Strona główna Linux Gorzej niż Heartbleed? Poznaj ShellShock Nowe zagrożenie bezpieczeństwa dla systemów OS X i Linux

Gorzej niż Heartbleed? Poznaj ShellShock Nowe zagrożenie bezpieczeństwa dla systemów OS X i Linux

  • Brian Curtis
  • 0
  • 3861
  • 779
Reklama

Wykryto poważny problem bezpieczeństwa z powłoką Bash - głównym składnikiem większości systemów operacyjnych podobnych do UNIX - mający znaczący wpływ na bezpieczeństwo komputerów na całym świecie.

Problem występuje we wszystkich wersjach języka skryptowego Bash do wersji 4.3, co wpływa na większość komputerów z systemem Linux i na wszystkie komputery z systemem OS X. Widzą atakującego wykorzystującego ten problem do uruchomienia własnego kodu.

Ciekawy, jak to działa i jak się chronić? Czytaj dalej, aby dowiedzieć się więcej.

Co to jest Bash?

Bash (skrót od Bourne Again Shell) to domyślny interpreter wiersza poleceń używany w większości dystrybucji Linuksa i BSD, oprócz OS X. Jest używany jako metoda uruchamiania programów, używania narzędzi systemowych i interakcji z podstawowym systemem operacyjnym poprzez uruchamianie polecenia.

Ponadto Bash (i większość powłok uniksowych) umożliwia wykonywanie skryptów funkcji UNIX w małych skryptach. Podobnie jak większość języków programowania - takich jak Python, JavaScript i CoffeeScript CoffeeScript to JavaScript bez bólu głowy CoffeeScript to JavaScript bez bólu głowy Nigdy tak naprawdę nie lubiłem pisać JavaScript. Od dnia, w którym napisałem w nim pierwszą linię, zawsze byłem oburzony, że wszystko, co w niej piszę, zawsze wygląda jak Jackson… - Bash obsługuje funkcje wspólne dla większości języków programowania, takie jak funkcje, zmienne i zakres.

Bash jest prawie wszechobecny, a wiele osób używa terminu „Bash” w odniesieniu do wszystkich interfejsów wiersza poleceń, niezależnie od tego, czy faktycznie używa powłoki Bash. A jeśli kiedykolwiek instalowałeś WordPress lub Ghost za pomocą wiersza polecenia Zapisałeś się na hosting tylko dla SSH? Nie martw się - łatwa instalacja oprogramowania sieciowego zarejestrowanego na potrzeby hostingu wyłącznie przez SSH? Nie martw się - łatwa instalacja oprogramowania WWW Nie wiesz, co należy wiedzieć o obsłudze Linuksa za pomocą jego potężnego wiersza poleceń? Nie martw się więcej. lub tunelował ruch internetowy za pośrednictwem SSH Jak tunelować ruch internetowy za pomocą SSH Secure Shell Jak tunelować ruch internetowy za pomocą SSH Secure Shell, prawdopodobnie korzystałeś z Bash.

To jest wszędzie. Co czyni tę podatność tym bardziej niepokojącą.

Analiza ataku

Luka - odkryta przez francuskiego badacza bezpieczeństwa Stéphane'a Chazleasa - wywołała wiele paniki wśród użytkowników Linuksa i komputerów Mac na całym świecie, a także przyciągnęła uwagę prasy technicznej. I nie bez powodu, ponieważ Shellshock mógł potencjalnie zobaczyć, że osoby atakujące uzyskują dostęp do uprzywilejowanych systemów i wykonują własny złośliwy kod. To jest paskudne.

Ale jak to działa? Na najniższym możliwym poziomie wykorzystuje działanie zmiennych środowiskowych. Są one używane zarówno przez systemy typu UNIX, jak i Windows. Czym są zmienne środowiskowe i jak ich używać? [Windows] Jakie są zmienne środowiskowe i jak ich używać? [Windows] Co jakiś czas nauczę się małej wskazówki, która każe mi myśleć „no cóż, gdybym wiedziała, że ​​rok temu zaoszczędziłaby mi to wiele godzin”. Żywo pamiętam, jak nauczyć się ... przechowywać wartości wymagane do prawidłowego funkcjonowania komputera. Są one dostępne na całym świecie w całym systemie i mogą przechowywać jedną wartość - na przykład lokalizację folderu lub numeru - lub funkcję.

Funkcje to koncepcja występująca podczas opracowywania oprogramowania. Ale co oni robią? Mówiąc najprościej, zawierają zestaw instrukcji (reprezentowanych przez linie kodu), które mogą być później wykonane przez inny program lub użytkownika.

Problem z interpretatorem Bash polega na tym, jak obsługuje on przechowywanie funkcji jako zmiennych środowiskowych. W Bash kod znaleziony w funkcjach jest przechowywany między parą nawiasów klamrowych. Jeśli jednak osoba atakująca zostawi kod Bash poza nawiasami klamrowymi, zostanie on wykonany przez system. To sprawia, że ​​system jest szeroko otwarty dla rodziny ataków zwanych atakami polegającymi na wstrzykiwaniu kodu.

