy linuksowe bezpiecznie?

    • Co jest ciężko zrobić na macu? Zainstalować malware chyba =)

    • To akurat jest proste :P

    • Co masz na myśli mówiąc, że Windowsa łatwo zainfekować?

    • Wydaje mi się iż podatność jest szalenie niebezpieczna dla nieaktualizowanych długo żyjących systemów, niż świaomych adminów i zwykłych użytkowników z domyślnymi ustawieniami systemu – czyli aktualizacjami automatycznymi. Znam kilka firm, nawet dużych firm, które używają jeszcze redhat-a 4 (tak, wiem, mamy 2015), który jak wszyscy pewnie wiemy, dawno temu wyleciał z supportu redhat-a. Dlaczego używają tego systemu – gdyż tam są poinstalowane serwery aplikacji które również dawno temu wyleciały z linii produkcyjnych dostawców. Teraz dochodzimy do zasadniczej kwestii – dlaczego tak stare systemy są używane – gdyż aplikacja która tam pracuje jest rozwijana od 15 lat i obrosła w tak złożone funkcjonalności, iż przepisanie całości na nowe technologie zwyczajnie się nie opłaca. Wyobraźmy sobie iż firma musi położyć parędziesiąt mln PLN na stół aby przepisać system (sama operacja przepisania!!! nawet nie rozwinięcia czy dodania funkcjonalności) + 2 lata bizness stop dla wykonania pełnej analizy; kontra niskie koszty utzymania (bo przecież nie płaci się za licencję gdyż produkty nie istnieją w cenniku dostawcy softu) i ryzyko iż ktoś nam może to zaorać oraz stabilny w czasie rozwój funkcjonalności. Zgadnijcie co wybiera firma.
      A teraz odsłona druga – dostawca systemu podpisuje umowę z odbiorcą, w której warunki gwarancji obejmują listę pakietów w systemie operacyjnym, wersję bibliotek systemowych, binariów, razem z autytem i sumami kontrolnymi wszystkiego, aby w przypadku awarii mieć pewność iż system nie został zmieniony, a jeśli został zmieniony, mieć podkładkę na nie udzielenie gwarancji. Każda aktualizacja czy zmiana w systemie operacyinym – aneks do umowy. Mówicie – absurd? Ja mówię – rzeczywistosć :)

    • Wiele jest systemów / serwerów / micro-dystrybucji które są robione i zapominane. Chociażby Linuxy w dekoderach / STB, systemach centralowych, bramach VoIP / TV, routerach low-end, zarządzalnych switchach (przecież nie wszystko to Cisco) itd.
      Jak poważna to dziura to się jeszcze wszyscy przekonamy gdy zacznie toto padaćna pysk lub zaczną hackować takie maszyny i cuda się pojawią oraz botnety ;]

  5. poprawcie komendę, adres jest zapisany na dwóch liniach i nie działa

    • Gist też już chyba nie działa

  6. To ktoś tego używa? Nawet w manpage jest napisane:
    “POSIX.1-2001 […] gethostbyname(),[…] are marked obsolescent in that standard.
    POSIX.1-2008 removes the specifications of gethostbyname()[…], recommending the use of getaddrinfo(3) and getnameinfo(3) instead.”

  7. Slackware x64 glibc-2.17:

    ./CVE-2015-0235
    not vulnerable

    • root@slackware:# ./CVE-2015-0235
      vulnerable

      x64 14.1 ta sama (najnwosza dostepna) wersja glibc

    • Zapomniałem napisać, że mam multiliba czyli glibc jest od Alien Boba. Może był patchowany ale to trochę dziwne bo pakiet zainstalowałem 31.08.2014.

      Sprawdziłem na innej instalce: Slack 14.0 32bit, glibc-2.15 (pakiety z płyty DVD) i jest jak najbardziej podatny.

    • U mnie było podobnie jak u Norberta z Klanu.
      Ale zaaplikowałem glibca z currenta i mam “not vulnerable”.
      Wcześniej przeczytałem na jakimś forum, że ten myk działa :)

    • @Therminus
      Bo Slackware Current ma glibc-2.20. Ja generalnie też używam currenta tylko, że z wyłączeniem pakietów z multiliba.

  8. 0 upgraded, 0 newly installed, 0 to remove and 5 not upgraded.

