[h1]Covert Wacintaki Poteto PHP files from ISO-8859-1 to UTF8[/h1]



Some of Wacintaki Poteto/Potato PHP files are in ISO-8859-1
And, you might like to convert them to UTF-8 ones in order to make
VIMor other UTF-8 configured editor working well.

(It mainly converted the author name: Marcello Bastéa-Forte to UTF8)
==================================
$ cd <Your Oekaki Folders>

$ file *.php (... You will see most files in ISO-8859)

$ mkdir /tmp/z
$ mkdir /tmp/bak

$ /bin/cp *.php /tmp/z
$ /bin/cp *.php /tmp/bak

$ file *.php | grep ISO | cut -f1 -d':' | xargs -I _file_ iconv -f ISO-8859-1 -t UTF-8 -o /tmp/z/_file_ _file_

$ file /tmp/z/*.php (... You will see most files converted to UTF-8)

$ /bin/cp /tmp/z/*.php .
==================================

Some PHP files might be still in ASCII, that is OK, VIM or other editors could handle that once you inserting any UNICODE(UTF-8) text.



[h1]BEFORE ICONV: It is in ISO-8859-1 (Latin 1)[/h1]
代碼:

[h1]AFTER ICONV to UTF-8 Encoding[/h1]
代碼:


代碼:(2014-10-14 12:07)

[h1]財政部中區國稅局 103 年度「租稅 Show 我最行~懶人包」創意設計比賽[/h1]


資格限定： 中部五縣市高中職
截稿時間： 2014/10/31
總獎金： $175,000 NTD


下載：作品標示表 pdf:: http://www.ntbca.gov.tw/etwmain/download?sid=14853a6847b00000189b8df759a1f32f
作品標示表 檔案下載 DOC::作品標示表: http://www.ntbca.gov.tw/etwmain/download?sid=14853a6352800000bb5ba03839a3571a
下載：授權同意書.pdf http://www.ntbca.gov.tw/etwmain/download?sid=14853a162cf000001a0e406ca6cf273e
下載：活動簡章.pdf: http://www.ntbca.gov.tw/etwmain/download?sid=14853a0e97b00000ad0158c1af638881
下載：活動報名表.pdf: http://www.ntbca.gov.tw/etwmain/download?sid=14853a08d3e000005c7da56e6425916a
下載：活動報名表 DOC: http://www.ntbca.gov.tw/etwmain/download?sid=147d32aa3ad000005f3b2868612c99a0

