реклама

А сериозен проблем със сигурността с обвивката на Bash - основен компонент на двете най-подобни на UNIX операционни системи - е открито със значително отражение за компютърната сигурност в световен мащаб.

Проблемът присъства във всички версии на скриптовия език Bash до версия 4.3, което оказва влияние върху повечето Linux машини и целия компютър, работещ под OS X. и може да видите нападател, използващ този проблем, за да стартира свой собствен код.

Любопитно как работи и как да се защитиш? Прочетете за повече информация.

Какво е Bash?

Bash (стои за Bourne Again Shell) е интерпретаторът на командния ред по подразбиране, използван в повечето Linux и BSD дистрибуции, в допълнение към OS X. Използва се като метод за стартиране на програми, като се използват системните помощни програми и взаимодействат с основната операционна система чрез стартиране на команди.

Освен това Bash (и повечето Unix черупки) позволяват скриптиране на UNIX функции в малки скриптове. Подобно на повечето езици за програмиране - като Python, JavaScript

instagram viewer
и CoffeeScript CoffeeScript е JavaScript без главоболиеНикога не съм обичал да пиша JavaScript толкова много. От деня, когато написах първия си ред, използвайки го, винаги съм се възмущавал, че каквото и да напиша в него, винаги изглежда като Джексън ... Прочетете още - Bash поддържа функции, общи с повечето езици за програмиране, като функции, променливи и обхват.

Shellshock-Баш

Bash е почти повсеместен, като много хора използват термина „Bash“, за да се отнасят към всички интерфейси на командния ред, независимо дали всъщност използват обвивката на Bash. И ако някога сте инсталирали WordPress или Ghost през командния ред Регистрация за уеб хостинг само за SSH? Не се притеснявайте - лесно инсталирайте всеки уеб софтуерНе знаете първото нещо за работа с Linux чрез мощния му команден ред? Не се притеснявайте повече. Прочетете още , или тунелира вашия уеб трафик чрез SSH Как да тунелирам уеб трафик с SSH Secure Shell Прочетете още , доста вероятно сте използвали Bash.

Навсякъде е Което прави тази уязвимост още по-притеснителна.

Разчленяване на атаката

Уязвимостта - открита от френския изследовател по сигурността Стефан Шазлеас - предизвика голяма паника у потребителите на Linux и Mac по целия свят, както и привлече вниманието в технологичната преса. И с уважителна причина, тъй като Shellshock потенциално би могъл да види нападателите да получат достъп до привилегировани системи и да изпълняват собствения си злонамерен код. Гадно е

Но как работи? На най-ниското възможно ниво, той експлоатира как променливи на средата работа. Те се използват както от UNIX-подобни системи и Windows Какво представляват променливите на околната среда и как мога да ги използвам? [Windows]От време на време ще науча малко съвет, който ме кара да се замисля "добре, ако знаех, че преди година, тогава щеше да ми спести часове време". Живо помня как се научих как да ... Прочетете още да съхранявате стойности, необходими за правилното функциониране на компютъра. Те са достъпни в глобален мащаб в цялата система и могат или да съхраняват една стойност - например местоположението на папка или номер - или функция.

Shellshock-ENV-Vars

Функциите са концепция, която се намира в разработката на софтуер. Но какво правят? Просто казано, те групират набор от инструкции (представени с кодови редове), които по-късно могат да бъдат изпълнени или от друга програма, или от потребител.

Проблемът с интерпретатора Bash се състои в това как той борави със съхранението на функции като променливи на средата. В Bash кодът, който се намира във функциите, се съхранява между двойка къдрави скоби. Ако обаче нападател остави код на Bash извън къдравата скоба, той ще бъде изпълнен от системата. Това оставя системата широко отворена за група от атаки, известни като атаки с инжектиране на код.

Изследователите вече са открили потенциални вектори за атака, използвайки как софтуер като Уеб сървър на Apache Как да настроите Apache уеб сървър в 3 лесни стъпкиКаквато и да е причината, може в един момент да искате да активирате уеб сървър. Независимо дали искате да си осигурите отдалечен достъп до определени страници или услуги, искате да получите общност ... Прочетете още и общи UNIX помощни програми като WGET Овладяване на Wget & Научаване на някои чисти трикове за изтеглянеПонякога просто не е достатъчно да запазите уебсайт локално от браузъра си. Понякога се нуждаете от малко повече енергия. За целта има чист малък инструмент за команден ред, известен като Wget. Wget е ... Прочетете още взаимодействат с обвивката и използват променливи на средата.

