Hirdetés

A komoly biztonsági kérdés A Bash-héjjal - amely a legtöbb UNIX-szerű operációs rendszer egyik legfontosabb alkotóeleme - felfedezték, amely jelentős következményekkel jár a számítógépes biztonság számára világszerte.

A probléma a Bash szkriptnyelv minden verziójában, a 4.3-as verzióig érvényes, amely a Linux gépek többségét érinti, és az OS X-et futtató számítógépek egészében. és láthatja, hogy egy támadó ezt a problémát használja ki saját kódjának elindításához.

Kíváncsi hogy működik és hogyan lehet megvédeni magát? Olvassa tovább a további információkat.

Mi az a Bash?

A Bash (a Bourne Again Shell név alatt) az alapértelmezett parancssori tolmács, amelyet a legtöbb Linux és BSD disztribúcióban használnak, az OS X mellett. Ez a módszer a programok elindításához, a rendszer segédprogramjainak használatához és a mögöttes operációs rendszerrel való interakcióhoz parancsok indításával történik.

Ezenkívül a Bash (és a legtöbb Unix héj) lehetővé teszi a UNIX funkciók szkriptét kis szkriptekben. A legtöbb programozási nyelvhez hasonlóan - például a Python, a JavaScript

instagram viewer
és a CoffeeScript A CoffeeScript fejfájás nélkül JavaScriptSoha nem nagyon szeretem a JavaScript írását annyira. Attól a naptól kezdve, amikor felhasználtam az első soromat, mindig is megbántam, hogy bármi, amit beírok, mindig Jacksonnak tűnik ... Olvass tovább - A Bash támogatja a legtöbb programozási nyelv közös jellemzőit, például a funkciókat, a változókat és a hatókört.

Shellshock-bash

Bash közel mindenütt jelen van, sokan a „Bash” kifejezést használják, hogy az összes parancssori felületre utaljanak, függetlenül attól, hogy valóban a Bash héjat használják. És ha valaha telepítette a WordPress-t vagy a Ghost-ot a parancssoron keresztül Feliratkozott csak SSH-alapú webtárhelyre? Ne aggódjon - könnyedén telepíthet bármilyen webes szoftvertNem tudod az első dolgot arról, hogy a Linux a nagy teljesítményű parancssoron keresztül működik? Ne aggódj többé. Olvass tovább vagy az SSH-n keresztül átjárta a webes forgalmat Hogyan lehet alagútolni a webes forgalmat az SSH Secure Shell segítségével Olvass tovább , valószínűleg használta a Bash-ot.

Mindenhol ott van. Ez a biztonsági rést még aggasztóbbá teszi.

A támadás boncolása

A sebezhetőség - a francia biztonsági kutató fedezte fel Stéphane Chazleas - világszerte sok pánikot váltott ki a Linux és a Mac felhasználókban, és felhívta a figyelmet a technológiai sajtóban. És jó okból is, mivel a Shellshock potenciálisan láthatja, hogy a támadók hozzáférnek privilegizált rendszerekhez és végrehajtják saját rosszindulatú kódjukat. Ez csúnya.

De hogyan működik? A lehető legalacsonyabb szinten kihasználja, hogyan Környezeti változók munka. Ezeket mind a UNIX-szerű rendszerek használják és a Windows Mik a környezeti változók és hogyan használhatom őket? [Ablakok]Időnként megtanulok egy kis tippet, amely arra készteti a gondolatát, hogy "nos, ha tudtam, hogy egy évvel ezelőtt ez órákat takarított meg nekem". Nagyon emlékszem, hogy megtanultam, hogyan kell ... Olvass tovább a számítógép megfelelő működéséhez szükséges értékek tárolására. Ezek globálisan a rendszer egészében elérhetők, és akár egyetlen értéket - például egy mappa vagy egy szám helyét - vagy egy funkciót tárolhatják.

ShellShock-env-vars

A funkciók olyan fogalom, amelyet a szoftverfejlesztésben találnak. De mit csinálnak? Egyszerűen fogalmazva kötegelt egy utasításkészletet (kódsorokkal ábrázolva), amelyeket később egy másik program vagy egy felhasználó végrehajthat.

A Bash-tolmács kérdése abban rejlik, hogy hogyan kezeli a függvényeket környezeti változókként. Bash-ban a függvényekben található kódot egy pár göndör tartó között tárolja. Ha azonban a támadó valamilyen Bash-kódot hagy a göndör tartón kívül, akkor a rendszer végrehajtja azt. Ez nyitva hagyja a rendszert a kódinjekciós támadásoknak nevezett támadások családja számára.

A kutatók már megtaláltak potenciális támadási vektorokat azáltal, hogy kihasználják a szoftverek, például a Apache webszerver Apache webszerver beállítása 3 egyszerű lépésbenBármi is legyen az oka, előfordulhat, hogy egy időben el akarja indítani egy webszervert. Függetlenül attól, hogy távoli hozzáférést kíván biztosítani bizonyos oldalakhoz vagy szolgáltatásokhoz, közösséget szeretne létrehozni ... Olvass tovább , és általános UNIX segédprogramok, például a WGET Wget elsajátítása és néhány trükkös letöltésIdőnként egyszerűen nem elég egy webhelyet helyben menteni a böngészőből. Néha egy kicsit több energiára van szüksége. Ehhez van egy ügyes kis parancssori eszköz, a Wget néven. A ... Olvass tovább kölcsönhatásba léphet a héjjal, és környezeti változókat használhat.

