推 scott260202: 哇,每一台都中獎 09/25 18:48
推 Bencrie: 這個應該全中槍吧 XD 09/25 19:27
推 sb107912: 我參照上面的測試方法 Ubuntu沒事 Mac中獎了 xDDD 09/25 19:29
→ HamalAri: 全中,arch linux / openwrt / bsd 09/25 19:34
→ storypp: 借標題一問 現在大家都在更新嗎? 我正在安裝MINT 結果.. 09/25 19:45
→ storypp: 現在裝到語言套件下載中..469B/s..(剩餘時間為 901:13) 09/25 19:46
→ storypp: 不知道是不是更新伺服器的問題... Orz.... 09/25 19:47
→ sb107912: 更新伺服器的問題吧 09/25 19:50
推 mstar: 五樓可以把 repo 換到台灣的高速網路中心 09/25 22:31
推 kenduest: 其實這個問題安全性影響不大,用 web 服務然後呼叫 bash 09/25 23:19
→ kenduest: 程式才比較有影響。網路上誇大了問題讓太多人驚恐了 09/25 23:20
推 kenduest: 目前比較少人用 bash 寫 cgi 了 09/25 23:22
→ HamalAri: 嵌入式機器開 php 太肥大,或者admin非資工背景的時候 09/25 23:25
→ HamalAri: bash cgi 就很常見,至少我就是 09/25 23:25
→ HamalAri: 然後不只有 bash cgi吧? 09/25 23:26
→ danny8376: openwrt不是用busybox? 哪來中獎? 09/26 01:09
→ danny8376: 至於BSD系 不一定會用/有bash 09/26 01:14
→ danny8376: anyway 這問題只有bash有 其他shell都沒事 09/26 01:15
→ danny8376: 所以某些系統根本沒中的可能 09/26 01:16
→ danny8376: 再說也要有跑bash才會出事 09/26 01:17
→ danny8376: 但現在很少有服務會跑bash了 09/26 01:17
→ danny8376: 總覺得上面這句好像哪裡怪怪XDDD 範圍好像太大啦www 09/26 01:23
→ kenduest: 嵌入式的 cgi 不大流行使用 bash script 來開發 09/26 02:25
→ chang505: bash都用來跑後端的cron了吧 09/26 02:26
→ chang505: 實際影響不大 09/26 02:26
→ kenduest: 我早期接觸過的專案 cgi 當道時候都是使用 perl 為主 09/26 02:31
→ kenduest: 有些會用 c 撰寫編譯成為 binary 檔案方式執行使用 09/26 02:31
→ kenduest: 目前我是很少看到有專案使用 bash script 當 cgi 呼叫 09/26 02:32
→ kenduest: 最多只有看到 web 那邊接收到相關東西之後,最後 09/26 02:33
→ kenduest: 會去執行 bash script 這類間接的方式 09/26 02:34
→ bamchisu: 全中:centos6-7,mint,debian7,openindiana,rhel6 09/26 02:47
→ danny8376: 嵌入式當然不流行bash script啊 bash都不想用了 09/26 02:59
→ danny8376: bash耗的資源對資源寶貴的嵌入式系統來說太過肥大了 09/26 03:00
推 hirokofan: 如果把bash移掉呢? 09/26 07:08
→ danny8376: 你可以試試 應該還不至於開不了機啦(至少kernel能開XD) 09/26 08:27
→ HamalAri: 需要經常修改的情況,純C 並不是很方便的選擇 09/26 09:52
→ HamalAri: 至於有多少人在用 bash cgi,不是已經有人發表文章了? 09/26 09:52
→ HamalAri: bash 什麼功能都要自已來,沒有現成的 cgi lib 可用 09/26 09:54
→ HamalAri: 本來就不是拿來寫專案的,但為什麼還這麼多 bash cgi ? 09/26 09:55
→ danny8376: shell script寫cgi 某些地方確實會見到 09/26 12:52
→ danny8376: 不過shell不一定用bash跑 也不是所有sh都是bash的link 09/26 12:53
→ danny8376: 至於那些說有很多有bash cgi有掃到洞的 09/26 12:54
→ danny8376: 不知道從列表裡把同時還有heartbleed的砍掉會剩多少? 09/26 12:54
→ danny8376: 反正這漏洞雖然有一定嚴重性 但並不是所有人都會出事 09/26 13:05
→ hirokofan: 看起來只要更新了就好,最慘就是自己重編一下 09/26 13:06
→ danny8376: 不過出不出事是一回事 沒真的忙翻天還是更新一下比較好 09/26 13:07
→ danny8376: 至少省得哪天漏洞全串起來就慘了XD 09/26 13:08
→ danny8376: 其實也不見得要自己重編啦 像debian系近期都改dash 09/26 13:09
→ danny8376: (shell script部分) 所以更新就沒那麼趕XD 09/26 13:10
→ danny8376: 不過有用到直接指名bash的shell script就自己要小心www 09/26 13:10
→ danny8376: 至於BSD/OS X這些 shell script都是用純正sh跑 09/26 13:11
→ danny8376: 更沒有事XDD (雖然可能還是會出現指名bash就是...) 09/26 13:11
推 kenduest: 幾個朋友測試一下,只要透過 Apache 的 mod_cgi 這類 cg 09/27 02:51
→ kenduest: i 架構方式運作,像是 cgi 程式自己本身使用 bash 所開 09/27 02:51
→ kenduest: 發執行,或是 cgi 程式本身用 c 開發用到 system() 間 09/27 02:51
→ kenduest: 接地呼叫 bash 來運作執行命令 ,甚至包含 perl/python 09/27 02:51
→ kenduest: 用到 popen,system 函數呼叫間接地呼叫 bash 來運作執 09/27 02:51
→ kenduest: 行的都會受到影響,所以可以理解安全問題頗大。不過好 09/27 02:51
→ kenduest: 消息是 mod_php 下執行的 bash script 沒有受到影響。 09/27 02:51
推 kenduest: 只是 fastcgi 下的 php 就.......... 09/27 03:11
→ danny8376: 樓上 有個小地方要修正 那些都是呼叫"sh"來執行的 09/27 18:02
→ danny8376: 也就是只有在sh=bash的狀況下才會出事 09/27 18:03
→ danny8376: (雖然不少distro都是如此XD 09/27 18:03