壹、實施目的

透過租稅創作比賽，激發學生瞭解租稅，並藉由設計或蒐集素材的過
程，增進學生對政府重大政策與施政重點認識與瞭解，讓青年學子瞭解
國家為民眾所作的努力及成果。

貳、主辦機關
財政部中區國稅局。

參、協辦單位
本局各分局、稽徵所。

肆、參加對象
中部五縣市（苗栗縣、臺中市、彰化縣、南投縣、雲林縣）高中、高職以上學生。

伍、創作比賽類別
分為「海報組」、「動畫組」2 項類別設計懶人包，得同時報名參加。

肆、比賽規定
創作
組別
海報組 動畫組
投稿
時間
自即日起至 103 年 10 月 31 日止。

主
題
及
內
容
範
疇
以目前政府推動之租稅政策相關題
材為發想。
（一）簽署兩岸租稅協議對人民及
企業之必要性。
（二）回饋稅制 全民受惠。
（三）啟動經濟成長需要大家支持~
自由經濟示範區。
以目前政府推動之租稅政策相關題
材為發想。
（一）簽署兩岸租稅協議對人民及
企業之必要性。
（二）回饋稅制 全民受惠。
（三）啟動經濟成長需要大家支持~
自由經濟示範區。- 2 -
創作
組別
海報組 動畫組
作
品
規
格
（一）電腦繪圖投稿者：作品原始
製作檔案之格式為解析度
300 dpi 以上，完稿尺寸為菊
對（長 42 cm X 寬 59.4 cm），
並附上轉檔格式 jpg 或 tiff
檔，檔案限定在 100 MB 以
內，燒錄成光碟，另須附上
印出 A3 大小紙本作品。
（二）手繪圖投稿者：原始手繪圖
稿作品以 A3 大小畫紙繪製。
請自行確認原始手稿圖之清
晰，以免影響評選結果。
（一）長度： 30 秒以內。
（二）格式：建議像素 720×480 至
1920×1080 以上之影片格式
( 檔 案 類 型 可 為 *avi ；
*.wmv ； *.mpg ； *.mov ；
*.mp4)。
（三）編碼、速率：建議編碼 H.264
或 AppleProRes422、每秒速
率不超過 16MB/sec。
（四）影片字幕：影片若有對白或
旁白，必須附上中文字幕，
影片字幕請一律用繁體中
文，對白音檔不限國語。並
請附上字幕 word 檔。
繳
件
明
細
（一）報名表。
（二）授權同意書 1 份（簽名蓋章）。
（三）A3 大小紙本作品（請務必在
作品正面右下角貼上作品標
示表）。
（四）作品光碟（請附報名表 word
檔、作品 jpg 或 tiff 檔，檔
名主旨為「租稅 Show 我最行
~懶人包創意設計比賽--○○
組—作品名稱」）。
※繳交未完整者視同棄權論。
（一）報名表。
（二）授權同意書 1 份（簽名蓋
章），如為 2 人以上共同著作
協調其中 1 人代表具名，其
餘共同著作權人，每人皆須
填寫。
（三）作品光碟 1 式 2 份（請附報
名表 word 檔、作品 wmv、
mpg、mov、mp4 檔，檔名主
旨為「租稅 Show 我最行~懶
人包創意設計比賽--○○組—
作品名稱」）。
※繳交未完整者視同棄權論。
評選
方式
邀集相關領域專家組成評審委員會，訂於 103 年 11 月辦理評選作業。
評選 一、 創意 45 %、主體內容 45 %、技巧表現 10 %，合計為 100 分，擇- 3 -
創作
組別
海報組 動畫組
標準 優錄取。
二、 如作品未達水準，評審委員會得決議部分獎項從缺。
作
品
獎
勵
（一）第一名：獎金新臺幣（以下
同）20,000 元，獎狀 1 幀。
（二）第二名：獎金 15,000 元，獎
狀 1 幀。
（三）第三名：獎金 10,000 元，獎
狀 1 幀。
（四）入選佳作：擇優取 5 名，各
發給獎金 5,000 元，獎狀 1
幀。
（一）第一名：獎金 30,000 元，獎
狀 1 幀。
（二）第二名：獎金 20,000 元，獎
狀 1 幀。
（三）第三名：獎金 15,000 元，獎
狀 1 幀。
（四）入選佳作：擇優取 5 名，各
發給獎金 8,000 元，獎狀 1
幀。
伍、共同注意事項
一、所有作品請著作人自行保留備份底稿或檔案，收件後概不退回。
二、送件時需繳交報名表（附件 1）、作品標示表（附件 2，請浮貼或標示於作品明
顯處）、授權同意書（附件 3）。各項資料須確實填寫完成，始完成報名程序。
提供作品時，如係 2 人以上合力創作，亦請協調其中 1 人代表具名，且其餘共
同著作權人均已授權（其餘共同著作權人，每人皆須填具授權同意書）同意立
書本人，將參賽作品之著作財產權授權主辦機關日後不限方式、次數、時間、
地域無償利用，以及再授權第三人利用，如參賽作品經評定得獎，其著作財產
權歸屬主辦單位所有，並承諾對主辦機關及其授權之第三人，不行使著作人格
權。作品規格或資料不全者，則不納入評分；逾期不予受理（以郵戳為憑），惟
主辦機關有權依實需更改徵件截止日並公告於官網首頁最新消息項下；為保障
參賽權益，請將報名資料與作品一起寄送參賽。
三、參賽者均須簽署「授權同意書」，同意其作品獲選為得獎作品時，得獎作品之著
作財產權歸屬中區國稅局所有，主辦機關擁有一切刪改、公開傳輸、公開播送、
公開展示、重製、改作、編輯、印製、出租、散布、發行、以及推廣宣導等用
途之權利，並有將作品安排於媒體發表、成冊出版、自行再版及再授權他人等
權利，均不另計版稅及稿費，得獎者亦不另行索取費用。另同意參賽作品為評
審、教育宣導或內部使用目的，同意無償授權主辦機關及其授權之第三人，得- 4 -
以不限時間、方式、地域、次數之無償利用。
四、所有投稿作品之著作人格權屬創作者，惟創作者同意對主辦機關不行使著作人
格權，主辦機關擁有永久使用權。
五、若參賽者有利用他人著作，均須取得合法授權，且該著作之著作財產權人並且
授權主辦機關日後不限方式、次數、時間、地域無償利用，以及再授權第三人
利用，並承諾對主辦機關及其授權之第三人，不行使著作人格權。
六、參賽作品必須為參賽者自行創作，禁止繳交使用侵權之圖檔，禁止抄襲或複製
他人作品，禁止涉及色情、暴力、毀謗、人身攻擊、宗教議題、政治議題或不
雅著作等，禁止侵害他人隱私權或妨礙社會正當風俗及公共秩序作品或違反中
華民國相關法令規定等情事，作品也請勿於其他類型活動重複投稿。如經評審
決議認定，或遭相關權利人檢舉並經主辦機關查證屬實，主辦機關得逕予取消
得獎資格，除追回獎金外，並得向參賽者請求相當於獲獎金額 2 倍之懲罰性違
約金，另若造成主辦機關損害，參賽者應負損害賠償責任。
七、依所得稅法規定，本活動得獎者獲得獎金，應屬稿費收入，得獎者應配合填寫
相關資料及繳交收據方可領獎。如為中華民國境內居住之個人，獎金依規定須
扣繳 10%所得稅額，但扣繳稅額不超過 2,000 元者，免予扣繳；得獎者如為非
中華民國境內居住之個人，獎金依規定須扣繳 20 %所得稅額，但扣繳稅額不超
過 5,000 元者，得免予扣繳。
另依二代健保補充保險費扣繳作業規定，單次給付金額達 5,000 元時，由給付
單位代為扣繳 2%之補充保險費金額。
八、得獎者若為未成年人，須檢附戶籍謄本並配合提出法定代理人同意書，方可領
獎。
九、主辦機關僅以網站公告及公文等 2 項方式通知得獎訊息，請活動參與者密切注
意網站公告。如因得獎者聯絡方式錯誤，致無法聯繫得獎者而未能完成領獎，
則視同放棄得獎資格，並不予遞補。
十、比賽時程得視參賽狀況調整，以網頁最新公告為準。
十一、主辦機關保有隨時修改及終止本活動之權利。
十二、參賽者對於主辦機關之評審結果，完全同意並尊重，絕不提出任何異議或申
訴。
十三、凡參賽者均視為同意並遵循上述各項規定。
十四、本簡章如有未盡之處，得視需要隨時修正之。
十五、本活動相關訊息及報名書表已登載中區國稅局網站（網址： - 5 -
http://www.ntbca.gov.tw）首頁中間「最新消息」項下，另主題
內容素材，請至中區國稅局網站首頁中間「兩岸租稅協議專區/連結至財政部
網站」及上方橫幅「自由經濟示範區/連結至國家發展委員會」、「回饋稅制 福
國利民」等，歡迎參閱或下載利用。
十六、活動聯絡人：簡素敏小姐，聯絡電話，04-23051111，分機 8928。
(2014-10-13 22:59)

[h1]E-Mail 郵件寄送服務業者整理 (2014 Oct)[/h1]

這邊用低用量（每天 1K ~ 2K 的信件，每月 30K ~ 60K）來做粗略的估算！
請自行到官方網址參閱細節。

[h1]AWS SES Services (No Free, $0.13/K)[/h1]
@ http://aws.amazon.com/en/ses/pricing/

=> AWS 無免費額度, 1K == $0.1 USD + Bandwidth 另外計算(同 EC2

=> 假設平均一封信 128KB（含 Mail Header + 附件）， 128KB * 1K = 128MB

EC2 1GB xfer = $0.12 USD, 則 128/1024 * $0.12 * 2 == $0.03

這裡「乘以二 (*2)」包含
(a) 附件 (attachment)
(b) 頻寬 (xfer out bandwidth)

除非你的信都很大，又夾帶附件等等，否則 EC2 Xfer Out 費用「理論上」大概是 +30% 左右，
也就是 1K == $0.10 + $0.03 == $0.13 USD

AWS Xfer In 本來就是免費。


[h1]ManDrill Mail Delivery Service (12K Free, $0.2/K)[/h1]

@ http://www.mandrill.com/pricing/
=> Man Drill 有 12K messages 免費
=> 之後每 1K == $0.2 USD (12K ~ 1M messages)


[h1]SendGrid Mail Delivery Service (No Free, $0.25/K)[/h1]

@ http://sendgrid.com/transactional-email/pricing

=> Send Grid 無免費額度
=> 最便宜的方案是 40K == $9.95，約 1K == $0.24875


[h1]SoftLayer E-Mail Delivery Service (25K Free, $1/K if 25K+)[/h1]

@ http://www.softlayer.com/email-delivery

=> Softlayer 有免費額度 25K
=> 超過 25K 之後，每 1K == $1 USD （而且他似乎是 SendGrid 的大房東？

[h1]MailJet Mail Delivery Service (12K Free, $0.25K)[/h1]

