| Aeyoun | «E: Release file for http://ftp.no.debian.org/debian/dists/testing/InRelease is expired (invalid since 4h 2min 16s). Updates for this repository will not be applied.» | 00:49 |
|---|---|---|
| Aeyoun | Øhm. De norske mirrorene vil oppdatere core pakker med unsigned versjoner. Hva skjer? | 00:53 |
| Aeyoun | Main mirrorene vil ikke oppdatere disse pakkene i det heletatt. Tror dere som bruker mirrors for Debian og Ubuntu fra uninett.no bør la være og oppdatere. | 00:55 |
| _404`d | Så da er patchen for bash exploit no. 2 ute i repoene? | 10:45 |
| _404`d | ser slik ut iallefall | 10:46 |
| hjd | http://packages.ubuntu.com/trusty/bash -> http://changelogs.ubuntu.com/changelogs/pool/main/b/bash/bash_4.3-7ubuntu1.4/changelog | 10:47 |
| hjd | Ser sånn ut ja. | 10:48 |
| hjd | Med mindre noen har funnet noe mer etter https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169 | 10:48 |
| _404`d | Er vell bare et spørsmål om tid | 10:49 |
| hjd | Skal vel ikke se bort ifra at en del flere graver i koden for å finne mystiske ting nå for tiden. Det som er kjekt er jo at de tingene som har blitt oppdaget har blitt fikset rimelig kjapt :) | 10:50 |
| RoyK | _404`d: så er det bare å vente på patch for exploit no. {3..218} | 12:06 |
| _404`d | Er en grunn til at jeg drar med meg laptopen i ferien | 12:06 |
| geirha | a='() { :;};echo CVE-2014-6271 FAIL' b='() { (a)=>\' bash -c "/dev/stdout echo CVE-2014-7169 FAIL||echo CVE-2014-7169 OK;a||echo CVE-2014-6271 OK;unset a b;printf CVE-2014-7186\ ;(echo '<<'{A..K} $'\n'{A..K}$'\n'|\$0)&&echo OK||echo FAIL" 2>/dev/null | 14:18 |
| geirha | tester tre av feilene | 14:19 |
| RoyK | bugsbugsbugs | 15:01 |
| geirha | Hm. heredoc-testen gir OK på OSX. Enten detekterer ikke OSX sin libc at det går over grensa, eller så har de lappet den feilen selv allerede | 15:03 |
| geirha | tipper på førstnevnte | 15:04 |
| RoyK | hvilken os x? | 15:04 |
| geirha | tja. Hvordan fant man nå ut det ... | 15:05 |
| RoyK | eplet øverst til venstre - om denne maskinen | 15:05 |
| geirha | der ja, 10.8.5 | 15:05 |
| _404`d | Eplemeny -> Om maskinen elns | 15:05 |
| RoyK | eller noe sånt på engelsk | 15:05 |
| _404`d | heh | 15:06 |
| RoyK | CVE-2014-6271 FAIL | 15:06 |
| RoyK | CVE-2014-7169 FAIL | 15:06 |
| RoyK | på 10.6.8 | 15:06 |
| RoyK | har ikke oppdatert på ei stund - litt full disk :P | 15:06 |
| geirha | Ja, ser ikke ut til at apple har utgitt patcher til noen av OSX-versjonene | 15:07 |
| RoyK | kanskje kjøpe en 500GB SSD og installere på nytt :P | 15:07 |
| _404`d | Oh så vi er oppe i 4 exploits nå? | 15:07 |
| RoyK | for (bashfail=0;;bash++) ... | 15:07 |
| RoyK | for (bashfail=0;;bashfail++) ... | 15:07 |
| RoyK | eller.no | 15:07 |
| geirha | 6271 og 7196 som er de "farlige", de andre er av en mindre farlig karakter | 15:08 |
| _404`d | Glad jeg tok med meg laptopen på ferie da :/ | 15:08 |
| _404`d | *:V | 15:08 |
| _404`d | Får vell oppdatere testskriptet mitt når vi lander | 15:08 |
| geirha | Hva? har du ikke ssh på mobilen? :p | 15:08 |
| _404`d | Bare kronglete med 10+ installasjoner og unike passord på kontoer | 15:09 |
| geirha | Vel, stort sett bare farlig om man har en webserver med CGI | 15:10 |
| _404`d | Yeah, hvilket AFAIK jeg ikke har | 15:10 |
| _404`d | Vet ikke om AB hjemmesentralen da | 15:10 |
| _404`d | Men liker å få patchet det uansett | 15:10 |
| RoyK | CGI gikk vel ut på dato i 2001 eller noe :P | 15:10 |
| _404`d | Om ikke tidligere | 15:11 |
| RoyK | husker jeg en gang prøvde å "fikse" på en poll på aftenposten.no - i 1998 eller noe - laga et lite perl-skript og kjørte ei løkke type "while true; do ./mittskript.pl ; done" | 15:12 |
| _404`d | Haha | 15:12 |
| RoyK | funka greit - så kom det en kollega og spurte hvorfor jeg ikke la løkka inne i skriptet - prøvde - lot det kjøre i 10sek eller noe | 15:12 |
| _404`d | Trist at det kan gjøres relativt ofte selv i disse daget | 15:12 |
| RoyK | aftenposten.no var plutselig veldig, veldig nede | 15:12 |
| _404`d | Dager | 15:12 |
| _404`d | ./whoopsie | 15:12 |
| _404`d | Men da får jeg vel skru av telefonen, snakkast | 15:13 |
| RoyK | http://nrkbeta.no/2013/01/28/over-en-million-nrkbetalesere-kan-vel-ikke-ta-feil/ | 15:13 |
| geirha | eheh | 15:13 |
| geirha | MacPorts har i det minste fått ut bash 4.3.26 | 15:19 |
| RoyK | fin kommentar i den nrkbeta-artikkelen: Eg tykkjer det er viktig at nettavisene legg ut slike avstemmingar slik at folk som kan litt grunnleggjande programmering får høve til å påverke opinionen i rett retning. Tenk om ein skulle la journalistar og politikarar styre kva folk meiner. | 15:39 |
| geirha | haha | 15:43 |
| === Aeyoun_ is now known as Aeyoun | ||
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!