Oglas

ozbiljno sigurnosno pitanje otkriven je Bash-ov omotač - glavna komponenta oba većine operativnih sustava sličnih UNIX-u, a ima značajnih posljedica za računalnu sigurnost širom svijeta.

Izdanje je prisutno u svim verzijama Bash skriptnog jezika do verzije 4.3, koje djeluju na većinu Linux strojeva i na čitava računala s OS X. i može vidjeti napadača kako koristi ovaj problem za pokretanje vlastitog koda.

Zanima vas kako to radi i kako se zaštititi? Pročitajte za više informacija.

Što je Bash?

Bash (stoji za Bourne Again Shell) je zadani tumač naredbenog retka koji se koristi na većini Linux i BSD distribucija, osim OS X. Koristi se kao metoda pokretanja programa, korištenje uslužnih programa sustava i interakcija s osnovnim operativnim sustavom pokretanjem naredbi.

Pored toga, Bash (i većina Unix-ovih školjki) omogućavaju skriptiranje UNIX funkcija u malim skriptama. Slično kao u većini programskih jezika - kao što su Python, JavaScript i CoffeeScript CoffeeScript je JavaScript bez glavobolja

Nikad nisam toliko volio pisati JavaScript. Od dana kada sam napisao svoj prvi redak koristeći ga, oduvijek mi je bilo zamjereno što sve što napišem u njemu uvijek izgleda kao Jacksona ... Čitaj više - Bash podržava značajke uobičajene s većinom programskih jezika, poput funkcija, varijabli i opsega.

kontuzija-udariti

Bash je gotovo sveprisutan, jer se mnogi ljudi koriste izrazom "Bash" da bi se odnosili na sva sučelja naredbenog retka, bez obzira da li zapravo koriste Bash školjku. I ako ste ikada instalirali WordPress ili Ghost kroz naredbenu liniju Prijavljeni ste za SSH web hosting samo? Ne brinite - lako instalirajte bilo koji web softverNe znate prvu stvar o radu Linuxa putem njegove moćne naredbene linije? Ne brini više. Čitaj više , ili tunelirao vaš web promet putem SSH-a Kako ugađati web promet sa SSH sigurnom školjkom Čitaj više , vrlo ste vjerojatno koristili Bash.

Svugdje je Zbog čega je ta ranjivost još više zabrinjavajuća.

Seciranje napada

Ranjivost - otkrio je francuski istraživač sigurnosti Stéphane Chazleas - izazvao je veliku paniku kod korisnika Linuxa i Mac širom svijeta, kao i privukao pozornost u tehnološkom tisku. I s dobrim razlogom, jer je Shellshock mogao napadače vidjeti pristup povlaštenim sustavima i izvršavati vlastiti zlonamjerni kod. Gadno je.

Ali kako to djeluje? Na najnižoj mogućoj razini eksploatira kako varijable okoline raditi. Koriste ih oba sustava slična UNIX-u i Windows Što su varijable okoline i kako ih mogu koristiti? [Windows]S vremena na vrijeme naučit ću mali savjet zbog kojeg ću razmišljati "dobro, da sam to znao prije godinu dana, to bi mi uštedjelo sate vremena". Živo se sjećam kako sam učio kako ... Čitaj više pohraniti vrijednosti koje su potrebne da računalo ispravno funkcionira. One su dostupne širom svijeta dostupne u cijelom sustavu i mogu pohraniti jednu vrijednost - poput lokacije mape ili broja - ili neku funkciju.

kontuzija-env-VAr

Funkcije su koncept koji se nalazi u razvoju softvera. Ali što oni rade? Jednostavno rečeno, oni kombiniraju skup uputa (predstavljenih linijama koda) koje kasnije može izvršiti neki drugi program ili korisnik.

Problem s interpretacijom Bash leži u načinu na koji on obrađuje funkcije pohrane kao varijable okoline. U Bashu, kod koji se nalazi u funkcijama pohranjen je između para kovrčavih zagrada. Međutim, ako napadač ostavi neki Bash kod izvan kovrčave zagrade, sustav će ga izvršiti. To ostavlja sustav širom otvorenim za obitelj napada poznatih kao napadi ubrizgavanja koda.

Istraživači su već pronašli potencijalne vektore napadajući koristeći softver poput softvera Web poslužitelj Apache Kako postaviti web poslužitelj Apache u 3 jednostavna korakaBez obzira na razlog, možda ćete u nekom trenutku poželjeti pokrenuti web poslužitelj. Bez obzira želite li sebi pružiti udaljeni pristup određenim stranicama ili uslugama, želite dobiti zajednicu ... Čitaj više i uobičajena UNIX uslužni programi poput WGET Savladavanje wget-a i učenje nekih urednih trikova za preuzimanjePonekad jednostavno nije dovoljno lokalno spremanje web stranice iz preglednika. Ponekad vam treba malo više snage. Za to postoji mali alat za naredbenu liniju poznat kao Wget. Wget je ... Čitaj više komunicirati s ljuskom i koristiti varijable okoline.

