Horší než srdce? Seznamte se s ShellShock: Nová bezpečnostní hrozba pro OS X a Linux

reklama

A závažný bezpečnostní problém s Bash shellem - hlavní komponentou obou operačních systémů podobných unixu - byl objeven, což má významné důsledky pro počítačové zabezpečení na celém světě.

Problém je přítomen ve všech verzích skriptovacího jazyka Bash až do verze 4.3, což ovlivňuje většinu počítačů Linux a celé počítače se systémem OS X. a vidí, jak útočník zneužívá tento problém ke spuštění svého vlastního kódu.

Zajímá vás, jak to funguje a jak se chránit? Pro více informací si přečtěte dále.

Co je Bash?

Bash (zkratka pro Bourne Again Shell) je standardním interpretem příkazového řádku používaným ve většině distribucí Linux a BSD, kromě OS X. Používá se jako metoda spouštění programů, používání systémových nástrojů a interakce se základním operačním systémem spouštěním příkazů.

Kromě toho Bash (a většina unixových shellů) umožňuje skriptování funkcí UNIXu v malých skriptech. Podobně jako většina programovacích jazyků - například Python, JavaScript a CoffeeScript CoffeeScript je JavaScript bez bolesti hlavy

Nikdy jsem moc rád psal JavaScript tolik. Od chvíle, kdy jsem použil svůj první řádek, jsem vždycky nesnášel, že to, co v něm píšu, vždy vypadá jako Jackson ... Přečtěte si více - Bash podporuje funkce běžné ve většině programovacích jazyků, jako jsou funkce, proměnné a rozsah.

Bash je téměř všudypřítomný, protože mnoho lidí používá termín „Bash“ a odkazuje na všechna rozhraní příkazového řádku, bez ohledu na to, zda skutečně používají shell Bash. A pokud nainstalovali jste WordPress nebo Ghost pomocí příkazového řádku Zaregistrovali jste se pouze pro webhosting SSH? Nebojte se - snadno nainstalujte jakýkoli webový softwareNevíte první o operaci Linuxu pomocí jeho výkonného příkazového řádku? Už se nemusíte bát. Přečtěte si více , nebo vyladili váš webový provoz prostřednictvím SSH Jak vyladit webový provoz pomocí SSH Secure Shell Přečtěte si více , docela pravděpodobně jste použili Bash.

Je to všude. Což činí tuto chybu zabezpečení ještě znepokojivější.

Rozmístění útoku

Tato chyba zabezpečení byla objevena francouzským výzkumným pracovníkem v oblasti bezpečnosti Stéphane Chazleas - způsobila paniku u uživatelů Linuxu a Mac na celém světě a přitahovala pozornost v technologickém tisku. A také z dobrého důvodu, protože Shellshock mohl potenciálně vidět útočníky, jak získávají přístup k privilegovaným systémům a vykonávají svůj vlastní škodlivý kód. Je to ošklivé.

Ale jak to funguje? Na nejnižší možné úrovni využívá jak proměnné prostředí práce. Používají je systémy UNIX a Windows Co jsou proměnné prostředí a jak je mohu použít? [Okna]Tu a tam se naučím malý tip, který mě nutí myslet si „dobře, kdybych věděl, že před rokem mi to ušetří hodiny času“. Živě si pamatuji učení, jak ... Přečtěte si více k uložení hodnot, které jsou nezbytné pro správnou funkci počítače. Jsou dostupné celosvětově v celém systému a mohou ukládat jednu hodnotu - například umístění složky nebo čísla - nebo funkci.

Funkce jsou konceptem, který se nachází ve vývoji softwaru. Ale co dělají? Jednoduše řečeno, sdružují sadu instrukcí (představovaných řádky kódu), které mohou být později provedeny jiným programem nebo uživatelem.

Problém s interpretem Bash spočívá v tom, jak zpracovává ukládání funkcí jako proměnných prostředí. V Bash je kód nalezený ve funkcích uložen mezi pár složených závorek. Pokud však útočník opustí nějaký Bash kód mimo složenou vzpěru, bude systém proveden. Díky tomu je systém otevřený pro celou řadu útoků známých jako útoky s injekcí kódu.