    ???

    • #!/bin/sh
      echo “deb http://ftp.debian.org/debian sid main” >> /etc/apt/sources.list
      apt-get update
      apt-get -t sid install libc6 libc6-dev libc6-dbg
      echo “Please remember to hash out sid main from your sources list. /etc/apt/sources.list”

  9. http://www.openwall.com/lists/oss-security/2015/01/27/18 – lista usług, w których badaczom nie udało się wykorzystać podatności. Mimo wszystko aktualizacja nadal zalecana.

  10. Ubuntu 12.04 lts
    libc-2.15
    not vulnerable

  11. dzięki :) serwer update’d ;p

  12. ./CVE-2015-0235
    not vulnerable

    cat /etc/debian_version
    7.8

  13. Dobry, kompletny wpis i szybki czas reakcji. Dzięki.

    Za to zamiast “męczyć kota”, lepiej:
    lsof | awk ‘/libc/ {print $1}’ | sort -u
    ;-)

    • “męczyć kota” ++ :))))

  14. Proszę nie siać paniki tylko dokładnie przeczytać http://www.openwall.com/lists/oss-security/2015/01/27/9 co i pod jakim warunkiem jest exploitable:
    Most of the other programs, especially servers reachable remotely, use
    gethostbyname() to perform forward-confirmed reverse DNS (FCrDNS, also
    known as full-circle reverse DNS) checks. These programs are generally
    safe, because the hostname passed to gethostbyname() has normally been
    pre-validated by DNS software:

    . “a string of labels each containing up to 63 8-bit octets, separated
    by dots, and with a maximum total of 255 octets.” This makes it
    impossible to satisfy the “1-KB” requirement.

    . Actually, glibc’s DNS resolver can produce hostnames of up to
    (almost) 1025 characters (in case of bit-string labels, and special
    or non-printable characters). But this introduces backslashes (‘\\’)
    and makes it impossible to satisfy the “digits-and-dots”
    requirement.
    The Exim mail server is exploitable remotely if configured to perform
    extra security checks on the HELO and EHLO commands (“helo_verify_hosts”
    or “helo_try_verify_hosts” option, or “verify = helo” ACL);

  15. jeszcze nie tak dawno czytałem, że linuxy nie są podatne na ataki bo wszystko musi i tak uruchomić użytkownik z uprawnieniami roota ;-) no proszę, jednak linuxowi fanatycy nie mieli racji ;) hehe, wiedziałem.

    • Troll detected.

    • @wrg zmień na wgr :D
      Nie ma co żadnego OS-a stawiać na piedestale. Jeden woli to, drugi to.
      @Andrew masz racje :)

    • Ale skoro dziura nie wymaga posiadania uprawnień roota, skoro można ją wykorzystać zdalnie przez formularz na stronie WWW a jedynym warunkiem jest by ofiara miała starą wersję jednej z podstawowych bibliotek, to ten trol ma całkowitą rację.

    • Bo teoretycznie to usługi idące na zewnątrz powinny być uruchamiane w kontenerze (wirtualizacja),a wtedy ryzyko jest mniejsze.Tylko że:
      1.Ryzyka całkiem nie wyeliminujesz
      2.Postawić poprawnie wirtualizację w systemie to nie jest tak łatwo dla każdego, no chyba że to QubesOS. Szkoda,że postawiono system,a pakietu pod wszystkie linuchy robiącego wszystko z wirtualizacją softu za adminów chyba nie ma. (Jak jest – poproszę o nazwę,miło byłoby uzupełnić luki w edukacji i poprawić bezpieczeństwo mojego biurkowego systemu też)
      3.Żaden system nie jest bezpieczny,niektóre są bezpieczniejsze niż inne.

      Aha i najważniejsze:
      Debian 7.8 – wersja glibc bez buga.