@ https://www.mailjet.com/pricing/v3

=> Mail Jet 每月 12K messages 免費
=> 但是 30K 的方案，每個月要 $7.49 USD，約等於 1K == $0.25

[h1]TurboSMTP EMail Service (No Free, $0.3/K)[/h1]

@ https://serversmtp.com/en/cart.php?systpl=turbo-smtp

=> TurboSMTP 沒有免費方案，約 1K == $0.3 USD

=> 有類似「預付卡（非月租）」的方案，約 1K == $1.5 USD （無日期限制）
(2014-10-13 22:38)

[center][/center]
##DIV##
[center]
[h1]「擁抱」插畫 「抱」相關繪圖設計美術 - Hug Related Drawing Fine Art[/h1]
擁抱... - Hug
A big hug - Bribe
抱我好嗎？ - Hug me, please
溫暖的擁抱 - A warm hug
不敢擁抱你 - Cat hug
《擁抱》 - Hug Final
天使的擁抱 - Angel's Hug
冷抱:大概發生在清晨 - Cold Hug
[hr]
See Also:
[url=http://vovo2000.com/tags/抱/]
「抱」相關創作 :: "Hug" Related Fine Art
[/url]


「Hug」相關美術 :: "Hug" Related Painting/Drawing/Fine Art



「親吻 Kiss」相關創作 :: "Kiss" Art Artworks Creation


[url=http://vovo2000.com/tags/微笑/]
「微笑」相關創作 :: "Smile" Art Artworks Creation
[/url]



[/center](2014-10-12 23:48)

[h1]最後/最終： Ultimately, Eventually, Finally, At Last, In the End 的用法、比較、意思與程度差別[/h1]



(1) 觀察到過程很長，有一定時間/延遲、「不是突然到最後」： Eventually, At Last, Finally

(2) 用法較為中性、第三者角度： Ultimately, In the End

(3) 過程有掙扎、努力過程、有鬆一口氣的感覺： Finally, At Last

(4) 意思相近 #1： Finally, At Last 這兩者意思相近

(5) 意思相近 #2： Ultimately, In the End 這兩者意思相近

(6) Eventually 有時代表一小段落告終，但並非最終的結束。



最後的朋友 Last Friends(2014-10-07 22:55)

[h1]也許：Maybe vs. Perhaps vs. Possibly 的用法、差別、意思比較[/h1]


Maybe: 較為口語用法。

e.g. Maybe I would attend the dinner party with you.


Perhaps: 用法較為中性，比起 Maybe 更為正式一點。

e.g. I got about 2500 comic books collection, well, perhaps more than 3000.


Possibly: 比起 maybe/perhaps 更為正式。

e.g. If you have time, I think you possibly would like to interview with her.


簡單說： 口語化 <--- Maybe, Perhaps, Possibly ---> 正式


@ See also: "Likely, Probable, Possible" 的意思比較




(2014-10-07 21:49)

[h1]可能：Possible vs. Likely vs. Probable 的用法、比較、意思與程度差別[/h1]


Possible(possibly) => 是指「可能」，但是「機率」不一定，可能機率很高，可能機率很低，要看狀況。

Likely => 是指「極可能」「非常可能」，實現的「機率」很高。

Probable(probably) => 和 Likely 意思相近，


簡單說，

(1) 當你說 「Likely or Probable/Probably」，就是「高機率的可能」「極可能」

(2) 當你說 「Possible or Possibly」，就是「可能發生，但是機率不確定」，要用前後文來判斷。



@ See also: "Maybe, Perhaps, Possibly" 的比較

(2014-10-07 21:47)

[center][/center]
##DIV##
[center]
[h1]「扇」插畫 & 「鐵扇創作」相關繪圖設計美術 - Fab & Iron Fan Princess FineArt[/h1]
文化祭_扇 - "Fan" Artworks Design
中國神話系列：鐵扇女皇 - Iron Fan Queen
鐵扇公主 - Iron Fan Princess
黑風寨夫人 - Black Wind Village Lady
舞扇的舞者 - Fan Dancer
梅花團扇 - Plum round fan
夏日祭典 - Summer Festival
鐵扇公主 - Iron Fan Princess
黑羽扇 - Black feathers Fan
[hr]
See Also:
[url=http://vovo2000.com/tags/扇/]
「鐵扇/扇/扇子」相關創作 :: "Fan" Related Fine Art
[/url]

[url=http://vovo2000.com/tags/西遊/]
「西遊」相關美術 :: "Journey to the West" Related Painting/Drawing/Fine Art
[/url]

[url=http://vovo2000.com/tags/牛/]
「牛」相關創作 :: "Bull/Ox" Art Artworks Creation
[/url]

[url=http://vovo2000.com/tags/公主/]
「公主」相關創作 :: The "Princess" Related Illustration/Painting
[/url]

[url=http://vovo2000.com/tags/悟空/]
「悟空」相關創作 :: "Sun Wukong" Related Art Creations
[/url]


[/center](2014-10-05 10:56)

[h1]Simulation 和 Emulation 的差別[/h1]

中文都叫做模擬/模擬器，但是英文的實際意義略有不同。

1. 中文翻譯

Simuation/Simulator: 模擬/模擬器
Emulation/Emulator: 仿真/模擬器

2. 範圍

Simuation/Simulator: 部分或完整的架構
Emulation/Emulator: 完整的架構

3. 效能

Simuation/Simulator: 部分或完整的效能
Emulation/Emulator: 完整的效能

4. 內部/外部

Simuation/Simulator: 強調內部的機制要部分或全部仿照原始標的。
Emulation/Emulator: 強調外部功能一樣即可，內部狀態不管。


5. 實際應用

Simuation/Simulator: 用來「分析、測試、研究、感受」某個現有機制 e.g. 飛行模擬器
Emulation/Emulator: 用來「實際取代」某個現有的機制 e.g. FC/SFC 模擬器
(2014-10-01 21:03)

[h1]Google 全面當機/錯誤: "Error 500 (伺服器錯誤)!!1" @ 2014/09/28 18:00+ (CST)[/h1]



Google 大約於 2014/09/28 CST (GMT+0800) 18:00 時「全面發生錯誤」

這段期間除了 Google Search，其他 Google Apps 都是各種錯
（大部分為 500 internal server error，少部分是 404 not found）

Update: 持續時間約 20~30 分鐘， 2014/09/28 18:30 (TW time)似乎逐漸回復。



(1) Google Search => 正常（好像只有 Google 搜尋正常！）

(2) Gmail => Internal Server Error (HTTP 500 Error)

(3) Google Docs / Google Drive => Internal Server Error (HTTP 500 Error)

(4) Google Plus / Google+ => 發生錯誤，請稍後再試。 That’s all we know. (一樣是 HTTP 500)

