Zahvaljujem Ntramontu, Soffoklu i Pjedvaju što su na vikalici skrenuli pažnju da dosta ozbiljnu security rupu u Darwinu. Prenosim s vikalice linkove na detaljnije informacije:

www.imore.com/apple-working-quickly-prot...t-shellshock-exploit

mac-how-to.wonderhowto.com/how-to/every-...-patch-os-x-0157606/

Dobro je to što (iako je, očito, ta rupa prisutna u bash-u cijelu vječnost) običnim sirovim port scanningom nije moguće "nanjušiti" da je neko računalo izloženo ovom.

Oni kojima se ne da prtljati s ručnim updateom bash-a, kao elementarnu mjeru zaštite, neka provjere u System Preferences, pod Sharing, da im je isključen Remote Login. Isključivanjem te opcije isključuje se SSH (odnosno Telnet, ovisno o verziji OSX) deamon te efektivno nije moguće BASH-u pristupiti ikako osim lokalno (fizički, sa samog računala).

Oni kojima je remote login bitan, neka promijene default shell za sve korisnike na stroju. System Preferences, Users & Groups, (otključati admin passwordom lokot dolje lijevo), desni klik na korisnika, Advanced options, pa promijeniti default shell u neki drugi.

Igrom slučaja ja sam si odmah prvi dan na svakom Macu namjestio tcsh kao shell, što je moj omiljeni shell još od doba faksa...

Pardon...
Za one koji se pitaju koji je qa taj bash, tcsh i tako to... - radi se o onom što Mac korisnici obično zovu "terminal", a linuxaši "command line".
www.ugrad.cs.ubc.ca/~cs219/CourseNotes/U...ell-Differences.html

Sve u svemu digla se poprilicna prasina oko ovog. Najveci problem imaju serveri direktno prikljuceni na internet. Desktop racunala obicno nisu izlozena internetu na takav nacin, pa je navedeni problem za veliku vecinu mac korisnika zanemariv i ne treba dizati paniku. Upozorio bih sve koji imaju JB iPhone da provjere imaju li slucajno omogucen SSH ili telnet/rlogin pristup. Ako da, najbolje je kako kaze Smayoo iskopcati kompletan remote login pristup sve dok se ne napravi update bash-a.
Mene vise brine tko je sve i koliko dugo za to znao i koliko puta su to do jucer inkognito iskoristili kad su odlucili to obznaniti javnosti.

Ma sumnjam. Bash je dio GNU priče. Opensource. Previše je tu involviranih da bi to itko mogao čuvati tajnom. Da se radi o csh, pa da pomisliš da je Sun to držao pod tepihom i koristio kad mu odgovara (ili čak da je namjerno ugradio takvu rupu), to bi još bilo za razmisliti.

NAS diskovi? Koja je preporuka? Zamijeniti bash sa tcsh? Može mali tutorial kak se to radi, recimo za moj WD Live?

Za WD ti mogu jedino preporučiti da ga razlupaš sjekirom.
Ne znam što ti reći. To su specijalne, namjenske, embedded distribucije. Za početak provjeri da li ti je uopće bash verzija koja ima rupu. Na gornjem linku ćeš naći kako testirati. Ako ima rupu, vidi da li uopće imaš druge shellove. Probaj utipkati zsh, tcsh, csh, ksh pa vidi da li se pokrene novi shell ili dobiješ pogrešku. Ako imaš alternativni shell, onda vidi koju distru i verziju linuxa imaš gore.
Na nekima možeš direktno editirati /etc/passwd file. ZAdnje polje u svakom retku je default shell za tog korisnika.
Na nekima imaš chsh komandu
Na nekima radiš sudo usermod -s /path/to/shell username
Itd...

Da malo sam googlao i vidim da se to mijenja na nekoliko načina, dok ne probaš, ne znaš koja je tvoja varijanta, klasična unix fora.

Našao sam ovo: community.wd.com/t5/My-Book-Live/Bash-vu...ook-Live/td-p/800969

Kao, nema frke, ali opet nikad ne znaš, još jedna klasična unix fora.

User&Groups su na nekim verzijama OSX-a Accounts (one dvije siluete pod System), tek toliko za početnike.

A na 10.4.11 (Tiger) mijenja se pomoću NetInfo Manager aplikacije, evo i uputa:

mactips.dwhoard.com/mactips/system/change-default-shell

Sad ispada da je izašao update ali da ni on nije ništa riješio.

Tu sam našao varijantu za wd live: community.wd.com/t5/forums/forumtopicpri...message/true/page/1\




Ali izgleda da ni to ne riješava stvar?

Zašto ne?

Mislim da sam vidio na wd forumu da problem i dalje nije skroz riješen i na bug.hr forumu isto nešto pišu da će trebat još neki patch... nije da sam siguran.

edit:

Ovoaj link community.wd.com/t5/forums/forumtopicpri...-message/true/page/1

Ispada da apt-get ne daje željeni rezultat iz nekog razloga.

Plus Bug: www.bug.hr/forum/topic/komentari-it-vije...rt=asc&view=flat

Evo Apple je izbacio update za "Shellshock bash exploit":
OS X Mavericks
OS X Mountain Lion
OS X Lion

Pederi se prave kao da 10.6 više nitko ne koristi...

smayoo kaže:


10.6 je zaštićen kao i panda. Vrlo malo se koristi i nitko ne obraća pažnju na njega, nije interesantan.

Problem je što Shellshock exploit nije na razini Mac OS-a, nego Darwina, dakle penetrator niti ne gleda, niti ga zanima koji je OS (je li uopće Mac OS ili je neki linux, koja distra, verzija...), ništa od toga nije bitno. Samo koja je verzija bash-a.

Znam, više kao šala.
Dinosaurusi su izumrli i nitko ne obraća pažnju na njih.

Soffoklo kaže:


Zakaj ovo nisu ubacili kao update u Appstore-u da svi instaliraju?