Videó: Apple M1 Mac Review: Time to Recalibrate! (November 2024)
A Bash-ban felfedezett hiba, a széles körben használt parancsértelmező, kritikus biztonsági kockázatot jelent az Unix és a Linux rendszerek számára - mondta a biztonsági szakértők. És nehogy kísértésként utasítsa el a problémát, mint pusztán szerver problémát, ne feledje, hogy a Mac OS X a Bash-t használja. Sok szakértő figyelmezteti, hogy ez rosszabb lehet, mint a Heartbleed.
A sebezhetőség a Bash legtöbb verziójában, az 1.13-tól 4.3-ig terjed, jelenik meg Stephane Chazelas, az Akamai Unix és Linux hálózati és telekommunikációs adminisztrátora, aki először tette közzé a hibát. A Belbiztonsági Minisztérium számítógépes vészhelyzeti reagáló csoportja (CERT) riasztásban figyelmeztette, hogy a biztonsági rés kihasználása esetén a távoli hackerek lehetővé tehetik a rosszindulatú kódok végrehajtását az érintett rendszeren. A NIST sebezhetőségi adatbázis súlyossági szempontból a 10-ből 10-et értékelte.
"Ez a sebezhetőség potenciálisan nagyon nagy ügy" - mondta Tod Beardsley, a Rapid7 műszaki vezetője.
A sebezhetőség azzal kapcsolatos, hogy Bash hogyan kezeli a környezeti változókat. Ha függvényt rendel egy változóhoz, akkor a meghatározásban szereplő minden további kódot is végrehajtunk. Tehát a támadóknak csak annyit kell tennie, hogy valamilyen parancsot csatolnak ehhez a meghatározáshoz - egy klasszikus kódbefecskendezési támadáshoz -, és képesek lesznek távolról eltéríteni az érintett gépet. Chazelas és más, a hibát vizsgáló kutatók megerősítették, hogy könnyen kihasználható, ha a kódot környezeti változókba injektálják, mint például az ForceSSmand szolgáltatás az OpenSSH sshd-ban, a mod_cgi és mod_cgid modulok az Apache HTTP Serverben, vagy a szkriptek, amelyek meghatározzák a környezet a DHCP kliensek számára.
"Számos program Linuxon és más UNIX rendszereken használja a Bash-t környezeti változók beállításához, amelyeket akkor használnak más programok végrehajtása közben" - írta Jim Reavis, a Cloud Security Alliance vezérigazgatója, egy blogbejegyzésben.
Elkerülhetetlen szívveréses összehasonlítás
Vegyünk két dolgot erről a sebezhetőségről: A Linux / Unix szervereket széles körben használják az adatközpontokban szerte a világon, valamint sok eszköz beágyazva; a sebezhetőség évek óta jelen van. Mivel a Bash annyira elterjedt, hogy a Heartbleed-hez viszonyítva, az OpenSSH áprilisban felfedezett sebezhetősége elkerülhetetlen. Robert Graham, az Errata Security a már megnevezte a hibát, a ShellShock-ot.
De van-e szívverés 2? Kicsit nehéz megmondani. Ez határozottan egy komoly kérdés, mert hozzáférést biztosít a támadóknak a parancshéjhoz, amely az arany jegy, hogy bármit megtehessenek az adott gépen.
Gondoljunk méretre. Az Apache webszerverei a webhelyek hatalmas többségét hajtják végre a világon. Amint a Heartbleed során megtudtuk, sok olyan nem Linux / Unix gép van, amely OpenSSH-t és Telnet-t használ. És a DHCP nélkülözhetetlen ahhoz, hogy megkönnyítsük a hálózatok ki- és bekapcsolását. Ez azt jelenti, hogy a számítógépek és a szerverek mellett előfordulhat, hogy más beágyazott rendszerek, például az útválasztók is ki vannak téve az eltérítésnek. Az Errata Security Graham - aki eddig elvégezte a hiba legtisztább elemzését - végzett néhány szkennelést és könnyen talált néhány ezer kiszolgáltatott kiszolgálót, de egyelőre egy kicsit nehéz megbecsülni a probléma mértékét.
A Heartbleed hibája azonban csak az OpenSSL sebezhető verziójának telepítésével volt jelen. Ez a hiba nem olyan egyszerű.
"Ez nem olyan egyszerű, mint" Bash futtatása "- mondta Beardsley. A gép támadásokkal szembeni veszélyeztetettségéhez szükség van egy alkalmazásra (például Apache), amely beveszi a felhasználói bemeneteket (például a User-Agent fejlécet), és behelyezi azt egy környezeti változóba (amit a CGI szkriptek tesznek) - mondta. A modern webes keretek általában nem lesznek érintettek - mondta.
Ez lehet az oka annak, hogy Graham mondta, míg a ShellShock olyan súlyos, mint a szívverés. "Nincs szükség rohanásra és kijavításra. Az elsődleges kiszolgálók valószínűleg nem érzékenyek erre a hibára."
Mielőtt elmésznénk az útválasztókról és a beágyazott eszközökről (és a tárgyak internetéről), ne feledje, hogy nem minden rendszer használja a Bash-ot. Az Ubuntu és más Debianból származó rendszerek eltérő parancsértelmezőt használhatnak, Dash néven. A beágyazott eszközök gyakran használják a BusyBox nevű eszközt, amely nem sebezhető, mondta Roel Schouwenberg, a Kaspersky Lab vezető kutatója a Twitteren.
Sebezhető vagy sem?
A következő parancsok futtatásával (a CSA által biztosított kód) ellenőrizheti, hogy sebezhető-e Ön. Nyisson meg egy terminál ablakot, és írja be a következő parancsot a $ parancssorba:
env x = '() {:;}; visszhang érzékeny 'bash -c "visszhang ez egy teszt"
Ha kiszolgáltatott vagy, nyomtat:
sebezhető
ez egy teszt
Ha frissítette a Bash-t, csak a következőket fogja látni:
ez egy teszt
Általában azt mondanám, hogy menjen tovább, és azonnal javítson, de kiderül, hogy a rendelkezésre álló javítások nem teljesek. Red Hat mondta ma reggel, még mindig vannak módok a parancsok injektálására környezeti változók segítségével, még a Bash javítása után is. Ha csak egy maroknyi gépe van, érdemes lehet továbbmennie és alkalmaznia a rendelkezésre álló javításokat, de ha több ezer gépe van javításra, akkor érdemes várni még néhány órát. Az összes upstream Linux disztribúció (és remélhetőleg az Apple!) Jelenleg javításon dolgozik.
"Ne feledje, még ha még soha sem hallottál a Bashról, vagy nem futtatta azt, akkor valószínűleg van egy olyan számítógépe, amely futtatja a Bash-folyamatokat” - mondta Graham Cluley független biztonsági tanácsadó.