(5) Google Adsense / Analytics => HTTP 404 Not Found 或者無法連上



但是 Google Apps Status 狀態看起來都是正常。
=> #hl=zh-TW&v=status">http://www.google.com/appsstatus#hl=zh-TW&v=status



這段期間抓的 CURL（不過是在美國主機抓的）

[h1]$ curl -v https://www.google.com/analytics/web/?hl=zh-TW[/h1]
代碼:(2014-09-28 18:28)

[center][/center]
##DIV##
[center]
[h1]「戰場」 & 「戰爭」相關插畫設計繪圖 - BattleField & Wars Illustraion/Drawing Art[/h1]
機械戰爭 - Machine Wars Girl
戰爭女神 - The Goddess of Battle
<戰場> - Battlefield of Centaur
特種部隊：眼鏡蛇的崛起 - The Rise of Cobra FanArt
立花誾千代 - Tachibana Ginchiyo
Mission start - BattleField
概念-動態 - Battlefield Robots
明日工作室小說：黃泉委託人5 血戰場 封面插畫
戰場婚禮 - Battlefield Wedding
Phoenix Battle Field
戰死-戰場 - Fight to Death
開戰時刻!! - The War Begins
前線戰爭 - Frontline Battlefield
魔法戰爭 - Monde Magique
德意志非洲軍團 - Afrika Korps
小田原之戰 - Siege of Odawara
[hr]
See Also:

「War」相關創作 :: "War" Related Drawing/Creation


[url=http://vovo2000.com/tags/和平/]
「和平」相關創作 :: "Peace" Related Painting/Drawing/Fine Art
[/url]

[url=http://vovo2000.com/tags/戰場/]
「戰場」相關創作 :: "Battlefield" Art Artworks Creation
[/url]

[url=http://vovo2000.com/tags/戰爭/]
「戰爭」相關創作 :: The "War" Related Illustration/Painting
[/url]

[url=http://vovo2000.com/tags/武器/]
「武器」相關創作 :: "Weapons" Related Art Creations
[/url]


[/center](2014-09-28 17:00)

[h1]bash update 09/28[/h1]

代碼:(2014-09-28 10:24)

[h1]飲酒運転 ダメよ〜 ダメダメ[/h1]


公路喝酒不開車 LED 的梗是致敬
「日本エレキテル連合（女子搞笑組合）」的「未亡人朱美 機器人」

日本エレキテル連合

https://www.youtube.com/watch?v=ee_9R77MfpU
[影片/動畫]

(2014-09-28 00:07)

[h1]Ubuntu 10.04/12.04/14.04 有新的更新[/h1]

代碼:


$ md5sum /bin/bash
5ee533c7cd3a8246b4a3d7a29ffbe0b2 /bin/bash (Ubuntu 12.04 LTS x86_64 bash)

$ md5sum /bin/bash
eb8a956c0a1164b84262505a629e8a1f /bin/bash (Ubuntu 14.04 LTS x86_64 bash)(2014-09-27 14:40)

[h1]Related ShellShock References[/h1]

=> https://lwn.net/Articles/613032/
=> http://seclists.org/oss-sec/2014/q3/666
=> https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
=> http://marc.info/?t=141158102100001
=> http://article.gmane.org/gmane.comp.security.oss.general/13881
=> http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
=> http://seclists.org/oss-sec/2014/q3/741
=> http://www.dwheeler.com/secure-class/Secure-Programs-HOWTO/environment-variables.html
=> https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-shellshock-bash-vulnerability
=> http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/

(2014-09-27 14:33)

[h1]Fedora Bash Update: Fedora 19, Fedora 20[/h1]

From: updates@fedoraproject.org
To: package-announce@lists.fedoraproject.org
Subject: [SECURITY] Fedora 19 Update: bash-4.2.48-2.fc19
Date: Fri, 26 Sep 2014 09:00:48 +0000
Message-ID: <20140926090050.9FE1722338@bastion01.phx2.fedoraproject.org>
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2014-11514
2014-09-26 08:10:17
--------------------------------------------------------------------------------

Name : bash
Product : Fedora 19
Version : 4.2.48
Release : 2.fc19
URL : http://www.gnu.org/software/bash
Summary : The GNU Bourne Again shell
Description :
The GNU Bourne Again shell (Bash) is a shell or command language
interpreter that is compatible with the Bourne shell (sh). Bash
incorporates useful features from the Korn shell (ksh) and the C shell
(csh). Most sh scripts can be run by bash without modification.

--------------------------------------------------------------------------------
Update Information:

This build should fix cve-2014-7169
--------------------------------------------------------------------------------
ChangeLog:

* Thu Sep 25 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.48-2
- CVE-2014-7169
Resolves: #1146319
+
* Thu Sep 25 2014 Ondrej Oprala <ooprala@redhat.com - 4.2.48-1
- Patchlevel 48
* Wed Sep 24 2014 Ondrej Oprala <ooprala@redhat.com - 4.2.47-2
- Inhibit code injection - patch by Stephane Chazelas
* Tue Apr 15 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.47-1
- Patchlevel 47
* Tue Apr 1 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.46-1
- Patchlevel 46
--------------------------------------------------------------------------------
References:

[ 1 ] Bug #1146319 - CVE-2014-7169 bash: code execution via specially-crafted environment
(Incomplete fix for CVE-2014-6271)
https://bugzilla.redhat.com/show_bug.cgi?id=1146319
--------------------------------------------------------------------------------

This update can be installed with the "yum" update program. Use
su -c 'yum update bash' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------

From: updates@fedoraproject.org
To: package-announce@lists.fedoraproject.org
Subject: [SECURITY] Fedora 20 Update: bash-4.2.48-2.fc20
Date: Fri, 26 Sep 2014 09:03:00 +0000
Message-ID: <20140926090302.6FC4121113@bastion01.phx2.fedoraproject.org>
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2014-11527
2014-09-26 08:10:45
--------------------------------------------------------------------------------

Name : bash
Product : Fedora 20
Version : 4.2.48
Release : 2.fc20
URL : http://www.gnu.org/software/bash
Summary : The GNU Bourne Again shell
Description :
The GNU Bourne Again shell (Bash) is a shell or command language
interpreter that is compatible with the Bourne shell (sh). Bash
incorporates useful features from the Korn shell (ksh) and the C shell
(csh). Most sh scripts can be run by bash without modification.

