[00:49] <Aeyoun> «E: Release file for http://ftp.no.debian.org/debian/dists/testing/InRelease is expired (invalid since 4h 2min 16s). Updates for this repository will not be applied.»
[00:53] <Aeyoun> Øhm. De norske mirrorene vil oppdatere core pakker med unsigned versjoner. Hva skjer?
[00:55] <Aeyoun> Main mirrorene vil ikke oppdatere disse pakkene i det heletatt. Tror dere som bruker mirrors for Debian og Ubuntu fra uninett.no bør la være og oppdatere.
[10:45] <_404`d> Så da er patchen for bash exploit no. 2 ute i repoene?
[10:46] <_404`d> ser slik ut iallefall
[10:47] <hjd> http://packages.ubuntu.com/trusty/bash -> http://changelogs.ubuntu.com/changelogs/pool/main/b/bash/bash_4.3-7ubuntu1.4/changelog
[10:48] <hjd> Ser sånn ut ja.
[10:48] <hjd> Med mindre noen har funnet noe mer etter https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169
[10:49] <_404`d> Er vell bare et spørsmål om tid
[10:50] <hjd> Skal vel ikke se bort ifra at en del flere graver i koden for å finne mystiske ting nå for tiden. Det som er kjekt er jo at de tingene som har blitt oppdaget har blitt fikset rimelig kjapt :)
[12:06] <RoyK> _404`d: så er det bare å vente på patch for exploit no. {3..218}
[12:06] <_404`d> Er en grunn til at jeg drar med meg laptopen i ferien
[14:18] <geirha> a='() { :;};echo CVE-2014-6271 FAIL' b='() { (a)=>\' bash -c "/dev/stdout echo CVE-2014-7169 FAIL||echo CVE-2014-7169 OK;a||echo CVE-2014-6271 OK;unset a b;printf CVE-2014-7186\ ;(echo '<<'{A..K} $'\n'{A..K}$'\n'|\$0)&&echo OK||echo FAIL" 2>/dev/null
[14:19] <geirha> tester tre av feilene
[15:01] <RoyK> bugsbugsbugs
[15:03] <geirha> Hm. heredoc-testen gir OK på OSX. Enten detekterer ikke OSX sin libc at det går over grensa, eller så har de lappet den feilen selv allerede
[15:04] <geirha> tipper på førstnevnte
[15:04] <RoyK> hvilken os x?
[15:05] <geirha> tja. Hvordan fant man nå ut det ...
[15:05] <RoyK> eplet øverst til venstre - om denne maskinen
[15:05] <geirha> der ja, 10.8.5
[15:05] <_404`d> Eplemeny -> Om maskinen elns
[15:05] <RoyK> eller noe sånt på engelsk
[15:06] <_404`d> heh
[15:06] <RoyK> CVE-2014-6271 FAIL
[15:06] <RoyK> CVE-2014-7169 FAIL
[15:06] <RoyK> på 10.6.8
[15:06] <RoyK> har ikke oppdatert på ei stund - litt full disk :P
[15:07] <geirha> Ja, ser ikke ut til at apple har utgitt patcher til noen av OSX-versjonene
[15:07] <RoyK> kanskje kjøpe en 500GB SSD og installere på nytt :P
[15:07] <_404`d> Oh så vi er oppe i 4 exploits nå?
[15:07] <RoyK> for (bashfail=0;;bash++) ...
[15:07] <RoyK> for (bashfail=0;;bashfail++) ...
[15:07] <RoyK> eller.no
[15:08] <geirha> 6271 og 7196 som er de "farlige", de andre er av en mindre farlig karakter
[15:08] <_404`d> Glad jeg tok med meg laptopen på ferie da :/
[15:08] <_404`d> *:V
[15:08] <_404`d> Får vell oppdatere testskriptet mitt når vi lander
[15:08] <geirha> Hva? har du ikke ssh på mobilen? :p
[15:09] <_404`d> Bare kronglete med 10+ installasjoner og unike passord på kontoer
[15:10] <geirha> Vel, stort sett bare farlig om man har en webserver med CGI
[15:10] <_404`d> Yeah, hvilket AFAIK jeg ikke har
[15:10] <_404`d> Vet ikke om AB hjemmesentralen da
[15:10] <_404`d> Men liker å få patchet det uansett
[15:10] <RoyK> CGI gikk vel ut på dato i 2001 eller noe :P
[15:11] <_404`d> Om ikke tidligere
[15:12] <RoyK> husker jeg en gang prøvde å "fikse" på en poll på aftenposten.no - i 1998 eller noe - laga et lite perl-skript og kjørte ei løkke type "while true; do ./mittskript.pl ; done"
[15:12] <_404`d> Haha
[15:12] <RoyK> funka greit - så kom det en kollega og spurte hvorfor jeg ikke la løkka inne i skriptet - prøvde - lot det kjøre i 10sek eller noe
[15:12] <_404`d> Trist at det kan gjøres relativt ofte selv i disse daget
[15:12] <RoyK> aftenposten.no var plutselig veldig, veldig nede
[15:12] <_404`d> Dager
[15:12] <_404`d> ./whoopsie
[15:13] <_404`d> Men da får jeg vel skru av telefonen, snakkast
[15:13] <RoyK> http://nrkbeta.no/2013/01/28/over-en-million-nrkbetalesere-kan-vel-ikke-ta-feil/
[15:13] <geirha> eheh
[15:19] <geirha> MacPorts har i det minste fått ut bash 4.3.26
[15:39] <RoyK> fin kommentar i den nrkbeta-artikkelen:  Eg tykkjer det er viktig at nettavisene legg ut slike avstemmingar slik at folk som kan litt grunnleggjande programmering får høve til å påverke opinionen i rett retning. Tenk om ein skulle la journalistar og politikarar styre kva folk meiner.
[15:43] <geirha> haha