A mai posztot Lovas Endre küldte nekünk, a Parkolás app készítője. Fontos tanácsok vannak benne, érdemes megfontolni.
## Shellshock hiba (CVE-2014-6271)
Nem vagyunk biztonsági szakértők, ne is kérdezzétek, hogy hogyan lehet a hibát kihasználni, de állítólag felfedeztek egy 10-es skálán 11-et érő biztonsági hibát. Biztonsági szakértők szerint a hiba súlyosabb, mint az OpenSSL hiba volt fél évvel ezelőtt. Olyan hiba, ami minden OSX felhasználó érint, szóval érdemes tovább olvasnod.
## Mi is a hiba
Állítólag egy érintett számítógépen tetszőleges kód lefuttatható, amennyiben az bash shellen futó szolgáltatást futtat, mindenféle jogosultság, bejelentkezés, jelszó, vagy bármi más nélkül, akár távolról, a felhasználó tudta nélkül. Mi nem tudjuk, hogy hogyan lehet kihasználni, de azért az elég világos, hogy ha a gépeden tetszőleges kód futtatható, az nem kedvező rád nézve. Higgyük el, hogy így van.
## Kit érint?
Gyakorlatilag minden 20 évnél fiatalabb (!!!) *nix alapú rendszer érintett, ami bash shellt futtat. Unix, Linux, BSD, OSX és sorolhatnánk. Milliónyi internetre kapcsolt router, tűzfal, számítógép, okostelefon, videkonferencia rendszer, szerver, vasúti jelzőlámpa, épületgépészet felügyelet stb. Szóval a lista nagyon hosszú. Állítólag annyira hosszú a lista, hogy soha, de soha nem lesz az összes kijavítva.
## Van-e rá javítás?
Apple még nem adott ki hivatalos frissítést. Kézzel a hiba javítható. A probléma az, hogy a jelenleg elérhető javítás nem lett tökéletes, így létrejött egy másik hiba (CVE-2014-7169), amire tegnap jelent meg a javítás.
## Én érintett vagyok a Macemmel?
Egyszerű kideríteni. Nyisd meg a terminált és add ki a következő parancsot:
env x='() { :;}; echo sebezheto' bash -c "echo ez csak egy teszt"
Ha megjelenik, hogy “sebezheto”, akkor a rendszered sebezhető.
## Ok, hogy javítsam meg?
Ez már igényel némi tornát. Ha nem tudod, hogy hogyan kell a terminált használni, akkor javasoljuk, hogy kérj segítséget. Mi innen vettük a megoldást, amit leírunk nektek magyarul.
1) Töltsd le és telepítsd az XCode-ot az App Store-ból. Ingyenes.
2) Indítsd el és fogadd el a licencmegállapodást. Kiléphetsz belőle
3) Indítsd el a terminált
4) Add ki a következő parancsokat:
cd /tmp
mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -
(ha SSL miatt nyafog, akkor írd a curl után a —insecure kapcsolót
cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0
cd ..
xcodebuild
5) Ellenőrizd, hogy ami létrejött, az a megfelelő verzió-e az alábbi parancsokkal:
build/Release/bash --version
build/Release/sh --version
Ha azt kapod vissza, hogy 3.2.52, akkor jól állsz.
6) Most megcsináljuk a második javítást is a 7169-hez.
mv build/bash.build/Release/bash.build/DerivedSources/y.tab.* bash-3.2/
cd bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-053 | patch -p0
cd ..
xcodebuild
7) Ellenőrizd, hogy ami létrejött, az a megfelelő verzió-e az alábbi parancsokkal:
build/Release/bash --version
build/Release/sh --version
Ha 3.2.53, akkor minden hibát javítottál. Most bemásolunk mindent a helyére
8) Biztonsági mentést csinálunk a régi bash-ről:
sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
9) Végül az új javított bash-t bemásoljuk a helyére:
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin
10) Indítsd újra a gépedet!
## Ez megvéd?
Elvileg igen. A CVE-2014-6271 számú alaphibától igen. A CVE-2014-7169 számútól szintén. Teszteld le a javítást a terminálból:
env x='() { :;}; echo sebezheto' bash -c "echo ez csak egy teszt"
Itt nem jelenhet meg a “sebezheto” szó.