      I czas reakcji na wykrytą dziurę w linuxach to dni a może godziny – w windowsach to bywają miesiące. Powodzenia,jak chcesz zainstaluj sobie backdoora od MS,tego wirusa znanego jako “system windows” :P Tylko potem nie płacz :P

    • (…)I czas reakcji na wykrytą dziurę w linuxach to dni a może godziny – w windowsach to bywają miesiące. (…) -niestety prawda i dobrze.
      Ostatnio “dzięki” googlowi MS wypuścił błyskawicznie łaty i ….Zupa. Załatali security ale wiele funkcjonalności miało kłopoty ze stabilnością. Niestety.
      Pamiętajmy że jest to system komercyjny ergo MS nie może wypuścić poprawki nie przetestowawszy jej w różnych scenariuszach. Odpowiadają za to że system będzie działał w różnych konfiguracjach, a że ilość kombinacji jest gigantyczna to i proces testowania pochłania coraz większe zasoby (Dla ciekawskich proponuję poszukać jaki procent(!) zasobów MS jest przeznaczony na testowanie oprogramowania, dynamika),
      Przy linuksie naprawiamy funkcjonalność: działa -ok wypuszczamy patha a że usługa zależna ma kłopoty ze stabilnością … cóż niech się autor martwi.

  16. Niestety wiele programów dystrybuowanych kanałami trzecimi ma libc kompilowane statycznie i tutaj aktualizacja systemu nic nie robi :(

    • Dlatego używam Gentoo i wszystko sobię kompiluję :D

    • @Ayyy

      albo Masz za dużo czasu, ew. (rzadko używasz PC do pracy),
      albo jedziesz z (dist. cc/gcc, z jakimś klastrem CPUs) do szybkiej Kompilacji.

      Ciekawe ile czasu tracisz jak nowy ff albo oo jest do zbudowania ze źródeł ;))

      Nie ujmując Gentoo oczywiście bo to świetna jazda … ;)

  17. Debian 7.8 (not vulnerable). Gdyby ktoś miał problem z wget’em z GitHub’a to należy sobie zaktualizować curl :-)

  18. Dodam jeszcze bardzo ciekawy głos rozsądku dotyczący tego buga i zniechęcający do nieprzemyślanych, panicznych decyzji:

    “No, installing packages from the wrong distribution version is not safe. Despite that people seem to do it all the time (and usually break their systems in amusing ways). In particular glibc is the most critical package on the system; everything is built against it, and if its ABI is changed then everything would have to be rebuilt against it. You should not expect software built against one version of glibc to work when another version is present.

    And anyway, this vulnerability has been around for over 14 years, and despite all the yelling and screaming about it, it requires a fairly narrow set of circumstances to exploit. Waiting a day or two for a proper patch isn’t likely to be a problem.”

  19. Komenda nie pokaże statycznie skompilowanych binarek z podatną biblioteką.

  20. Pora zmienić system na FreeBSD, Linuxy mają zbyt dużo wpadek..

    • Jakiś rok temu postanowiłem przetestować jak się sprawdzi FreeBSD na desktopie i poleciałem od razu po całości czyli wrzuciłem go jako jedyny system na lapka, na którym pracowałem (oprócz niego miałem też służbowego lapka z Debianem). Moim zdaniem taka metoda nauki jest najlepsza :). No i generalnie było okej: odpaliłem bodaj wszystkie aplikacje, których używałem pod GNU/Linuxem jak np. eclipse, virtualbox z Windows 7 jako guestem, firefox (z flash pluginem), thunderbird, libreoffice itd. Nie pamiętam tylko czy sprawdzałem możliwość zaszyfrowania dysku.

      Pojawiły się natomiast problemy w postaci kiepskiego wsparcia dla takich typowo “laptopowych” ficzerów jak np. suspend – generalnie działało to tak, że po drugim lub trzecim uśpieniu w lapku przestawało działać USB i trzeba było restartować system. Wkurzająco to było mocno bo myszkę można było na pewien czas zastąpić trackpointem czy touchpadem ale pod USB miałem także podpięty modem. Z suspendowania zrezygnować nie mogłem bo przydatny jest mi niezmiernie i go mocno używam. Moje systemy na lapkach mają uptime po kilkadziesiąt dni – rzadko korzystam z restartów czy shutdown-ów za to często leci właśnie suspend (kilka razy dziennie).

      Dziwi mnie też nadzwyczajna potrzeba wykonywania restartów pod FreeBSD. Może to zresztą wynika z mojej słabej znajomości systemu ale gdy np. chciałem załadować sterowniki do modemu czy nawet ustawić jakieś moduły do sieci to bardzo często musiałem dawać przy tym reboot (musiałem bo tak kazali w howtosie czy na forum). Pamiętam też jak kiedyś stawiałem sobie pod FreeBSD serwer, który robił też za firewall i bramę do internetu. Ilość rebootów, jakie musiałem wykonać aby ustawić wszystkie opcje i moduły dla sieci i ipfw z NAT przewyższa chyba ilość rebootów jakie wykonuję rocznie pod GNU/Linux :).