Naukowcy odkryli już potencjalne wektory ataku, wykorzystując oprogramowanie, takie jak serwer WWW Apache Jak skonfigurować serwer WWW Apache w 3 łatwych krokach Jak skonfigurować serwer WWW Apache w 3 łatwych krokach Bez względu na przyczynę, możesz punkt chce uruchomić serwer WWW. Niezależnie od tego, czy chcesz zapewnić sobie zdalny dostęp do niektórych stron lub usług, chcesz uzyskać społeczność… i typowe narzędzia UNIX, takie jak WGET Mastering Wget i nauka ciekawych sztuczek z pobieraniem Mastering Wget i nauka ciekawych sztuczek z pobieranymi czasami Czasami to po prostu za mało aby zapisać witrynę lokalnie w przeglądarce. Czasami potrzebujesz trochę więcej mocy. Do tego celu służy małe narzędzie wiersza poleceń znane jako Wget. Wget to… interakcja z powłoką i używanie zmiennych środowiskowych.

Ten błąd bash jest zły (https://t.co/60kPlziiVv) Uzyskaj odwrotną powłokę na podatnej stronie http://t.co/7JDCvZVU3S autorstwa @ortegaalfredo

- Chris Williams (@diodesign) 24 września 2014 r

CVE-2014-6271: wget -U "() test;; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24 września 2014

Jak to testujesz??

Ciekawe, czy twój system jest podatny na ataki? Odkrycie jest łatwe. Po prostu otwórz terminal i wpisz:

env x = "() :;; wrażliwe na echo" bash -c "echo to jest test”

Jeśli twój system jest podatny na atak, wyświetli:

wrażliwe to jest test

Podczas gdy niezmieniony system wygeneruje:

env x = "() :;; echo wrażliwe" bash -c "echo to jest test" bash: ostrzeżenie: x: ignorowanie próby zdefiniowania funkcji bash: błąd podczas importowania definicji funkcji dla 'x' to jest test

Jak to naprawić??

Do czasu publikacji błąd, który został odkryty 24 września 2014 r., Powinien był zostać naprawiony i załatany. Musisz po prostu zaktualizować system. Podczas gdy Ubuntu i warianty Ubuntu używają Dash jako głównej powłoki, Bash jest nadal używany do niektórych funkcji systemu. W związku z tym zaleca się jego aktualizację. Aby to zrobić, wpisz:

sudo apt-get update sudo apt-get upgrade

W Fedorze i innych wariantach Red Hat wpisz:

aktualizacja sudo mniam

Apple nie wydało jeszcze poprawki bezpieczeństwa, ale jeśli to zrobią, wydadzą ją za pośrednictwem App Store. Upewnij się, że regularnie sprawdzasz dostępność aktualizacji zabezpieczeń.

Chromebooki - które używają Linuksa jako podstawy i mogą bezproblemowo uruchamiać większość dystrybucji Jak zainstalować Linuksa na Chromebooku Jak zainstalować Linuksa na Chromebooku Potrzebujesz Skype'a na Chromebooku? Tęsknisz za brakiem dostępu do gier przez Steam? Czy chcesz korzystać z VLC Media Player? Następnie zacznij korzystać z Linuksa na Chromebooku. - użyj Bash dla niektórych funkcji systemu i Dash jako ich głównej powłoki. Google powinien zaktualizować w odpowiednim czasie.

Co zrobić, jeśli Twoja dystrybucja nie naprawiła jeszcze Bash

Jeśli twoja dystrybucja jeszcze nie wydała poprawki dla Bash, możesz rozważyć zmianę dystrybucji lub zainstalowanie innej powłoki.

Polecam początkującym sprawdzić Fish Shell. Jest wyposażony w wiele funkcji, które nie są obecnie dostępne w Bash i sprawiają, że praca z Linuksem jest jeszcze przyjemniejsza. Należą do nich autosugestie, żywe kolory VGA i możliwość konfiguracji z interfejsu internetowego.

Inny autor MakeUseOf, Andrew Bolster, zaleca również sprawdzenie zSH, który zapewnia ścisłą integrację z systemem kontroli wersji Git, a także autouzupełnianie.

@matthewhughes zsh, ponieważ lepsza autouzupełnianie i integracja z git

- Andrew Bolster (@Bolster) 25 września 2014 r

Najstraszniejsza jak dotąd luka w systemie Linux?

Shellshock został już uzbrojony. W ciągu jednego dnia od ujawnienia luki w zabezpieczeniach świat został już wykorzystany na wolności, aby skompromitować systemy. Co bardziej niepokojące, narażeni są nie tylko użytkownicy domowi i firmy. Eksperci ds. Bezpieczeństwa przewidują, że błąd narazi również systemy wojskowe i rządowe. Jest prawie tak koszmarny jak Heartbleed.

Święta krowa, istnieje wiele witryn .mil i .gov, które będą własnością CVE-2014-6271.

- Kenn White (@kennwhite) 24 września 2014 r

Więc proszę. Zaktualizuj swoje systemy, dobrze? Daj mi znać, jak sobie radzisz i co myślisz o tym utworze. Pole komentarzy znajduje się poniżej.

Zdjęcie kredytowe: zanaca (IMG_3772.JPG)




Jeszcze bez komentarzy

5 najtwardszych, najtrwalszych przenośnych dysków twardych i dysków SSD
Przewodniki zakupu
6 dostępnych teraz niedrogich telefonów Amazon
Przewodniki zakupu
3 najlepsze laptopy do gier z obsługą VR dla Oculus Rift i HTC Vive
Przewodniki zakupu
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.