--------------------------------------------------------------------------------
Update Information:

This build should fix cve-2014-7169
--------------------------------------------------------------------------------
ChangeLog:

* Thu Sep 25 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.48-2
- CVE-2014-7169
Resolves: #1146319
+
* Thu Sep 25 2014 Ondrej Oprala <ooprala@redhat.com - 4.2.48-1
- Patchlevel 48
* Wed Sep 24 2014 Ondrej Oprala <ooprala@redhat.com - 4.2.47-4
- Inhibit code injection - patch by Stephane Chazelas
* Mon Jul 21 2014 Ondrej Oprala <ooprala@redhat.com - 4.2.47-3
- Mention ulimit -c and -f block size in POSIX mode
* Tue Apr 15 2014 Ondrej Oprala <ooprala@redhat.com - 4.2.47-2
- Proper patchlevel 47
* Tue Apr 15 2014 Ondrej Oprala <ooprala@redhat.com - 4.2.47-1
- Patchlevel 47
* Tue Apr 1 2014 Ondrej Oprala <ooprala@redhat.com - 4.2.46-1
- Patchlevel 46
--------------------------------------------------------------------------------
References:

[ 1 ] Bug #1146319 - CVE-2014-7169 bash: code execution via specially-crafted environment
(Incomplete fix for CVE-2014-6271)
https://bugzilla.redhat.com/show_bug.cgi?id=1146319
--------------------------------------------------------------------------------

This update can be installed with the "yum" update program. Use
su -c 'yum update bash' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------

[h1]CentOS 5 / CentOS 6 / CentOS 7[/h1]
From: Johnny Hughes <johnny@centos.org>
To: centos-announce@centos.org
Subject: [CentOS-announce] CESA-2014:1306 Important CentOS 5 bash Security Update
Date: Fri, 26 Sep 2014 02:16:02 +0000
Message-ID: <20140926021602.GA3213@chakra.karan.org>

CentOS Errata and Security Advisory 2014:1306 Important

Upstream details at : https://rhn.redhat.com/errata/RHSA-2014-1306.html


The following updated files have been uploaded and are currently
syncing to the mirrors: ( sha256sum Filename )

i386:
9755e86ad8536c908f95340be308190b52989bfa0d9268a461c40a3f0d493bc7 bash-3.2-33.el5_10.4.i386.rpm

x86_64:
b1e14edd0d675c6fb0be64cb875fbd9fac208a58e427ea32f373c9359b35642c bash-3.2-33.el5_10.4.x86_64.rpm

Source:
b71bd90354d2724f256f9f23e113eea89c98b3ce923380657461cb78d34ab8da bash-3.2-33.el5_10.4.src.rpm



--
Johnny Hughes
CentOS Project { http://www.centos.org/ }
irc: hughesjr, #centos@irc.freenode.net


From: Johnny Hughes <johnny@centos.org>
To: centos-announce@centos.org
Subject: [CentOS-announce] CESA-2014:1306 Important CentOS 6 bash Security Update
Date: Fri, 26 Sep 2014 02:24:20 +0000
Message-ID: <20140926022420.GA62097@n04.lon1.karan.org>

CentOS Errata and Security Advisory 2014:1306 Important

Upstream details at : https://rhn.redhat.com/errata/RHSA-2014-1306.html


The following updated files have been uploaded and are currently
syncing to the mirrors: ( sha256sum Filename )

i386:
28a674dd09ca395b3021749ebf8928806ae981a325c02b8ead070e75cdae2cab bash-4.1.2-15.el6_5.2.i686.rpm
333f57db85ea63636650d1b491c07a5d0ccb722e9353db5f22a62685d96c9da7
bash-doc-4.1.2-15.el6_5.2.i686.rpm

x86_64:
72fb8fa60fce9ccd1f221ace44d7a29870856d9033819d2c3e75885881cf6a4a
bash-4.1.2-15.el6_5.2.x86_64.rpm
18cde2ec120c8d351c60ae3901bb6706f4c97abbf2b87cdec5ed1ba4175c84a2
bash-doc-4.1.2-15.el6_5.2.x86_64.rpm

Source:
d0a8f52d7db4c729c17188a2bd690aff2371f8ac86900dabb14b0df5aa1ff6a5 bash-4.1.2-15.el6_5.2.src.rpm

From: Johnny Hughes <johnny@centos.org>
To: centos-announce@centos.org
Subject: [CentOS-announce] CESA-2014:1306 Important CentOS 7 bash Security Update
Date: Fri, 26 Sep 2014 02:23:24 +0000
Message-ID: <20140926022324.GA61885@n04.lon1.karan.org>

CentOS Errata and Security Advisory 2014:1306 Important

Upstream details at : https://rhn.redhat.com/errata/RHSA-2014-1306.html


The following updated files have been uploaded and are currently
syncing to the mirrors: ( sha256sum Filename )

x86_64:
d2806c39117791707b6f528afd2bfa35b20a67f6ad40231057d6dd27f4eb7e36
bash-4.2.45-5.el7_0.4.x86_64.rpm
9a66662961d2a359b71387436b03e1e951473b10dbf450e480c6787d584dc70e
bash-doc-4.2.45-5.el7_0.4.x86_64.rpm

Source:
b37570f9434b82c9f2df7920b1ab94e00039370b58ee1ab2c2235eeda53b88fb bash-4.2.45-5.el7_0.4.src.rpm


[h1]Red Hat v5, Red Hat v6, Red Hat v7 BASH Update[/h1]

From: bugzilla@redhat.com
To: rhsa-announce@redhat.com, enterprise-watch-list@redhat.com
Subject: [RHSA-2014:1306-01] Important: bash security update
Date: Fri, 26 Sep 2014 02:02:30 +0000
Message-ID: <201409260154.s8Q1s9AP014275@int-mx13.intmail.prod.int.phx2.redhat.com>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

=====================================================================
Red Hat Security Advisory

Synopsis: Important: bash security update
Advisory ID: RHSA-2014:1306-01
Product: Red Hat Enterprise Linux
Advisory URL: https://rhn.redhat.com/errata/RHSA-2014-1306.html

Issue date: 2014-09-26
CVE Names: CVE-2014-7169
=====================================================================

1. Summary:

Updated bash packages that fix one security issue are now available for Red
Hat Enterprise Linux 5, 6, and 7.

Red Hat Product Security has rated this update as having Important security
impact. A Common Vulnerability Scoring System (CVSS) base score, which
gives a detailed severity rating, is available from the CVE link in the
References section.

2. Relevant releases/architectures:

Red Hat Enterprise Linux (v. 5 server) - i386, ia64, ppc, s390x, x86_64
Red Hat Enterprise Linux Client (v. 7) - x86_64
Red Hat Enterprise Linux Client Optional (v. 7) - x86_64
Red Hat Enterprise Linux ComputeNode (v. 7) - x86_64
Red Hat Enterprise Linux ComputeNode Optional (v. 7) - x86_64
Red Hat Enterprise Linux Desktop (v. 5 client) - i386, x86_64
Red Hat Enterprise Linux Desktop (v. 6) - i386, x86_64
Red Hat Enterprise Linux Desktop Optional (v. 6) - i386, x86_64
Red Hat Enterprise Linux HPC Node (v. 6) - x86_64
Red Hat Enterprise Linux HPC Node Optional (v. 6) - x86_64
Red Hat Enterprise Linux Server (v. 6) - i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server (v. 7) - ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional (v. 6) - i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional (v. 7) - ppc64, s390x, x86_64
Red Hat Enterprise Linux Workstation (v. 6) - i386, x86_64
Red Hat Enterprise Linux Workstation (v. 7) - x86_64
Red Hat Enterprise Linux Workstation Optional (v. 6) - i386, x86_64
Red Hat Enterprise Linux Workstation Optional (v. 7) - x86_64

3. Description:

The GNU Bourne Again shell (Bash) is a shell and command language
interpreter compatible with the Bourne shell (sh). Bash is the default
shell for Red Hat Enterprise Linux.

