Řadu webů ohrožuje chyba zvaná "Shell Shock", aktualizujte Bash

Zdroják » Zprávičky » Řadu webů ohrožuje chyba zvaná „Shell Shock“, aktualizujte Bash

Řadu webů ohrožuje chyba zvaná „Shell Shock“, aktualizujte Bash

Nálepky:

bezpečnost

Včera nahlášená chyba v Bashi může být zneužitelná skrze web server – viz průzkum Roberta Grahama. Její rozsah bude podle Roberta srovnatelný s Heartbleed.

Princip chyby předvádí následující kód, který kromě bash skriptu spustí také obsah proměnné x:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Doporučuje se neprodlená aktualizace Bashe (týká se nejen Linuxu, ale i OS X).

Více se o „Shell Shock“ dočtete:

Martin Hassman

Martin Hassman založil a řadu let vedl magazín Zdroják, absolvoval VŠCHT Praha, pořádal řadu konferencí, pomáhal s rozšířením otevřených technologií, byl u založení projektů CZilla, Dáme roušky a dalších. Vymyslel a dva roky vedl dobrovolnický projekt Movapp pod Česko.Digital. Nyní pracuje jako produktový manažer v datové platformě Golemio.cz.

Komentáře

Odebírat

2 Komentářů

Nejstarší

Nejnovější Most Voted

Inline Feedbacks

Zobrazit všechny komentáře

Roman Ožana

Admin

11 let před

Návod na aktualizaci bash na macu OS X: http://www.nabito.net/how-to-fix-shell-shock-bash-bug-on-os-x/

Odpovědět

Mirek Prýmek

Odpovědět na Roman Ožana

11 let před

Tenhle postup ale neřeší záplatování /bin/sh, takže jakýkoli skript s „#!/bin/sh“ bude dál krásně zranitelný :)

Lepší postup je třeba tady: http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an

Odpovědět

QR kód: historie, princip fungování a překvapivá technická hloubka

QR kód je dnes všudypřítomný – od restaurací přes plakáty až po platební terminály. Přesto jeho vznik a princip fungování zůstávají pro mnoho lidí záhadou. Tento článek vysvětluje historii QR kódu, jeho technickou strukturu, kapacitu dat a jednoduché způsoby, jak si vlastní QR kód vytvořit.

Jak Reddit migroval svou funkcionalitu komentářů z Pythonu do Go

Reddit modernizuje jednu ze svých nejdůležitějších částí infrastruktury: systém komentářů, který denně obsluhuje miliony uživatelů. Původní Pythonový monolit přestával vyhovovat nárokům na výkon a škálování, a proto se tým rozhodl přepsat celý backend komentářů do Go. Migrace probíhala postupně, s paralelním během staré a nové služby, aby nedošlo k narušení uživatelské zkušenosti. Inženýři zavedli detailní porovnávání odpovědí, izolované databáze a robustní monitoring, což umožnilo bezpečné testování na živém provozu. Celý proces ukazuje, jak lze zásadní infrastrukturní změny provést bez výpadků a s důrazem na konzistenci dat.

Bun v1.3.4: URLPattern, fake timers, lepší buildy a desítky oprav

Bun 1.3.4 přináší praktické vylepšení a opravy, které usnadňují vývoj aplikací v JavaScriptu a TypeScriptu. Novinky zahrnují moderní routing, rychlejší testování a stabilnější runtime.