Harry James
0 
2997
744
Otkriven je ozbiljan sigurnosni problem s Bash školjkom - glavnim dijelom oba većine operativnih sustava sličnih UNIX-u, a ima značajnih posljedica za računalnu sigurnost širom svijeta.
Tema je prisutna u svim verzijama Bash skriptnog jezika do verzije 4.3, što utječe na većinu Linux strojeva i na čitava računala koja rade pod OS X. i može vidjeti napadača koji koristi ovaj problem kako bi pokrenuo vlastiti kod.
Zanima vas kako to radi i kako se zaštititi? Pročitajte za više informacija.
Što je Bash?
Bash (stoji za Bourne Again Shell) je zadani tumač naredbenog retka koji se koristi na većini distribucija Linuxa i BSD-a, osim OS X. Koristi se kao metoda pokretanja programa, korištenje alata sustava i interakcija s osnovnim operativnim sustavom pokretanjem naredbe.
Pored toga, Bash (i većina Unix školjki) dopuštaju skriptiranje UNIX funkcija u malim skriptama. Slično većini programskih jezika - kao što su Python, JavaScript i CoffeeScript CoffeeScript Je li JavaScript bez glavobolja CoffeeScript je JavaScript bez glavobolje Nikad nisam volio pisati JavaScript toliko puno. Od dana kada sam napisao svoj prvi redak koristeći ga, uvijek mi je bilo zamjereno što sve što napišem u njemu uvijek izgleda kao Jackson ... - Bash podržava značajke uobičajene s većinom programskih jezika, kao što su funkcije, varijable i opseg.
Bash je gotovo sveprisutan, jer se mnogi ljudi koriste izrazom "Bash" da bi se odnosili na sva sučelja naredbenog retka, bez obzira koriste li oni zapravo Bash-ove ljuske. A ako ste ikada instalirali WordPress ili Ghost putem naredbenog retka Prijavljeni za web hosting samo za SSH? Ne brinite - lako instalirajte bilo koji web softver koji ste prijavljeni za web hosting samo za SSH? Ne brinite - laka instalacija bilo kojeg web softvera Ne znate prvu stvar o radu Linuxa putem njegove moćne naredbene linije? Ne brini više. ili ugađati vaš web promet putem SSH-a. Kako ugađati web promet pomoću SSH-ove sigurne ljuske Kako tunetirati web-promet pomoću SSH-ove sigurne školjke, vrlo vjerojatno ste koristili Bash.
Posvuda je. Zbog čega je ta ranjivost još više zabrinjavajuća.
Seciranje napada
Ranjivost - koju je otkrio francuski sigurnosni istraživač Stéphane Chazleas - izazvala je veliku paniku kod korisnika Linuxa i Mac širom svijeta, kao i privukla pozornost u tehnološkom tisku. I s dobrim razlogom, jer je Shellshock mogao napadače vidjeti pristup povlaštenim sustavima i izvršavati vlastiti zlonamjerni kod. Gadno je.
Ali kako to djeluje? Na najnižoj mogućoj razini eksploatira kako djeluju varijable okoline. Koriste ih sustavi slični UNIX-u i Windows Što su varijable okoline i kako ih mogu koristiti? [Windows] Što su varijable okoline i kako ih mogu koristiti? [Windows] S vremena na vrijeme naučit ću mali savjet zbog kojeg razmišljam „dobro, da sam to znao prije godinu dana, to bi mi uštedjelo sate vremena“. Živo se sjećam kako sam naučio kako pohraniti vrijednosti koje su potrebne da računalo pravilno funkcionira. One su dostupne na globalnoj razini diljem sustava i mogu pohraniti jednu vrijednost - poput lokacije mape ili broja - ili funkciju.
Funkcije su koncept koji se nalazi u razvoju softvera. Ali što oni rade? Jednostavno rečeno, oni kombiniraju skup uputa (predstavljenih linijama koda) koje kasnije može izvršiti neki drugi program ili korisnik.
Problem s interpretacijom Bash leži u načinu na koji on obrađuje funkcije pohrane kao varijable okoline. U Bashu se kod koji se nalazi u funkcijama pohranjuje između para kovrčavih zagrada. Međutim, ako napadač ostavi neki Bash kod izvan kovrčave zagrade, sustav će ga izvršiti. To ostavlja sustav širom otvorenim za obitelj napada poznatih kao napadi ubrizgavanja koda.