      Ostatecznie po chyba niecałym miesiącu wróciłem do Slackware (bodaj najbardziej *BSD GNU/Linux).

    • “bodaj najbardziej podobny do *BSD GNU/Linux” w ostatnim zdaniu miało być. Upierdliwy ten brak edycji komentarzy.

    • WYKRYTYCH wpadek. BSD super-bezpieczne ? Na pewno ? Teoretycznie owszem,jest lepiej zaprojektowany,tu się zgodzę i wiele rzeczy chciałbym mieć u siebie na kompie których linux być może nie ma.Ma bardzo dużo pozytywnych rozwiązań – nie przeczę.

      Szczególnie wkurza niska kompatybilność wsteczna w linuxach – ile to przestarzałych paczek projektów, które zawieszono trudno uruchomić na nowszych systemach i ile przez to problemów ?
      Choćby xsteg postawić na debianie 7.8 chciałem od ręki, ale pakiet się posypał – ok,ale ten program ma tylko niecałe 2 lata ! Dobrze,że choć stegdetect jakoś wszedł.

      Ale mniejsza społeczność = mniejsze szanse wykrycia krytycznych błędów. A pewność o tym,że system jest bezpieczny z założenia “out of box” często jest złudna. Twierdzenie,że mniejsza społeczność jest ok,to zakładanie,że “Security by obscurity” obroni system.

      Nie przeczę,że trochę lepsza z założenia konstrukcja systemu,nie przeczę,że BSD wygląda dla niektórych “bardziej elitarnie”. Ale kwestia sterowników i aplikacji to nie przelewki,to kwestia kluczowa dla systemu wdrażanego poza środowiskiem typowo serwerowym. Dla jasia-admina “system zaprojektowany specjalnie pod serwer i bezpieczeństwo” brzmi świetnie.Rozwój linuksów owszem jest trochę zbyt chaotyczny.Ale to nie tylko wada – to również zaleta. Linux jako taki przypomina trochę “osobliwość technologiczną”. Można go zastosować niemal wszędzie. MS ostatnio próbuje zrobić swojego windowsa systemem dla komórek,tabletów i komputerów w jednym. No niestety, linux osiągnął to wieki temu.

      Twierdzenie,że BSD to lepszy system przypomina twierdzenie,że Serpent to byłby lepszy AES.Owszem, oba rozwiązania są świetne,ale więcej zastosowań daje więcej możliwości,a więcej testów podwyższa wiarygodność przynajmniej dotychczasowych standardowych rozwiązań.

      A w miarę bezpieczny linux to jednak linux podrasowany.

  21. Raspbian GNU/Linux 7 3.12.22+

    ./CVE-2015-0235
    vulnerable

  22. jak to ustrojstwo zaktulizowac

    moj system
    Distributor ID: Debian
    Description: Debian GNU/Linux 7.6 (wheezy)
    Release: 7.6
    Codename: wheezy

  23. Uff. Debian 7.7 podatny! Po aktualizacji do 7.8 zagrożenie minęło (czyżby??)

  24. oooo :D
    ERROR: certificate common name `www.github.com’ doesn’t match requested host name `gist.githubusercontent.com’

  25. Archlinux:

    ./CVE-2015-0235
    not vulnerable

  26. wklejanie kodu z konsoli tutaj jest zabronione (via wpplugin),wiec wrzucam jako pejst:
    http://pastebin.com/thu1wxzK

  27. Otóż to. Informacja w newsie o podatności formularzy (zapytań DNS) jest myląca żeby nie napisać nieprawdziwa. Piszący nie przeczytał opisu problemu lub go nie zrozumiał. Serwer otrzyma odpowiedź z resolvera (nazwę hosta), która nie będzie miała formatu podanego na przepełnienie. Problem występuje tylko wtedy, gdy nazwa hosta przekazywana do gethostbyname() jest specjalnie spreparowana a taką nie da się zarejestrować oficjalnie w rdns, stąd resolver jej nie “podrzuci” np. apache’owi. Widać to na przykładzie exploitu Exima: wykorzystano argument polecenia ehlo będący nazwą hosta, którą klient może spreparować podając ją wprost.