It was found that the fix for CVE-2014-6271 was incomplete, and Bash still
allowed certain characters to be injected into other environments via
specially crafted environment variables. An attacker could potentially use
this flaw to override or bypass environment restrictions to execute shell
commands. Certain services and applications allow remote unauthenticated
attackers to provide environment variables, allowing them to exploit this
issue. (CVE-2014-7169)

Applications which directly create bash functions as environment variables
need to be made aware of changes to the way names are handled by this
update. For more information see the Knowledgebase article at
https://access.redhat.com/articles/1200223


Note: Docker users are advised to use "yum update" within their containers,
and to commit the resulting changes.

For additional information on CVE-2014-6271 and CVE-2014-7169, refer to the
aforementioned Knowledgebase article.

All bash users are advised to upgrade to these updated packages, which
contain a backported patch to correct this issue.

4. Solution:

Before applying this update, make sure all previously released errata
relevant to your system have been applied.

This update is available via the Red Hat Network. Details on how to use the
Red Hat Network to apply this update are available at
https://access.redhat.com/articles/11258


5. Bugs fixed ( https://bugzilla.redhat.com/):

1146319 - CVE-2014-7169 bash: code execution via specially-crafted environment (Incomplete fix for
CVE-2014-6271)

6. Package List:

Red Hat Enterprise Linux Desktop (v. 5 client):

Source:
bash-3.2-33.el5_11.4.src.rpm

i386:
bash-3.2-33.el5_11.4.i386.rpm
bash-debuginfo-3.2-33.el5_11.4.i386.rpm

x86_64:
bash-3.2-33.el5_11.4.x86_64.rpm
bash-debuginfo-3.2-33.el5_11.4.x86_64.rpm

Red Hat Enterprise Linux (v. 5 server):

Source:
bash-3.2-33.el5_11.4.src.rpm

i386:
bash-3.2-33.el5_11.4.i386.rpm
bash-debuginfo-3.2-33.el5_11.4.i386.rpm

ia64:
bash-3.2-33.el5_11.4.i386.rpm
bash-3.2-33.el5_11.4.ia64.rpm
bash-debuginfo-3.2-33.el5_11.4.i386.rpm
bash-debuginfo-3.2-33.el5_11.4.ia64.rpm

ppc:
bash-3.2-33.el5_11.4.ppc.rpm
bash-debuginfo-3.2-33.el5_11.4.ppc.rpm

s390x:
bash-3.2-33.el5_11.4.s390x.rpm
bash-debuginfo-3.2-33.el5_11.4.s390x.rpm

x86_64:
bash-3.2-33.el5_11.4.x86_64.rpm
bash-debuginfo-3.2-33.el5_11.4.x86_64.rpm

Red Hat Enterprise Linux Desktop (v. 6):

Source:
bash-4.1.2-15.el6_5.2.src.rpm

i386:
bash-4.1.2-15.el6_5.2.i686.rpm
bash-debuginfo-4.1.2-15.el6_5.2.i686.rpm

x86_64:
bash-4.1.2-15.el6_5.2.x86_64.rpm
bash-debuginfo-4.1.2-15.el6_5.2.x86_64.rpm

Red Hat Enterprise Linux Desktop Optional (v. 6):

Source:
bash-4.1.2-15.el6_5.2.src.rpm

i386:
bash-debuginfo-4.1.2-15.el6_5.2.i686.rpm
bash-doc-4.1.2-15.el6_5.2.i686.rpm

x86_64:
bash-debuginfo-4.1.2-15.el6_5.2.x86_64.rpm
bash-doc-4.1.2-15.el6_5.2.x86_64.rpm

Red Hat Enterprise Linux HPC Node (v. 6):

Source:
bash-4.1.2-15.el6_5.2.src.rpm

x86_64:
bash-4.1.2-15.el6_5.2.x86_64.rpm
bash-debuginfo-4.1.2-15.el6_5.2.x86_64.rpm

Red Hat Enterprise Linux HPC Node Optional (v. 6):

Source:
bash-4.1.2-15.el6_5.2.src.rpm

x86_64:
bash-debuginfo-4.1.2-15.el6_5.2.x86_64.rpm
bash-doc-4.1.2-15.el6_5.2.x86_64.rpm

Red Hat Enterprise Linux Server (v. 6):

Source:
bash-4.1.2-15.el6_5.2.src.rpm

i386:
bash-4.1.2-15.el6_5.2.i686.rpm
bash-debuginfo-4.1.2-15.el6_5.2.i686.rpm

ppc64:
bash-4.1.2-15.el6_5.2.ppc64.rpm
bash-debuginfo-4.1.2-15.el6_5.2.ppc64.rpm

s390x:
bash-4.1.2-15.el6_5.2.s390x.rpm
bash-debuginfo-4.1.2-15.el6_5.2.s390x.rpm

x86_64:
bash-4.1.2-15.el6_5.2.x86_64.rpm
bash-debuginfo-4.1.2-15.el6_5.2.x86_64.rpm

Red Hat Enterprise Linux Server Optional (v. 6):

Source:
bash-4.1.2-15.el6_5.2.src.rpm

i386:
bash-debuginfo-4.1.2-15.el6_5.2.i686.rpm
bash-doc-4.1.2-15.el6_5.2.i686.rpm

ppc64:
bash-debuginfo-4.1.2-15.el6_5.2.ppc64.rpm
bash-doc-4.1.2-15.el6_5.2.ppc64.rpm

s390x:
bash-debuginfo-4.1.2-15.el6_5.2.s390x.rpm
bash-doc-4.1.2-15.el6_5.2.s390x.rpm

x86_64:
bash-debuginfo-4.1.2-15.el6_5.2.x86_64.rpm
bash-doc-4.1.2-15.el6_5.2.x86_64.rpm

Red Hat Enterprise Linux Workstation (v. 6):

Source:
bash-4.1.2-15.el6_5.2.src.rpm

i386:
bash-4.1.2-15.el6_5.2.i686.rpm
bash-debuginfo-4.1.2-15.el6_5.2.i686.rpm

x86_64:
bash-4.1.2-15.el6_5.2.x86_64.rpm
bash-debuginfo-4.1.2-15.el6_5.2.x86_64.rpm