Istraživači su već pronašli potencijalne vektore napadajući tako kako softver poput web poslužitelja Apache Kako postaviti 3 Apache web server u 3 jednostavna koraka Kako postaviti Apache web server u 3 jednostavna koraka Bez obzira na razlog, možda ćete se dogoditi točka želite pokrenuti web poslužitelj. Bez obzira želite li sebi pružiti udaljeni pristup određenim stranicama ili uslugama, želite dobiti zajednicu ... i uobičajene UNIX alate kao što su WGET Mastering Wget & Učenje nekih urednih trikova za skidanje Mastering Wget i učenje nekih urednih trikova za preuzimanje ponekad jednostavno nije dovoljno da biste spremili web mjesto lokalno iz svog preglednika. Ponekad vam treba malo više snage. Za to postoji mali alat za naredbenu liniju poznat kao Wget. Wget je ... interakcija s ljuskom i korištenje varijabli okoline.
Taj je bug loš (https://t.co/60kPlziiVv) Nabavi obrnutu ljusku na ranjivoj web stranici http://t.co/7JDCvZVU3S autor @ortegaalfredo
- Chris Williams (@diodesign) 24. rujna 2014
CVE-2014-6271: wget -U "() test;; / usr / bin / touch / tmp / RUNNERABLE" myserver / cgi-bin / test
- Hernan Ochoa (@hernano) 24. rujna 2014
Kako se testirate?
Zanima vas je li vaš sustav ranjiv? Pronalaženje je jednostavno. Samo otvorite terminal i upišite:
env x = "() :;; echo ranjiv" bash -c "odjek ovo je test”Ako je vaš sustav ranjiv, tada će se proizvesti:
ranjiva je to testDok sustav koji nije pogođen ispisuje:
env x = "() :;; echo ranjiv" bash -c "eho ovo je test" bash: upozorenje: x: ignoriranje pokušaja definicije funkcije bash: pogreška uvoza definicije funkcije za 'x' ovo je testKako to popravljate?
Do trenutka objave, bug - koji je otkriven 24. rujna 2014. - trebao je biti popravljen i zakrpljen. Jednostavno morate ažurirati svoj sustav. Iako inačice Ubuntu i Ubuntu koriste Dash kao svoju glavnu ljusku, Bash se i dalje koristi za neke funkcionalnosti sustava. Kao rezultat, dobro bi vam bilo preporučeno da ga ažurirate. Da biste to učinili, upišite:
sudo apt-get update nadograditi sudo apt-get nadogradnjuNa Fedori i drugim Red Hat inačicama upišite:
sudo yum updateApple tek treba izdati sigurnosni ispravak za to, iako će ga, ako to učine, objaviti putem trgovine aplikacija. Obavezno redovito provjeravate postoje li sigurnosna ažuriranja.
Chromebook-ovi koji koriste Linux kao temelj i koji mogu pokretati većinu distribucija bez puno gužve Kako instalirati Linux na Chromebook Kako instalirati Linux na Chromebook Treba li vam Skype na Chromebook? Nedostaje li vam nedostatak pristupa igrama putem Steam-a? Želite li koristiti VLC Media Player? Zatim počnite koristiti Linux na Chromebooku. - koristite Bash za određene funkcije sustava, a Dash kao svoju glavnu ljusku. Google bi se trebao ažurirati u dogledno vrijeme.
Što učiniti ako vaš distrokt još nije popravio bash
Ako vaš distro tek treba objaviti ispravku za Bash, možda biste trebali razmotriti promjenu distribucije ili instalirati drugu ljusku.
Preporučio bih početnicima da provjere Fish Shell. Ovo dolazi s brojnim značajkama koje trenutno nisu dostupne u Bashu i čine ih još ugodnijom za rad s Linuxom. Oni uključuju auto prijedloge, jarke VGA boje i mogućnost konfiguriranja s web sučelja.
Autor suradnika MakeUseOf Andrew Bolster također preporučuje da provjerite zSH koji dolazi s tijesnom integracijom s Git sustavom kontrole verzija, kao i automatsko dovršavanje..
@matthewhughes zsh, jer bolja autokompletna i git integracija
- Andrew Bolster (@Bolster) 25. rujna 2014
Najstrašnija ranjivost Linuxa ipak?
Shellshock je već naoružan. U toku jednog dana otkrivanja ranjivosti svijetu je već korištena u prirodi za kompromitiranje sustava. Zabrinjavajuće je da nisu samo kućni korisnici i tvrtke ranjivi. Sigurnosni stručnjaci predviđaju da će buga također ugroziti vojni i vladin sustav. Gotovo je noćna mora kao i Heartbleed.
Sveta kravo, postoji puno .mil i .gov mjesta koja će biti u vlasništvu CVE-2014-6271.
- Kenn White (@kennwhite) 24. rujna 2014
Dakle, molim vas. Ažurirajte svoje sustave, ok? Obavijestite me kako ste započeli, i vaše misli o ovom djelu. Okvir za komentare nalazi se u nastavku.
Fotografska vrijednost: zanaca (IMG_3772.JPG)