Ez a bash hiba rossz ( https://t.co/60kPlziiVv ) Kap egy fordított héjat egy sebezhető webhelyen http://t.co/7JDCvZVU3S által @ortegaalfredo

- Chris Williams (@diodesign) 2014. szeptember 24

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 2014. szeptember 24

Hogyan tesztelheti?

Kíváncsi, hogy a rendszer sebezhető-e? Könnyen megtudhatja. Csak nyisson meg egy terminált, és írja be:

env x = '() {:;}; visszhang érzékeny 'bash -c "visszhang ez egy teszt"

Ha a rendszer sebezhető, akkor a következőt adja ki:

sebezhető ez egy teszt

Míg egy érintetlen rendszer kiadja:

env x = '() {:;}; visszhang érzékeny "bash -c" visszhang ez egy teszt "bash: figyelmeztetés: x: figyelmen kívül hagyja a funkció meghatározásának kísérletét bash: hiba a funkció meghatározásának importálásakor az" x "számára ez egy teszt

Hogyan javítható?

A közzététel időpontjáig a hibát - amelyet 2014. szeptember 24-én fedeztek fel - javítani és javítani kellett. Csak frissítenie kell a rendszert. Míg az Ubuntu és az Ubuntu variánsok Dash-t használnak fő héjként, a Bash-ot továbbra is használják bizonyos rendszerfunkciókhoz. Ennek eredményeként javasoljuk, hogy frissítse. Ehhez írja be:

sudo apt-get frissítés. sudo apt-get upgrade

A Fedora és más Red Hat változatok esetén írja be:

sudo yum frissítés

Az Apple még nem kiad egy biztonsági javítást ehhez, bár ha ezt megteszik, akkor azt az App Store-on keresztül kiadják. Győződjön meg arról, hogy rendszeresen ellenőrzi a biztonsági frissítéseket.

Shellshock-frissítés

Chromebookok - amelyek alapját a Linux használja, és képesek futtassa a legtöbb disztrot, nagy felhajtás nélkül A Linux telepítése egy ChromebookraSzüksége van Skype-re a Chromebookján? Hiányzik, hogy nem fér hozzá játékokhoz a Steam szolgáltatáson keresztül? Szeretne használni a VLC Media Player alkalmazást? Ezután kezdje el használni a Linuxot a Chromebookján. Olvass tovább - Használja a Bash-t bizonyos rendszerfunkciókhoz, és a Dash-t a fő héjhoz. A Google-nak frissítenie kell a megfelelő szezonban.

Mi a teendő, ha a Distro még nem javította meg a bash-t?

Ha a disztribúciónak még nem sikerült kiadnia a Bash javítását, akkor érdemes megfontolnia a disztribúciók megváltoztatását vagy egy másik héj telepítését.

Ajánlom a kezdőknek, hogy nézzenek meg Halhéj. Ez számos olyan funkcióval érkezik, amelyek jelenleg nem érhetők el Bashban, és még kellemesebbé teszi a Linux használatát. Ide tartoznak az automatikus javaslatok, az élénk VGA színek és a webes felületen történő konfigurálás lehetősége.

Szerző MakeUseOf Andrew Bolster azt is javasolja, hogy nézd meg zsh, amely szorosan integrálódik a Git verzióvezérlő rendszerbe, valamint az automatikus kiegészítés.

@matthewhughes zsh, mert jobb az automatikus kiegészítés és a git-integráció

- Andrew Bolster (@Bolster) 2014. szeptember 25

Mégis a legfélelmetesebb Linux biztonsági rés?

A kagyló sokk már fegyverzetbe került. Belül egy nap a sebezhetőség A világnak való nyilvánosságra hozatalakor azt már a természetben is felhasználták a rendszerek kompromittálására. Aggasztóbb, hogy a kiszolgáltatott helyzet nem csak a háztartási felhasználók és a vállalkozások. A biztonsági szakértők azt jósolják, hogy a hiba a katonai és kormányzati rendszereket is veszélybe sodorja. Ez majdnem olyan rémálom, mint a szívverés.

Szent tehén nagyon sok .mil és .gov webhely található, amelyek a CVE-2014-6271 tulajdonába kerülnek.

- Kenn White (@kennwhite) 2014. szeptember 24

Szóval kérlek. Frissítse rendszereit, oké? Hadd tudassa velem, hogy állsz hozzá, és gondolatait erről a darabról. A Megjegyzés mező az alábbiakban található.

Fotó jóváírás:zanaca (IMG_3772.JPG)

Matthew Hughes szoftverfejlesztő és író, az angliai Liverpoolból. Ritkán talál egy csésze erős fekete kávé nélkül a kezében, és teljesen imádja a MacBook Pro-t és a kameráját. A blogját a következő címen olvashatja el: http://www.matthewhughes.co.uk és kövesse őt a Twitteren a @matthewhughes oldalán.