Buh je gadan ( https://t.co/60kPlziiVv ) Nabavite obrnutu ljusku na osjetljivom web mjestu http://t.co/7JDCvZVU3S po @ortegaalfredo

- Chris Williams (@diodesign) 24. rujna 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / RUNNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24. rujna 2014

Kako ga testirate?

Zanima vas je li vaš sustav ranjiv? Pronalaženje je jednostavno. Samo otvorite terminal i upišite:

env x = '() {:;}; echo ranjiv 'bash -c' eho ovo je test '

Ako je vaš sustav ranjiv, tada će se proizvesti:

ranjiva je to test

Dok će sustav koji nije pogođen proizvoditi:

env x = '() {:;}; echo ranjiv 'bash -c' eho ovo je test 'bash: upozorenje: x: ignoriranje pokušaja definicije funkcije bash: pogreška uvoza definicije funkcije za `x' ovo je test

Kako to popraviti?

Do trenutka objave, bug - koji je otkriven 24. rujna 2014. - trebao je biti popravljen i zakrpljen. Jednostavno morate ažurirati svoj sustav. Iako inačice Ubuntu i Ubuntu koriste Dash kao svoju glavnu ljusku, Bash se i dalje koristi za neke funkcionalnosti sustava. Kao rezultat, dobro bi vam bilo preporučeno da ga ažurirate. Da biste to učinili, upišite:

sudo apt-get update. sudo apt-get nadogradnju

Na Fedori i drugim Red Hat inačicama upišite:

sudo yum update

Apple tek treba izdati sigurnosni ispravak za to, iako će ih, ako se to dogodi, objaviti putem trgovine aplikacija. Obavezno redovito provjeravate postoje li sigurnosna ažuriranja.

kontuzija ažuriranje

Chromebookovi - koji koriste Linux kao temelj i mogu pokrenite većinu distrosova bez puno žurbe Kako instalirati Linux na ChromebookTreba li vam Skype na Chromebooku? Nedostaje li vam pristup Steamu igrama? Želite li koristiti VLC Media Player? Zatim počnite koristiti Linux na Chromebooku. Čitaj više - koristite Bash za određene funkcije sustava, a Dash kao svoju glavnu ljusku. Google bi trebao ažurirati u dogledno vrijeme.

Što učiniti ako vaš distrokt još nije popravio crticu

Ako vaš distro tek treba objaviti ispravku za Bash, možda biste trebali razmotriti promjenu distribucije ili instalirati drugu ljusku.

Preporučujem početnicima odlazak Riblje školjke. Ovo dolazi s brojnim značajkama koje trenutno nisu dostupne u Bashu i čine ih još ugodnijom za rad s Linuxom. Oni uključuju auto prijedloge, jarke VGA boje i mogućnost konfiguriranja s web sučelja.

Suradnik MakeUseOf autora Andrew Bolster također preporučuje da se odjavite zSH, koja dolazi s tijesnom integracijom s Git sustavom kontrole verzija, kao i automatsko dovršavanje.

@matthewhughes zsh, jer je bolja autokompletna i git integracija

- Andrew Bolster (@Bolster) 25. rujna 2014

Najstrašnija ranjivost Linuxa ipak?

Shellshock je već naoružan. Unutar jedan dan ranjivosti objavljena u svijetu, u divljini su je već koristili za kompromitiranje sustava. Zabrinjavajuće je da nisu samo kućni korisnici i tvrtke ranjive. Sigurnosni stručnjaci predviđaju da će buga također ugroziti vojni i vladin sustav. To je gotovo jednako košmar kao što je bilo i Heartbleed.

Sveta kravo, postoji puno .mil i .gov mjesta koja će biti u vlasništvu CVE-2014-6271.

- Kenn White (@kennwhite) 24. rujna 2014

Dakle, molim vas. Ažurirajte svoje sustave, ok? Obavijestite me kako ste nastavili i koja ste vaša razmišljanja o ovom djelu. Okvir za komentare nalazi se u nastavku.

Fotografski kredit:zanaca (IMG_3772.JPG)

Matthew Hughes je programer i pisac softvera iz Liverpoola u Engleskoj. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i svoj fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i slijedite ga na twitteru na @matthewhughes.