  28. to będzie rok linuxa :D

  29. CIekawe ile takich luk zna NSA ? O których nikt poza nimi nie wie? Teoretycznie trzymając w ukryciu takie luki mozna przegladnać kazdy serwer

  30. czy wiecie, ze panowie z niebiezpiecznika tak sie zes… przestraszyli, ze wycieli caly swiat oprocz polski?

    z obcego kraju przesyconego zlymi hakerami:
    http://zapodaj.net/92cdf8b1c20a4.png.html

    z polski:
    http://zapodaj.net/24d771229fe2a.png.html

    • A może cloudfront sam wyciął?

  31. No właśnie, coś mi ten ‘nagły’ wysyp luk, które sobie były od nastu lat dziwnie pachnie. Z drugiej strony argument typu ‘społeczność to weryfikuje kody są przecież upublicznione’ – brutalnie się weryfikuje. Albo upadły morale i wykryta (o ile) luka trzymana jest w tajemnicy dla … zysku ?! albo taka weryfikacja po prostu nie działa. Ostatnie to może też to, że sprawniej działa marketing i luk tego typu można było zaobserwować więcej w przeszłości ale nie były tak nagłaśniane :)

    • Obstawiam marketing, od kiedy luki mają chwytliwe nazwy i ikonki i takie tam lepiej się sprzedają w mediach. No bo usterka xzfdgsgf która robi fdsgbds pod warunkiem vxasdvsp>0 – jak to się by sprzedawało w mediach ?

      Oczywiście tego,że NSA ujawnia stare 0-daye po akcji Snowdena,aby Rosjanie z nich nie korzystali nie należy wykluczyć też…

      Czy sprawdzanie kodu działa ? Pewnie,że działa,ale nie tak skutecznie jakby się chciało…

      Programować chce każdy bo to twórcza robota,a testowanie jest niewdzięczną i słabo płatną robotą uważaną za “niegodną programisty” przez wielu wiec w praktyce społecznością sprawdzającą kod są głównie programiści modyfikujący kod którzy znajdują błędy innych i przy okazji popełniają własne.Ale działa to i tak lepiej i bardziej elastycznie niż tam gdzie kod jest zamknięty a firmy utrzymują,że “nie ma problemu”.

      Swoją drogą jestem spoza branży a pozwolili mi startować na testera w jednej firmie,nie wymagali do tego żadnego doświadczenia i umiejętności na start (ot pewnie jako szeregowy klikacz) – ale odpadłem bo coś miałem wątpliwości co do robienia tego na własną działalność – podejrzewałem drugie dno.

      Tak patrzyłem po ofertach i z reguły wymagania są mniejsze niż wobec programistów,choć wrażenie mam takie,że powinno być odwrotnie.Nie sztuka napisać,sztuka zrozumieć dlaczego coś nie działa i co nie działa.Z tego co wiem, w PL testerzy są prawdopodobnie gorzej opłacani i traktowani jako coś gorszego od programisty. A przecież tester od pentestera różni się tylko tym,że nie testuje tylko zabezpieczeń,a wszystkie awarie aplikacji…

    • “Ile jeszcze takich luk zna X”
      Myślę, że nie ma na to odpowiedzi bo to, że coś staje się luką zależy od tak od środowiska w którym dany element pracuje jak również od zmieniających się z czasem oczekiwań jakie mamy do tego elementu.
      Trochę może zbyt filozoficzne ujęcie ale myślę, że hasło “system bez luk” jest tak samo prawdziwe jak prawdziwe jest określenie “najlepszy system”.

  32. Ubuntu 14.04 nie podatne

  33. CentOS7 / 2.17 / not vulnerable

  34. Debian Jessie (prawie aktualny) niepodatny.

  35. test

  36. Skad wziac exploita

    • script kiddies everywhere

  37. Gdyby ktoś szukał patcha dla starszych wersji linuksa.
    https://flo.sh/debian-lenny-cve-2015-0235-glibc-patch/

  38. Manjaro unstable:
    not vulnerable :v

Odpowiadasz na komentarz bsduser

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: