Хуже, чем сердцебиение? Встречайте ShellShock: новая угроза безопасности для OS X и Linux

Реклама

серьезная проблема безопасности с оболочкой Bash - основным компонентом обеих большинства UNIX-подобных операционных систем - была обнаружена, что имеет значительные последствия для компьютерной безопасности во всем мире.

Эта проблема присутствует во всех версиях языка сценариев Bash вплоть до версии 4.3, которая затрагивает большинство компьютеров с Linux и все компьютеры под управлением OS X. и может видеть, что злоумышленник использует эту проблему для запуска собственного кода.

Любопытно, как это работает и как защитить себя? Читайте дальше для получения дополнительной информации.

Что такое Баш?

Bash (расшифровывается как Bourne Again Shell) - интерпретатор командной строки по умолчанию, используемый в большинстве дистрибутивов Linux и BSD, в дополнение к OS X. Он используется как метод запуска программ, использования системных утилит и взаимодействия с базовой операционной системой посредством запуска команд.

Кроме того, Bash (и большинство оболочек Unix) позволяют создавать сценарии функций UNIX в небольших сценариях. Подобно большинству языков программирования - таким как Python, JavaScript

и CoffeeScript CoffeeScript - это JavaScript без головной болиМне никогда не нравилось так много писать JavaScript. Со дня, когда я написал свою первую строку, используя ее, я всегда обижался, что все, что я пишу в ней, всегда будет выглядеть как Джексон ... Читать далее - Bash поддерживает функции, общие для большинства языков программирования, такие как функции, переменные и область видимости.

Bash почти повсеместно распространен: многие люди используют термин «Bash» для обозначения всех интерфейсов командной строки, независимо от того, используют ли они на самом деле оболочку Bash. И если вы когда-либо устанавливали WordPress или Ghost через командную строку Зарегистрироваться на SSH-только веб-хостинг? Не беспокойтесь - легко установите любое веб-программное обеспечениеНе знаете в первую очередь об использовании Linux через его мощную командную строку? Не беспокойся больше. Читать далее , или туннелировал ваш веб-трафик через SSH Как туннелировать веб-трафик с помощью SSH Secure Shell Читать далее Вы, вероятно, использовали Bash.

Это везде. Что делает эту уязвимость еще более тревожной.

Рассекая атаку

Уязвимость - обнаружена французским исследователем безопасности Стефан Шазлеас - вызвало большую панику у пользователей Linux и Mac по всему миру, а также привлекло внимание технологической прессы. И на то есть веская причина, поскольку Shellshock потенциально может увидеть, как злоумышленники получают доступ к привилегированным системам и выполняют свой собственный вредоносный код. Это противно.

Но как это работает? На самом низком уровне, он использует как переменные среды Работа. Они используются как UNIX-подобными системами и винда Что такое переменные среды и как я могу их использовать? [Windows]Время от времени я получаю небольшой совет, который заставляет меня думать: «Ну, если бы я знал, что год назад, то это сэкономило бы мне часы времени». Я хорошо помню, как учился ... Читать далее хранить значения, необходимые для правильной работы компьютера. Они доступны по всей системе и могут хранить одно значение - например, местоположение папки или числа - или функцию.

Функции - это понятие, которое можно найти в разработке программного обеспечения. Но что они делают? Проще говоря, они связывают набор инструкций (представленных строками кода), которые впоследствии могут быть выполнены другой программой или пользователем.

Проблема с интерпретатором Bash заключается в том, как он обрабатывает хранение функций в качестве переменных среды. В Bash код, найденный в функциях, хранится между парой фигурных скобок. Однако если злоумышленник оставит некоторый код Bash за пределами фигурной скобки, он будет выполнен системой. Это оставляет систему широко открытой для семейства атак, известных как атаки с использованием кода.

Исследователи уже нашли потенциальные векторы атак, используя как программное обеспечение, такое как Веб-сервер Apache Как настроить веб-сервер Apache за 3 простых шагаКакова бы ни была причина, вы можете в какой-то момент запустить веб-сервер. Хотите ли вы дать себе удаленный доступ к определенным страницам или службам, вы хотите получить сообщество ... Читать далее и общий UNIX-утилиты, такие как WGET Освоение Wget и изучение некоторых хитрых хитростей загрузкиИногда недостаточно просто сохранить сайт локально из вашего браузера. Иногда вам нужно немного больше энергии. Для этого есть небольшой инструмент командной строки, известный как Wget. Wget это ... Читать далее взаимодействовать с оболочкой и использовать переменные окружения.

Это ошибка Bash плохо ( https://t.co/60kPlziiVv ) Получить обратную оболочку на уязвимом сайте http://t.co/7JDCvZVU3S по @ortegaalfredo

- Крис Уильямс (@diodesign) 24 сентября 2014 г.

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Эрнан Очоа (@hernano) 24 сентября 2014 г.

Как вы проверяете это?

Хотите узнать, уязвима ли ваша система? Выяснить это легко. Просто откройте терминал и введите:

env x = '() {:;}; эхо уязвимо 'bash -c "эхо это тест»

Если ваша система уязвима, она выдаст:

уязвим это испытание

Пока незатронутая система выдаст:

env x = '() {:;}; эхо уязвимо 'bash -c "эхо это тест" bash: предупреждение: x: игнорирование попытки определения функции bash: ошибка импорта определения функции для `x' это тест

Как вы это исправите?

К моменту публикации ошибка, обнаруженная 24 сентября 2014 года, должна была быть исправлена ​​и исправлена. Вам просто нужно обновить вашу систему. В то время как варианты Ubuntu и Ubuntu используют Dash в качестве основной оболочки, Bash все еще используется для некоторых системных функций. В результате вам будет рекомендовано обновить его. Для этого введите:

sudo apt-get update. sudo apt-get upgrade

В Fedora и других вариантах Red Hat введите:

обновление sudo yum

Apple еще не выпустила исправление безопасности для этого, хотя, если они это сделают, они выпустят его через магазин приложений. Убедитесь, что вы регулярно проверяете наличие обновлений безопасности.

Chromebook - которые используют Linux в качестве основы и могут запустить большинство дистрибутивов без особой суеты Как установить Linux на ChromebookВам нужен Skype на вашем Chromebook? Вы скучаете по отсутствию доступа к играм через Steam? Вы хотите использовать VLC Media Player? Тогда начните использовать Linux на Chromebook. Читать далее - использовать Bash для определенных системных функций и Dash в качестве основной оболочки. Google должен обновить в свое время.

Что делать, если ваш дистрибутив еще не исправил Bash

Если ваш дистрибутив еще не выпустил исправление для Bash, вы можете рассмотреть возможность изменения дистрибутивов или установки другой оболочки.

Я рекомендую начинающим проверить Рыбная раковина. Это включает в себя ряд функций, которые в настоящее время недоступны в Bash, и делает работу с Linux еще более приятной. К ним относятся автопредставления, яркие цвета VGA и возможность настройки из веб-интерфейса.

Товарищ MakeUseOf автора Эндрю Болстер также рекомендует проверить ЗШ, который поставляется с тесной интеграцией с системой контроля версий Git, а также с автозаполнением.

@matthewhughes зш, потому что лучше автозаполнение и интеграция с git

- Эндрю Болстер (@Bolster) 25 сентября 2014 г.

Самая страшная уязвимость Linux?

Снаряды уже были вооружены. В пределах один день уязвимости будучи раскрытым миру, он уже использовался в природе для компрометации систем. Более того, уязвимы не только домашние пользователи и предприятия. Эксперты по безопасности прогнозируют, что ошибка также подвергнет риску военные и правительственные системы. Это почти так же кошмарно, как и Heartbleed.

Святая корова, есть много сайтов .mil и .gov, которые будут принадлежать CVE-2014-6271.

- Кенн Уайт (@kennwhite) 24 сентября 2014 г.

Так пожалуйста. Обновите свои системы, хорошо? Дайте мне знать, как вы поживаете, и ваши мысли об этой части. Поле для комментариев ниже.

Кредит Фотографии:Занака (IMG_3772.JPG)