Monthly Archives: september 2014

Odkrita resnejša ranljivost v lupini Bash

Nekaj mesecev po odkriti ranljivosti v OpenSSL imenovani Heartbleed, so se pojavile podrobnosti o ranljivosti v lupini bash. V nasprotju s Heartbleedom, kjer je bilo prizadetih le nekaj različic, pa je varnostna luknja v bashu precej resnejša, saj sega do preko dvajset let stare različice 1.13.

Trenutne različice basha omogočajo izvoz določil funkcij v okoljske spremenljivke kot SPREMENLJIVKA='() {…};’. Ob zagonu basha, ta tako določene funkcije ne izvede, ampak jo le razčleni, težava pa nastopi, ker se bash po razčlenjevanju ne zaustavi, temveč izvede vse lupinske ukaze, ki sledijo funkciji. Napadalec lahko tako na primer napiše primerno kodo, ki jo preko glave zahtevka HTTP (npr. HTTP_USER_AGENT) pošlje na strežnik, ki uporablja skripte CGI. V primeru, da skripta CGI pokliče bash, bo izvedena zlobna koda in napadalec bo lahko pridobil dostop do strežnika.

Popravki za zgoraj omenjeno ranljivost so že na voljo v skladiščih. Bodite pozorni na to, da je prvemu popravku, ki je bil nepopoln, sledil še drugi. Da preverite, če je vaš sistem ranljiv, izvedite kodo: env X='() { (a)=>\' bash -c "echo date" ; cat echo Če se vam izpiše trenuten datum, potem čimprej posodobite sistem, na pohodu je namreč že botnet, ki izkorišča to ranljivost!

V javnost pricurljalo okrog 5 milijonov uporabniških imen in gesel za spletne storitve

Na ruskem forumu, ki se ukvarja z varnostjo bitcoinov, se je pojavil seznam okrog 5 milijonov uporabniških imen različnih spletnih storitev e-pošte (večinoma Gmail, ostalo Yandex, Hotmail in Yahoo), za katera naj bi bila znana tudi gesla. Čeprav pri Googlu trdijo, da naj bi bili podatki stari in neuporabni, naj bi po navedbi osebe, ki je seznam objavila, še vedno delovalo vsaj 60 odstotkov uporabniških imen in gesel, kar je dovoljšnji razlog, da preverite, če ste na seznamu.

V objavi uporabnika tvskit boste našli datoteko google_5000000.7z (to je datoteka, ki ne vsebuje gesel, temveč le uporabniška imena). V njej se nahaja več kot 100 MB velika datoteka google_5000000.txt, ki jo lahko preiščete s pomočjo programov cat in grep in sicer kot:

cat google_5000000.txt | grep “uporabnisko.ime@gmail.com”

V primeru, da je vaš naslov e-pošte na seznamu, je priporočeno, da takoj zamenjate geslo in morda celo vklopite dvostopenjsko preverjanje pristnosti.

Vir: WCCFtech

2. prevajalski maraton pred izidom KDE Applications 14.12

Kdaj in kaj: V soboto 6.9 (in morda v nedeljo, če bo zanimanje) bo med 14:00 in 20:00 potekal dogodek imenovan “2. prevajalski maraton pred izidom KDE Applications 14.12”. Prejšnji maraton je bil izjemno uspešen, zato obstaja možnost, da bomo v tem novem maratonu prevedli/pregledali vse kar je še preostalo. Znova se bomo osredotočili na že obstoječe prevode paketov KDE PIM (e-pošta, imenik, bralnik RSS, koledar, itd.).

Kje: Dogodek se bo odvijal na spletu. Prevajalci/pregledovalci bomo v stiku preko IRC-a in sicer se dobimo na kanalu #kde-maraton na strežniku freenode.net. Tisti, ki odjemalca za IRC nimajo, se nam lahko pridružijo preko spletnega IRC odjemalca.

Kako: Izbiro prevajalskega orodja bomo prepustili udeležencem, priporočamo pa uporabo prevajalskega programa Lokalize (navodila). Pri usklajevanju se bomo držali Lugosovega pojmovnika, v pomoč pa nam je tudi iskalnik po prevodih KDE, kjer lahko iščete že po obstoječih prevodih. Uporabniki Lokalize bodo lahko oboje uporabili kar znotraj programa, saj bodo na voljo tako datoteke za pomnilnik prevodov kot tudi pojmovnik.

Datoteke za prevajanje bodo razdeljene v skupine po številu nizov: 100-200, 200-300, 300-400, 400-500, 500+. Nobene datoteke ne bo treba prevesti iz popolne ničle, temveč je veliko že prevedeno, a ne pregledano (povprečna prevedenost je ~80 %). Na prevajalcu/pregledovalcu je, da izbere število nizov primerno času, ki bi ga rad namenil za maraton.

Datoteke za prevod boste lahko pridobili na dva načina: po e-pošti ali preko Dropboxa.

Za prvi način mi morate le poslati zahtevek na andrejm [afna] ubuntu.si, ki mora obvezno vsebovati koliko nizov bi želeli prevesti (prosil bi, če mi zahtevkov ne pošiljate pred petkom). Preko e-pošte boste dobili zazipano datoteko skupaj z projektno datoteko Lokalize. Ko boste s prevodom/pregledom končali, datoteko pošljete nazaj. Če imate še čas, si lahko po želji izberete novo datoteko.

Za prevajanje preko Dropboxa mi morate na andrejm [afna] ubuntu.si poslati naslov e-pošte računa Dropbox, preko katerega bi prevajali (prosil bi, če mi zahtevkov ne pošiljate pred petkom). Povabljeni boste v deljeno mapo, ki bo vsebovala mape z imeni 100, 200, 300, 400, 500, ki predstavljajo število nizov (100-200, 200-300, 300-400, 400-500, 500+). V teh mapah bodo podmape, ki bodo vsebovale tri datoteke: datoteko .po za prevod/pregled, projektno datoteko Lokalize in besedilno datoteko imenovano TODO. Ko si izberete svojo podmapo, to datoteko preimenujte v WORK in vanjo vpišite naslov e-pošte. Ta mapa je sedaj rezervirana za vas. Ko končate, primenujte datoteko v DONE in si po želji izberete novo podmapo.

Na voljo bo 30 datotek s povprečno velikostjo 215 nizov, zato se ne bojte pridružiti, dela ni toliko, kot je videti na prvi pogled.

P.S: Naj vas ne bega sprememba številčenja (5 v 14.12), razvijalci so se namreč odločili, da bo naslednja izdaja programov (Applications) oštevilčena podobno kot je to v navadi pri Ubuntuju: Leto.Mesec