Red Hat Enterprise Linux Workstation Optional (v. 6):

Source:
bash-4.1.2-15.el6_5.2.src.rpm

i386:
bash-debuginfo-4.1.2-15.el6_5.2.i686.rpm
bash-doc-4.1.2-15.el6_5.2.i686.rpm

x86_64:
bash-debuginfo-4.1.2-15.el6_5.2.x86_64.rpm
bash-doc-4.1.2-15.el6_5.2.x86_64.rpm

Red Hat Enterprise Linux Client (v. 7):

Source:
bash-4.2.45-5.el7_0.4.src.rpm

x86_64:
bash-4.2.45-5.el7_0.4.x86_64.rpm
bash-debuginfo-4.2.45-5.el7_0.4.x86_64.rpm

Red Hat Enterprise Linux Client Optional (v. 7):

x86_64:
bash-debuginfo-4.2.45-5.el7_0.4.x86_64.rpm
bash-doc-4.2.45-5.el7_0.4.x86_64.rpm

Red Hat Enterprise Linux ComputeNode (v. 7):

Source:
bash-4.2.45-5.el7_0.4.src.rpm

x86_64:
bash-4.2.45-5.el7_0.4.x86_64.rpm
bash-debuginfo-4.2.45-5.el7_0.4.x86_64.rpm

Red Hat Enterprise Linux ComputeNode Optional (v. 7):

x86_64:
bash-debuginfo-4.2.45-5.el7_0.4.x86_64.rpm
bash-doc-4.2.45-5.el7_0.4.x86_64.rpm

Red Hat Enterprise Linux Server (v. 7):

Source:
bash-4.2.45-5.el7_0.4.src.rpm

ppc64:
bash-4.2.45-5.el7_0.4.ppc64.rpm
bash-debuginfo-4.2.45-5.el7_0.4.ppc64.rpm

s390x:
bash-4.2.45-5.el7_0.4.s390x.rpm
bash-debuginfo-4.2.45-5.el7_0.4.s390x.rpm

x86_64:
bash-4.2.45-5.el7_0.4.x86_64.rpm
bash-debuginfo-4.2.45-5.el7_0.4.x86_64.rpm

Red Hat Enterprise Linux Server Optional (v. 7):

ppc64:
bash-debuginfo-4.2.45-5.el7_0.4.ppc64.rpm
bash-doc-4.2.45-5.el7_0.4.ppc64.rpm

s390x:
bash-debuginfo-4.2.45-5.el7_0.4.s390x.rpm
bash-doc-4.2.45-5.el7_0.4.s390x.rpm

x86_64:
bash-debuginfo-4.2.45-5.el7_0.4.x86_64.rpm
bash-doc-4.2.45-5.el7_0.4.x86_64.rpm

Red Hat Enterprise Linux Workstation (v. 7):

Source:
bash-4.2.45-5.el7_0.4.src.rpm

x86_64:
bash-4.2.45-5.el7_0.4.x86_64.rpm
bash-debuginfo-4.2.45-5.el7_0.4.x86_64.rpm

Red Hat Enterprise Linux Workstation Optional (v. 7):

x86_64:
bash-debuginfo-4.2.45-5.el7_0.4.x86_64.rpm
bash-doc-4.2.45-5.el7_0.4.x86_64.rpm

These packages are GPG signed by Red Hat for security. Our key and
details on how to verify the signature are available from
#package">https://access.redhat.com/security/team/key/#package


7. References:

https://www.redhat.com/security/data/cve/CVE-2014-7169.html

https://access.redhat.com/security/updates/classification...
https://access.redhat.com/articles/1200223


8. Contact:

The Red Hat security contact is <secalert@redhat.com>. More contact
details at https://access.redhat.com/security/team/contact/


Copyright 2014 Red Hat, Inc.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iD8DBQFUJMc4XlSAg2UNWIIRAsowAKCeLFE4QctUYTBC7bvqd6RTgUMptACcC2jt
wqMN2oFvaGhf5SqiZHqpyOA=
=Unt1
-----END PGP SIGNATURE-----


[h1]Ubuntu 10.04 / 12.04 / 14.04 BASH Update[/h1]
From: Marc Deslauriers <marc.deslauriers@canonical.com>
To: ubuntu-security-announce@lists.ubuntu.com
Subject: [USN-2363-1] Bash vulnerability
Date: Thu, 25 Sep 2014 18:35:21 -0400
Message-ID: <542498A9.6020900@canonical.com>
==========================================================================
Ubuntu Security Notice USN-2363-1
September 25, 2014

bash vulnerability
==========================================================================

A security issue affects these releases of Ubuntu and its derivatives:

- Ubuntu 14.04 LTS
- Ubuntu 12.04 LTS
- Ubuntu 10.04 LTS

Summary:

Bash allowed bypassing environment restrictions in certain environments.

Software Description:
- bash: GNU Bourne Again SHell

Details:

Tavis Ormandy discovered that the security fix for Bash included in
USN-2362-1 was incomplete. An attacker could use this issue to bypass
certain environment restrictions. (CVE-2014-7169)

Update instructions:

The problem can be corrected by updating your system to the following
package versions:

Ubuntu 14.04 LTS:
bash 4.3-7ubuntu1.2

Ubuntu 12.04 LTS:
bash 4.2-2ubuntu2.3

Ubuntu 10.04 LTS:
bash 4.1-2ubuntu3.2

In general, a standard system update will make all the necessary changes.

References:
http://www.ubuntu.com/usn/usn-2363-1

CVE-2014-7169

Package Information:
https://launchpad.net/ubuntu/+source/bash/4.3-7ubuntu1.2

https://launchpad.net/ubuntu/+source/bash/4.2-2ubuntu2.3

https://launchpad.net/ubuntu/+source/bash/4.1-2ubuntu3.2(2014-09-27 13:41)

[h1]自由軟體基金會對於 GNU Bash "ShellShock" 發表的聲明[/h1]

原文： http://www.fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability

快速翻譯摘要如下：

1. 一個重大的 Bash 安全性問題被發現於 GNU Bash，目前已經有暫時解法；而完整的解法正在動工中。
所有使用 bash 的系統應該立即進行更新，並且監視 bash 相關的網路服務。

2. 此 Bug 俗稱為 "ShellShock"，在某些特定狀況下，可以讓攻擊者取得 root 權限，不論是直接透過 bash
或者 call path 中有 bash 的（網路）應用。
可參考： NVD
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

3. 因為 GNU Bash 為自由軟體且可靠好用，所以 ShellShock 影響範圍廣泛
所幸的是是因為他是 GPL V3，所以能讓自由軟體開發者如
Red Hat 快速的回應此 bug 並分享出 patch 讓各大上游開發者能夠同步修復。