Този баш бъг е лош ( https://t.co/60kPlziiVv ) Вземете обратна обвивка на уязвим уебсайт http://t.co/7JDCvZVU3S от @ortegaalfredo

- Крис Уилямс (@diodesign) 24 септември 2014 г.

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Ернан Очоа (@hernano) 24 септември 2014 г.

Как се тествате за това?

Любопитно ли е да видя дали вашата система е уязвима? Намирането е лесно. Просто отворете терминал и въведете:

env x = '() {:;}; ехо уязвим "bash -c" ехо това е тест "

Ако вашата система е уязвима, тя ще изведе:

уязвим това е тест

Докато незасегнатата система ще изведе:

env x = '() {:;}; ехо уязвим 'bash -c' ехо това е тест 'bash: предупреждение: x: игнориране на опит за дефиниране на функция bash: грешка при импортиране на дефиниция на функция за `x' това е тест

Как го поправяте?

Към момента на публикуването, бъгът - който беше открит на 24 септември 2014 г. - трябваше да бъде отстранен и лепен. Просто трябва да актуализирате системата си. Докато вариантите на Ubuntu и Ubuntu използват Dash като основна обвивка, Bash все още се използва за някои функционалности на системата. В резултат на това ще бъдете добре посъветвани да го актуализирате. За да направите това, въведете:

sudo apt-get update. sudo apt-get upgrade

На Fedora и други варианти на Red Hat въведете:

актуализация на судо

Apple тепърва ще пуска поправка за сигурност за това, въпреки че ако го направят, ще го пуснат през магазина за приложения. Уверете се, че редовно проверявате за актуализации на сигурността.

Shellshock обновяване

Chromebook - които използват Linux като своя основа и могат пуснете повечето дистрибуции без много шум Как да инсталирате Linux на ChromebookИмате ли нужда от Skype на вашия Chromebook? Липсва ли ви да нямате достъп до игри чрез Steam? Искате ли да използвате VLC Media Player? След това започнете да използвате Linux на своя Chromebook. Прочетете още - използвайте Bash за определени системни функции и Dash като тяхна основна обвивка. Google трябва да актуализира в срок.

Какво да направите, ако вашият Distro все още не е определил Bash

Ако вашият дистрибутор тепърва ще пуска поправка за Bash, може да искате или да помислите за промяна на дистрибуциите или да инсталирате различна обвивка.

Препоръчвам на начинаещите да проверят Рибена черупка. Това идва с редица функции, които в момента не са налични в Bash и правят още по-приятно да работите с Linux. Те включват автоматични предложения, живи VGA цветове и възможност за конфигурирането му от уеб интерфейс.

Колектив MakeUseOf автор Андрей Болстър също ви препоръчва да проверите zSH, която идва с плътна интеграция със системата за контрол на версиите на Git, както и автоматично довършване.

@matthewhughes zsh, защото по-добра автодовършване и интеграция на git

- Андрю Болстър (@Bolster) 25 септември 2014 г.

Най-страшната уязвимост на Linux все пак?

Shellshock вече е въоръжен. В рамките на един ден на уязвимостта разкрита пред света, тя вече беше използвана в дивата природа за компрометиране на системи. По-притеснително е, че не само домашните потребители и предприятията са уязвими. Експертите по сигурността прогнозират, че бъгът също ще застраши военните и правителствените системи. Той е почти толкова кошмарен, колкото беше и Heartbleed.

Свете краво, има много сайтове .mil и .gov, които ще получат собственост на CVE-2014-6271.

- Кен Уайт (@kennwhite) 24 септември 2014 г.

Така че, моля. Актуализирайте системите си, добре? Кажете ми как се качвате и мислите си за това парче. Полето за коментари е по-долу.

Кредит за снимка:zanaca (IMG_3772.JPG)

Матю Хюз е разработчик на софтуер и писател от Ливърпул, Англия. Рядко се среща без чаша силно черно кафе в ръка и абсолютно обожава своя Macbook Pro и камерата си. Можете да прочетете неговия блог на http://www.matthewhughes.co.uk и го последвайте в Туитър в @matthewhughes.