[00:49] «E: Release file for http://ftp.no.debian.org/debian/dists/testing/InRelease is expired (invalid since 4h 2min 16s). Updates for this repository will not be applied.» [00:53] Øhm. De norske mirrorene vil oppdatere core pakker med unsigned versjoner. Hva skjer? [00:55] Main mirrorene vil ikke oppdatere disse pakkene i det heletatt. Tror dere som bruker mirrors for Debian og Ubuntu fra uninett.no bør la være og oppdatere. [10:45] <_404`d> Så da er patchen for bash exploit no. 2 ute i repoene? [10:46] <_404`d> ser slik ut iallefall [10:47] http://packages.ubuntu.com/trusty/bash -> http://changelogs.ubuntu.com/changelogs/pool/main/b/bash/bash_4.3-7ubuntu1.4/changelog [10:48] Ser sånn ut ja. [10:48] Med mindre noen har funnet noe mer etter https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169 [10:49] <_404`d> Er vell bare et spørsmål om tid [10:50] Skal vel ikke se bort ifra at en del flere graver i koden for å finne mystiske ting nå for tiden. Det som er kjekt er jo at de tingene som har blitt oppdaget har blitt fikset rimelig kjapt :) [12:06] _404`d: så er det bare å vente på patch for exploit no. {3..218} [12:06] <_404`d> Er en grunn til at jeg drar med meg laptopen i ferien [14:18] a='() { :;};echo CVE-2014-6271 FAIL' b='() { (a)=>\' bash -c "/dev/stdout echo CVE-2014-7169 FAIL||echo CVE-2014-7169 OK;a||echo CVE-2014-6271 OK;unset a b;printf CVE-2014-7186\ ;(echo '<<'{A..K} $'\n'{A..K}$'\n'|\$0)&&echo OK||echo FAIL" 2>/dev/null [14:19] tester tre av feilene [15:01] bugsbugsbugs [15:03] Hm. heredoc-testen gir OK på OSX. Enten detekterer ikke OSX sin libc at det går over grensa, eller så har de lappet den feilen selv allerede [15:04] tipper på førstnevnte [15:04] hvilken os x? [15:05] tja. Hvordan fant man nå ut det ... [15:05] eplet øverst til venstre - om denne maskinen [15:05] der ja, 10.8.5 [15:05] <_404`d> Eplemeny -> Om maskinen elns [15:05] eller noe sånt på engelsk [15:06] <_404`d> heh [15:06] CVE-2014-6271 FAIL [15:06] CVE-2014-7169 FAIL [15:06] på 10.6.8 [15:06] har ikke oppdatert på ei stund - litt full disk :P [15:07] Ja, ser ikke ut til at apple har utgitt patcher til noen av OSX-versjonene [15:07] kanskje kjøpe en 500GB SSD og installere på nytt :P [15:07] <_404`d> Oh så vi er oppe i 4 exploits nå? [15:07] for (bashfail=0;;bash++) ... [15:07] for (bashfail=0;;bashfail++) ... [15:07] eller.no [15:08] 6271 og 7196 som er de "farlige", de andre er av en mindre farlig karakter [15:08] <_404`d> Glad jeg tok med meg laptopen på ferie da :/ [15:08] <_404`d> *:V [15:08] <_404`d> Får vell oppdatere testskriptet mitt når vi lander [15:08] Hva? har du ikke ssh på mobilen? :p [15:09] <_404`d> Bare kronglete med 10+ installasjoner og unike passord på kontoer [15:10] Vel, stort sett bare farlig om man har en webserver med CGI [15:10] <_404`d> Yeah, hvilket AFAIK jeg ikke har [15:10] <_404`d> Vet ikke om AB hjemmesentralen da [15:10] <_404`d> Men liker å få patchet det uansett [15:10] CGI gikk vel ut på dato i 2001 eller noe :P [15:11] <_404`d> Om ikke tidligere [15:12] husker jeg en gang prøvde å "fikse" på en poll på aftenposten.no - i 1998 eller noe - laga et lite perl-skript og kjørte ei løkke type "while true; do ./mittskript.pl ; done" [15:12] <_404`d> Haha [15:12] funka greit - så kom det en kollega og spurte hvorfor jeg ikke la løkka inne i skriptet - prøvde - lot det kjøre i 10sek eller noe [15:12] <_404`d> Trist at det kan gjøres relativt ofte selv i disse daget [15:12] aftenposten.no var plutselig veldig, veldig nede [15:12] <_404`d> Dager [15:12] <_404`d> ./whoopsie [15:13] <_404`d> Men da får jeg vel skru av telefonen, snakkast [15:13] http://nrkbeta.no/2013/01/28/over-en-million-nrkbetalesere-kan-vel-ikke-ta-feil/ [15:13] eheh [15:19] MacPorts har i det minste fått ut bash 4.3.26 [15:39] fin kommentar i den nrkbeta-artikkelen: Eg tykkjer det er viktig at nettavisene legg ut slike avstemmingar slik at folk som kan litt grunnleggjande programmering får høve til å påverke opinionen i rett retning. Tenk om ein skulle la journalistar og politikarar styre kva folk meiner. [15:43] haha === Aeyoun_ is now known as Aeyoun