4. 每個人都可以同時自由的下載、檢視、補綴自己的 bash，
不像是微軟(Microsoft) 或者蘋果(Apple)，或者其他的私有軟體。

（這篇文章還順便酸了 Microsoft & Apple 一把，不曉得 FSF 官方聲明為什麼一定要這樣...）

5. 軟體自由是安全的大前提之一，保證每個人都可以檢視並偵測自己使用程式碼的安全性，
進而改善、製造更安全的軟體。

6. 不管是自由軟體或者私有軟體，都不保證 Bug-Free；Bug 會發生，與他的「授權方式」完全無關。
然而如果是在自由軟體發現的 bug ，每個人都有權限、權力、原始代碼來進行複製與修復；
接著此 patch 很快會廣為自由免費的散佈至每個人手上。
這種自由度對於安全運算事關重大。

7. 私有軟體（非自由軟體）依賴於一個「不平等(unjust)」的開發模式，
他隱藏了原始碼，並剝奪了使用者的基本權力；這樣不僅僅讓安全缺失難以發現，
並且容易讓這些開發商故意殖入可能有害的內容，並隱藏已經發現的嚴重問題。

有報告指出，微軟曾經提供給政府的情報組織一些尚未修復的漏洞資訊。
( http://www.computerworlduk.com/blogs/open-enterprise/how-can-any-company-ever-trust-microsoft-again-3569376/

8. 自由軟體並不能保證你的安全，某些狀況下，有可能比起私有軟體更顯得容易發現漏洞。
但比起「不容易發現的漏洞」，持續的監督、改善自由軟體，才是重點。

9. BASH 和其他 GNU 軟體的開發，大部分都是由義務組織或個人義務來貢獻他們才智時間；
我們正在檢視 Bash 的開發，並看增進對於 bash 計畫的資金贊助是否能夠避免未來發生類似問題；
如果您或您的單位組織，有使用 bash 並對於支援 bash 有興趣，請聯絡我們 ( http://www.fsf.org/news/donate@fsf.org


自由軟體基金會媒體窗口 John Sullivan Executive Director
Free Software Foundation +1 (617) 542 5942 campaigns@fsf.org





(2014-09-27 11:56)

[h1]Bash Security Bugs: 2014 九月底發現，請儘速更新修補

（尤其是有 CGI-BIN bash 服務的 server[/h1]

簡稱：ShellShock （當然，給他一個和 HeartBleed一樣的名字）

ShellSHock 影響： All Unix/Linux/BSD/MacOS/Windows 有用 bash 都會受到影響


ShellShock BASH 影響版本：
=> bash 1.14 ~ bash 4.3 （幾乎接近是 zero-day bug）


參考：
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
http://seclists.org/oss-sec/2014/q3/666

修補很簡單：
@ Ubuntu / Debian
$ apt-get update;apt-get upgrade
$ apt-get update && sudo apt-get install --only-upgrade bash (單純更新 bash)

@ Fedora/CentOS/Fedora
$ yum update
$ yum update bash (只更新 bash)

當然，「安全」的前提是，還沒被用此漏洞入侵。


漏洞可能影響的 scenario
1. Apache HTTP Servers (mod_cgi and mod_cgid) + Bash CGI scripts
2. 特定的 DHCP clients
3. OpenSSH server 使用 "ForeceCommand 參數"
4. 相關網路服務，其 path 中有使用到未 patch 的 bash




Q: 如何偵測？

最簡單的 Sample Code，如下面這一行，如果你會看 "vulnerable" 被印出來，
然後才看到 this is a test
那就代表 bash 有 security bug

代碼:

[hr]
Example Code #2:
代碼:


Example Code #3:
代碼:


Update your Ubuntu/Redhat/Fedora/Debian
代碼:(2014-09-26 13:16)

[h1] 2014/09 Adobe業績不彰撤出中國 僅留銷售單位 400名員工恐多數遭裁撤[/h1]

2014/09/25 18:25 鉅亨網 編譯李業德 綜合外電
=> 原文 http://xor.tw/+4w1k3

科技網站《ZDNet》周三 (24日) 報導，由於財務表現不彰，繪圖設計軟體製造商 Adobe Systems Inc. ( (US-ADBE) ) 宣布關閉中國市場總部，其 400 名員工恐怕大多數將遭到裁撤。

Adobe 的北京辦公室員工，於周三早上被召集到當地一間飯店，進行 15 分鐘的會談，期間被告知大多數人面對解聘的命運。

另一分報導指出，約 30 位員工將轉調至 Adobe 的美國和印度公司，中國市場內將僅留下銷售業務單位，而往後中國業務將交給印度分公司負責。

報導指出，公司員工被分為 5 組，並分別發給不同顏色的信封，以區別其最後一天留職的時間，拿到綠色信封的部門員工，會在 10 月底成為第一批離職群，紅色信封則是 12 月底。不過部份員工透露，他們離職時間的安排，係基於服務項目和月薪額度決定。

Adobe 於 9 月 17 日公開第三季財報，表示公司成長僅 1％ 低於預期，且淨利下滑至 4470 萬美元，更是由去 (2013) 年同期大減 46％。

2012 年 12 月時，Adobe 宣布關閉台灣分公司，並將業務轉移到香港辦公室處理。(2014-09-25 19:02)

[center][/center]
##DIV##
[center]
[h1]小說插畫、擬人獸耳插畫設計 - 白米熊 WRB's Fiction Cover Illustration[/h1]

留給他們的世界 - Their own high-land
*湯圓* - Dumpling Swim suites
南極星的眼淚 - Tear Drops of Southern Stars
誘拐棕髮少女計畫 - Luring the Brown Hair Girl
*毛線球* - Fur Ball Foxy
[hr]
More! shortpolarbear(WRB, 白米熊) Artworks:
http://vovo2000.com/paintbbs/art/shortpolarbear/
http://vovo2000.com/artist/shortpolarbear/tags/
http://vovo2000.com/artist/shortpolarbear/


[hr]
See Also
=> WRB(White-Rice-Bear's) Touhou Project Fan ARt



[hr]
See Also Related...
[url=http://vovo2000.com/tags/擬人/]
「擬人」相關創作 :: "Game Design" Artworks/Drawing/Illustration
[/url]

[url=http://vovo2000.com/tags/小說/]
「小說插畫」相關創作 :: "Fictions Cover" Artworks/Drawing/Illustration
[/url]

[url=http://vovo2000.com/tags/獸耳/]
「獸耳」相關創作 :: "Animal Ears" Artworks/Drawing/Illustration
[/url]

[url=http://vovo2000.com/tags/熊/]
「熊」創作 :: "Bear" Artworks Illustration/Fine Art/Art Pieces

[/url]

[/center](2014-09-23 22:37)