On Mon, Sep 29, 2014 at 1:33 PM, Mircea MITU <mir...@sigu.ro> wrote: > On Sep 25, 2014, at 12:05 PM, Petru Ratiu <rpe...@gmail.com> wrote: > > > > Hai sa nu o luam pe carari, nu e bigger than heartbleed. > > Doar pentru faptul ca l-a scos pe DJB la lumina si a transformat qmail in > attack vector, merita "bigger than heartbleed". > > Problema pe care o am cu aceasta campanie exagerata este ca au inceput FUD-urile gen "open source e de kkt".
Tind sa fiu de acord cu RMS cum ca e "just a blip on the radar". Daca te uiti la vectorii de atac identificati pana acum avem asa ( https://www.dfranke.us/posts/2014-09-27-shell-shock-exploitation-vectors.html ). 1. CGI-uri scrise in bash sau care apeleaza bash 2. Pagini web (in orice limbaj sau orice server environment) care apeleaza bash cu variabile de mediu setate cu client-controlled data 3. Loginuri SSH care restrictioneaza userul cu ForcedCommand scris in bash 4. tcp servers djb-style (cu /etc/tcprules si tcpserver) 5. qmail, procmail, exim cu targets de delivery scrise in bash 6. dhclient, care are hookuri in bash pe multe distro-uri 7. openvpn, care poate rula chestii date de server 8. alte chestii suficient de exotice Imo, singurele din lista asta care-s suficient de generice sunt 1 si eventual 2 (mainly daca se gaseste ceva default in wordpress, drupal, cpanel sau alt soft de genul asta). IMHO sistemele care intra la 1. sunt cele cu adevart periculoase pentru ca cine traieste in 1998 probabil nici nu practica asta cu update-urile foarte des (cele 2-3 scanuri malitioase de care am dat pana acum incercau sa puna ddos-bots, sa te tii atacuri de-acu incolo). 3. e potential periculos, da' asta se intampla dupa auth. Trebuie ceva medii speciale unde permiti userilor anonimi sa faca ssh. 4. si 5. sunt intr-adevar un issue, in special daca weaponizable usor (i.e. default installs fac asta cu envelope sender sau alte headere controlabile de sender), dar se rezolva cu bash upgrade (sau daca alea ruleaza cu un /bin/sh care nu e bash - iirc djb e foarte posix-friendly cu scripturile) 6. e nasol da' implica ca fie cineva sa-ti hackereasca serverul dhcp, fie sa-ti bage un rogue dhcp server in retea - problema pe care vrei sa o eviti din mult mai multe motive, gen MITM. 7. necesita sa compromiti serverul de openvpn. All in all, fereastra de atac e deschisa pana la update-ul de bash pe sistemele cu pricina, care mainly tine de cat de up-to-date sta userul (din cate stiu toate distro-urile s-au miscat rapid). E intr-adevar nasol, da' nu e "bigger than heartbleed", si in nici un caz nu e proof ca open source sucks sau ca djb sucks sau ca GNU sucks. -- P. _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
