Chirurgia spinală minim invazivă
Chirurgia spinală minim invazivă oferă pacienților oportunitatea unui tratament eficient, permițându-le o recuperare ultra rapidă și nu în ultimul rând minimizând leziunile induse chirurgical. Echipa noastră utilizează un spectru larg de tehnici minim invazive, din care enumerăm câteva: endoscopia cu variantele ei (transnazală, transtoracică, transmusculară, etc), microscopul operator, abordurile trans tubulare și nu în ultimul rând infiltrațiile la toate nivelurile coloanei vertebrale. www.neurohope.ro |
Shellshock, la fel de important ca Heartbleed
Last Updated: Sep 27 2014 21:24, Started by
marco71
, Sep 26 2014 21:00
·
0
#1
Posted 26 September 2014 - 21:00
De 2 zile a fost descoperita o noua bresa (code injection vulnerability) in lumea linux, de data asta in BASH shell.
Toate versiunile de Bash sunt afectate iar impactul este 'Critical', cum il catalogheaza RedHat in Bugzilla (detalii: CVE-2014-6271). Partea nasoala e ca fixul din prima zi de la 'maintenarii' bash de la gnu.org (patch-ul bash31-018 pt. v3.1 sau bash32-052 pt. v3.2, s.a.m.d.) nu rezolva complet problema (bash-shell e tot vulnerabil), dupa cum au descoperit mai multi developeri, ceea ce a degenerat in CVE-2014-7169 si a impus luarea de masuri, fara a mai astepta dupa cei de la gnu.org. Astfel, RedHat de exemplu, a scos 'errata' RHSA-2014-1306 prin care anunta update-uri de versiuni bash pentru toate branch-urile lor (5, 6, 7): Quote
RHSA-2014-1306 Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.4 Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.2 Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.4 Developerii altor distro-uri au scos la randul lor versiuni patch-uite de bash, de ex. Slackware a publicat in SSA:2014-268-01 update-uri pentru versiunile 13.0, 13.1, 13.37, 14.0, 14.1 si 'current' Sunt disponibile pe net si metode de testare a versiunii instalate de BASH, de catre fiecare, pentru a detecta daca e vulnerabila sau nu... rulati in consola bash c-da: env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test" iar daca aveti in output cuvantul 'vulnerable' (ca mai jos), atunci trebuie sa actualizati versiunea de bash: vulnerable bash: BASH_FUNC_x(): line 0: syntax error near unexpected token `)' bash: BASH_FUNC_x(): line 0: `BASH_FUNC_x() () { :;}; echo vulnerable' bash: error importing function definition for `BASH_FUNC_x' test Versiunea initiala de fix (CVE-2014-6271) de la gnu.org returneaza ceva de genul: bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' bash: error importing function definition for `BASH_FUNC_x()' test insa versiunile revizuite de developerii distro-urilor care au luat astazi masuri (conform cu CVE-2014-7169) returneaza ceva de genul: bash: warning: x: ignoring function definition attempt bash: error importing function definition for `BASH_FUNC_x' test Mai puteti testa daca versiunea de bash pe care-o aveti instalata rezolva CVE-2014-6271, dar este inca vulnerabila (sau nu) la CVE-2014-7169, prin apelarea unei functii bash care in versiunea buggy poate sa creeze un fisier temporar, dar nu si in versiunea full-patched: cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo Practic se incearca scrierea datei (si orei) curente intr-un fisier temporar (numit 'echo') dintr-un folder cu full-permissions (/tmp), dupa care se afiseaza continutul fisierului; daca vedeti data curenta (cam ca mai jos), inca versiunea de bash e vulnerabila: bash: x: line 1: syntax error near unexpected token `=' bash: x: line 1: `' bash: error importing function definition for `x' Fri Sep 26 11:49:58 GMT 2014 in schimb daca data curenta nu e afisata si mai primiti si un mesaj ca fisierul nu exista, atunci sunteti OK: date cat: /tmp/echo: No such file or directory P.S. sper sa nu aveti prea multe servere de patch-uit, ca eu de vreo 2 zile doar asta am facut Edited by marco71, 26 September 2014 - 21:09. |
#2
Posted 27 September 2014 - 17:46
#3
Posted 27 September 2014 - 21:24
Pai unde s-a putut am automatizat, de ex. la masinile RHEL inregistrate la Sattelite am aplicat errata RHSA-2014-1306 din interfata; unde am avut un user comun de ssh si acces din acelasi VLAN am mai bagat c-zi remote cu dsh ... dar problema a fost zecile de servere distribuite in diverse locatii, cu distro-uri diferite (RHEL v4, 5, 6, SLES v10, 11) si cu policy-uri de security/acces diferite (unele prin VPN, altele prin jump-host-uri publice)
|
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users