És nézd meg, hogy a 7169 hiba ellen is védett vagy-e:
cd /tmp; env X='() { (a)=>\' bash -c "echo date"; cat echo
Ha utóbbi kiírja az aktuális dátumot, akkor a 7169-es hibát nem javítottad ki és valamit elszúrtál a fent leírtakkal.
A posztban lévő parancsokat mindenki a saját felelősségére futtatja.
szucsadam
2014.09.27. 09:18
Mert mit állítottak a bendgate kapcsán az érintettek?
- Az iPhone 6 Plus könnyen hajlik el zsebben
- Az iPhone 6-tal nincsenek ilyen gondok, valószínűleg a mérete miatt
Mit állított az Apple?
- A telefonokat szigorú vizsgálatoknak vetik alá, pontosan ismerik azt az erőt, amitől elhajlik
- Ez az erő úgy lett kiválasztva, hogy a mindennapi használat során ne hajoljon el, és nem is hajlik
- Kilenc ember panaszkodott a sok millióból erre az Apple Store-okban
Eddig csak kézzel hajlítós videókat láttunk, amik látszólag igazolták a támadásokat, de most a Consumer Report nevű, neves független minőségellenőrző szervezet egy jóval tudományosabb kísérletet hajtott végre. Gépre tették a két iPhone 6-ost, meg három másik telefont (HTC One M8, Samsung Galaxy Note 3, LG G3), hogy megnézzék, melyik mekkora erőtől hajlik el.
A két állítás, aminek mindegyike alkalmas arra, hogy a bendgate-et alaptalan hisztinek állítsa be:
- Az iPhone 6 és az iPhone 6 Plus középmezőnyben végzett, ami a hajlításhoz szükséges erőt illeti, vagyis a piacon már jó ideje árulnak náluk sokkal hajlékonyabb modelleket
- Az iPhone 6 könnyebben hajlik, mint az iPhone 6 Plus. Pedig a 6-osra senki nem panaszkodott, sőt dicsérték ebből a szempontból.
Az új iPhone-ok tehát nem a piac legellenállóbb telefonjai, de nem is a leggyengébbek. A bandgate meg lufi.
Akik hasznot húztak belőle, azok az ügyes marketingeseket alkalmazó cégek:
szucsadam
2014.09.26. 11:18
Címkék: kamera iphone 6
Kész. Megmondták. Ráadásul a szakmában elismert DxO Labs, akik több ezer készüléket tesztelnek, értékelnek és állítanak sorba a mobiloktól, belépő szintű kompaktoktól kezdve egészen a legjobb DSLR-ekig. Szerintük a két telefon ennyi pontot érdemel:
Amivel kivívták maguknak a "legjobb okostelefon kamera" díját:
Ott kullog mögöttük az összes kinyaltoptikás kameramobil, a tesztelők meg ódákat zengtek.
They have very good, generally reliable auto-exposure in a wide range of lighting conditions and they have both fast and accurate autofocus. Output from the 8-Mpix stills improves the high level of detail in both outdoor and indoor lighting. In low light, noise reduction is handled well with images revealing fine-grained luminance noise and little of the distracting color (chroma) noise.
Na, elnézzük ezért cserébe, hogy picit hajlanak? Elnézzük, az ég áldjon minket, el?
szucsadam
2014.09.26. 09:23
Címkék: bendgate
A bendgate-re reagálva az Apple először elárulta, hogy összesen 9 vásárló fordult hozzájuk náluk ilyen problémával, majd újságírókat hívott a saját laboratóriumába, ahol megmutatta nekik, hogyan tesztelik az iPhone-okat és a leendő termékeket. Az újságírók meg naná, hogy mentek, ritkán engedik be őket ilyen helyekre.
Szóval megmutatták, hogy egy-egy eszközt milyen borzalmas gyötréseknek vetnek alá, milyen pontosan megmérik az erőt, amivel el lehet hajlítani a telefont, különböző eseteket szimulálnak, többek között azt, hogy valaki leül egy székre, farzsebében az iPhone 6 Plusszal.
Továbbra is azt állítják, hogy az iPhone 6 a napi átlagos használat során nem hajlik meg. NEM.
Klasszikus van probléma - nincs probléma eset. (Egyébként továbbra sem az a baj, hogy meghajlik, hanem hogy úgy marad. Az meg a vékony alumíniumház miatt van.)
