Lars Kr. Lundin

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til GovCert: Derfor ventede vi en dag med at informere om Shellshock

Re: PHP, m.m.

I følge Red Hat har du ikke ret Enig. Tak fordi du undersøgte det. jeg er bange for, at vi råber "ulv" for mange gange. Og når der så en dag virkelig er noget fælt på færde Hvad er virkelig fælt i forhold til et zero-day remote exploit som et barn kan udføre?

Re: eller

En klient kan i visse tilfælde overtage en sårbar server via http/cgi Igår nævnte jeg i en anden tråd her at der faktisk ikke skal CGI til, en anden mulighed er en HTML side der kalder PHP's system() (på et system hvor /bin/sh er lænket til en upatchet bash).

Re: eller

For det første så har f.eks. google deres 'Vulnerability Reward Program' (du kan google det). For det andet så kan jeg love dig at kommercielle software licenser er meget forsigtige med at garantere noget som helst om hvad softwaren kan og ikke kan, og altid indeholder en meget tydelig ansvarsfr...
Kommentar til GovCert: Derfor ventede vi en dag med at informere om Shellshock

Re: Hysteri

Ikke-bash CGI-scripts, der kalder andre programmer, kan vel også kan være problematisk? QUERY_STRING kan vel arves og komme til bash? import os status = os.system('printenv | grep SHELL') SHELL=/bin/bash Ja, det er hele pointen (som jeg næ...
Kommentar til GovCert: Derfor ventede vi en dag med at informere om Shellshock

Re: Hysteri

Hvordan rent praktisk vil det kunne lade sig gøre at udløse sårbarheden (når den eneste tilgang udefra er gennem port 80), hvis et CGI-script kalder system()? Det fordrer vel muligheden for at kunne ændre i selve scriptet? Nej, scriptet skal ikke ændres, det er det der er så smart (eller sl...
Kommentar til GovCert: Derfor ventede vi en dag med at informere om Shellshock

Re: Hysteri

Og visse situationer omkring CGI-scripts (men hvor mange benytter bash-baseret CGI-scripting?). Uanset hvor mange eller få der benytter bash til CGI), så er det ikke så simpelt. Mange systemer lænker /bin/sh til bash. Hvis f.eks. et CGI-script (python, perl, et C-program (!)) kalder system(...
Kommentar til GovCert: Derfor ventede vi en dag med at informere om Shellshock

Debian sendte mail om patch onsdag

»Vi meldte det ud torsdag. Vi reagerer ikke på andres meldinger om, at det er farligt. Der er altid noget, der er farligt. I stedet kigger vi på, om der rent faktisk er nogen, der forsøger at udnytte sårbarheden, før vi melder ud,« siger chefen for netsikkerhedsafdelingen i Center for Cybersikker...
Kommentar til Shellshock: Statsligt it-system stod pivåbent efter advarsler

CVE-2014-6278 ?

Det lader til at bash snart skal patches igen.
Kommentar til Shellshock: Statsligt it-system stod pivåbent efter advarsler

Re: Hvorfor kan de her systemer tilgås direkte?

FreeBSD gik fri denne gang fordi bash ikke er en default-komponent. Det samme kan vel siges om Debian(-baseret) Linux, som ikke lænker /bin/sh til bash, eller hvad? Forresten så startes /bin/sh jo af C's system(), som også kan kaldes fra f.eks. perl (som dog (naturligvis) er non-standard og...

Re: CVE-2012-5955

Jeg synes nu at: http://www-01.ibm.com/support/docview.wss?&uid=swg2162094 er temmelig klar Er det bare mig, eller findes siden ikke mere?

En Skakbrik ?

Hvis man ellers kan se bort fra den usædvanligt lange varetægtsfængsling af to personer, som med stor sikkerhed ikke kan kendes skyldige i noget som helst, så er det en underholdende historie. Hvorfor gemme SD-kortet i en skakbrik? Det lyder som noget fra en spionroman fra forrige århundrede, og...
Kommentar til Hvilken idiot fik den ide ?

Re: Dagens ret

Når bash startes så gennemløber den environment variable for at se om der er "funktioner" defineret i dem (på den måde kan man "eksportere" bash funktioner). Opgaver, der når op på den (lille) kompleksitet, skal således ikke kodes i bash.
Kommentar til Hvilken idiot fik den ide ?

Re: Unix shell script, og

Som udgangspunkt: Alle kompilerede sprog ? Fair nok, jeg glemte at skrive 'fortolkede' sprog...
Kommentar til Hvilken idiot fik den ide ?

Re: Unix shell script, og

Hvis du vil fortolke data som program skal du explicit bede om det, f.eks med 'eval' eller "back-ticks" Ja. Med 'perl -T' kan man dertil i nogen grad beskytte sig mod at inddata utilsigtet eksekveres ifbm. setuid. Er der andre og mindre forkætrede sprog med samme mulighed? PS. V2s...
Kommentar til Hvilken idiot fik den ide ?

Re: Og varianten på z/OS

ikke helt det samme Hvorfor ikke? Tilbage i midten af 90'erne arbejdede jeg med et ikke helt uvigtigt udenlandsk system, som uden videre kunne tilgås med ftp, men som krævede en manuel arbejdsgang, hvis man skulle udføre kode på maskinen. For at lette arbejdet, så gav en kollega mig netop ...

Re: »De her programmer bruges i

Hele arbejdsprocessen går ud på at verificere imagefilerne før man arbejder med dem. Men er det egentligt tilstrækkeligt at undersøge imagefilerne? Den sigtedes computer kan jo også køre med modificeret firmware (f.eks. til kontrol af harddisken) - og det kan jo være lavet sådan at de inter...
Kommentar til Hackersagen dag 8: Strid om krypteret container

Hacking for fun and profit

Her er så åbenbart Wargs og JT's drejebog for hvordan man tjener på hacking: 1) Sæt en fjernstyrbar PC på internettet, 2) Opfør dig iøvrigt som om du har interesse for at trænge ind på computersystemer (det hedder vist sikkerhedsanalytiker) 3) Lad dig arrestere og varetægtsfængsle for indtrængen ...

Re: Zero-day eller FTP-password?

Det lyder selvfølgelig bedre med zero-day sårbarhed Ja, som allerede nævnt her på V2, så skulle det være en smal sag for anklageren at beskrive præcis hvilken zero-day, der blev udnyttet. For den er naturligvis blevet ordnet nu her så længe efter...

Re: Kgl Bib

Alt går trægt.. Ikke i IT-foregangslandet Norge, som simpelthen digitaliserer og offentliggør deres samlede skrevne kulturarv: http://www.information.dk/protokol/484190 I den sammenhæng virker et enkelt nok så velset dansk leksikon og de andre tilsvarende danske enkelt-projekter som dråber...
Kommentar til LinkedIn kan afsløre hemmelige e-mailadresser

sikkerhedsfirma ?

Kan man tage et sikkerhedsfirma seriøst hvis det programmerer vha. "en Microsoft Excel macro" ?