Vědci již našli potenciální vektory útoku využitím softwaru, jako je Webový server Apache Jak nastavit webový server Apache ve 3 snadných krocíchAť už je důvod jakýkoli, můžete někdy chtít spustit webový server. Ať už se chcete dát vzdálený přístup k určitým stránkám nebo službám, chcete získat komunitu ... Přečtěte si více a běžné Obslužné programy systému UNIX, například WGET Zvládnutí Wget a učení některých úhledných trikůNěkdy nestačí pouze uložit web z prohlížeče. Někdy potřebujete trochu více energie. K tomu existuje úhledný malý nástroj příkazového řádku známý jako Wget. Wget je ... Přečtěte si více komunikovat s prostředí a používat proměnné prostředí.

Ta bashova chyba je špatná ( https://t.co/60kPlziiVv ) Získejte zpětný shell na zranitelném webu http://t.co/7JDCvZVU3S podle @ortegaalfredo

- Chris Williams (@diodesign) 24. září 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24. září 2014

Jak na to vyzkoušíte?

Zajímá vás, zda je váš systém zranitelný? Zjištění je snadné. Stačí otevřít terminál a napsat:

env x = '() {:;}; echo zranitelné 'bash -c "echo toto je test"

Pokud je váš systém zranitelný, vydá výstup:

zranitelný je to test

Zatímco neovlivněný systém bude produkovat:

env x = '() {:;}; echo zranitelné 'bash -c "echo toto je test" bash: varování: x: ignorování pokusu o definici funkce bash: chyba při importu definice funkce pro "x" je to test

Jak to opravit?

Do doby zveřejnění měla být chyba - objevená 24. září 2014 - opravena a opravena. Stačí jednoduše aktualizovat systém. Zatímco varianty Ubuntu a Ubuntu používají Dash jako svůj hlavní shell, Bash se stále používá pro některé systémové funkce. Výsledkem je, že byste ji měli aktualizovat. Chcete-li to provést, zadejte:

aktualizace sudo apt-get. sudo apt-get upgrade

Na Fedoru a dalších variantách Red Hat zadejte:

aktualizace sudo yum

Apple má zatím k dispozici bezpečnostní opravu, i když, pokud ano, uvolní ji prostřednictvím obchodu s aplikacemi. Ujistěte se, že pravidelně kontrolujete aktualizace zabezpečení.

Chromebooky - které používají Linux jako svůj základ a mohou běžet nejvíce distros bez velkého rozruchu Jak nainstalovat Linux na ChromebookuPotřebujete na svém Chromebooku Skype? Chybí vám přístup k hrám prostřednictvím služby Steam? Chcete používat VLC Media Player? Poté na Chromebooku začněte používat Linux. Přečtěte si více - použijte Bash pro některé funkce systému a Dash jako jejich hlavní shell. Google by se měl aktualizovat včas.

Co dělat, když váš Distro zatím neudělal Bash

Pokud vaše distro ještě vydává opravu pro Bash, možná budete chtít zvážit změnu distribuce nebo instalaci jiného shellu.

Doporučuji vyzkoušet začátečníky Rybí skořápka. To přichází s řadou funkcí, které v současné době v Bashu nejsou, a ještě více zpříjemňuje práci s Linuxem. Patří k nim automatické návrhy, zářivé barvy VGA a schopnost konfigurovat je z webového rozhraní.

Spoluautor MakeUseOf Andrew Bolster také doporučuje vyzkoušet zSH, která přichází s těsnou integrací s řídícím systémem verzí Git a také s automatickým doplňováním.

@ matthewhughes zsh, protože lepší automatické doplňování a integrace git

- Andrew Bolster (@Bolster) 25. září 2014

Nejděsivější zranitelnost systému Linux?

Shellshock již byl vyzbrojen. V rámci jeden den zranitelnosti protože byl odhalen světu, byl již ve volné přírodě používán ke kompromisním systémům. Více znepokojivě, nejsou zranitelní pouze domácí uživatelé a firmy. Bezpečnostní experti předpovídají, že chyba také ohrožuje vojenské a vládní systémy. Je to skoro stejně noční můra, jako byla Heartbleed.

Svatá kráva existuje spousta .mil a .gov webů, které budou vlastněny CVE-2014-6271.

- Kenn White (@kennwhite) 24. září 2014

Tak prosím. Aktualizujte své systémy, ano? Dejte mi vědět, jak se vám daří, a vaše myšlenky na tento kus. Pole pro komentáře je níže.

Fotografický kredit:zanaca (IMG_3772.JPG)