Oglas

A resno varnostno vprašanje Odkrita je bila lupina Bash, ki je pomemben sestavni del obeh najbolj podobnih UNIX operacijskih sistemov, kar ima pomembne posledice za računalniško varnost po vsem svetu.

Izdaja je prisotna v vseh različicah skriptnega jezika Bash do različice 4.3, ki učinkuje na večino naprav Linux in na celotnem računalniku z operacijskim sistemom OS X. in lahko vidite napadalca, ki izkorišča to težavo, da sproži svojo kodo.

Želite vedeti, kako deluje in kako se zaščititi? Preberite za več informacij.

Kaj je Bash?

Bash (pomeni Bourne Again Shell) je privzeti tolmač ukazne vrstice, ki se uporablja za večino distribucij Linux in BSD, poleg OS X. Uporablja se kot metoda za zagon programov, uporaba sistemskih pripomočkov in interakcija z osnovnim operacijskim sistemom z zagonom ukazov.

Poleg tega Bash (in večina Unixovih lupin) omogočajo zapis UNIX funkcij v majhnih skriptah. Podobno kot večina programskih jezikov - na primer Python, JavaScript in CoffeeScript CoffeeScript je JavaScript Brez glavobolov

Nikoli mi ni bilo tako zelo všeč pisati JavaScript. Od dneva, ko sem napisal svojo prvo vrstico z njo, sem se vedno zameril, da karkoli napišem, vedno izgleda kot Jackson ... Preberi več - Bash podpira funkcije, ki so skupne večini programskih jezikov, kot so funkcije, spremenljivke in področje uporabe.

školjka

Bash je skoraj vseprisoten, saj veliko ljudi uporablja izraz "Bash" za sklicevanje na vse vmesnike ukazne vrstice, ne glede na to, ali dejansko uporabljajo lupino Bash. In če ste že kdaj namestili WordPress ali Ghost skozi ukazno vrstico Ste prijavljeni za spletno gostovanje samo za SSH? Ne skrbite - enostavno namestite katero koli spletno programsko opremoNe veste, kaj je pri delovanju Linuxa prek njegove zmogljive ukazne vrstice? Ne skrbi več. Preberi več ali tunel svoj spletni promet prek SSH Kako uglasiti spletni promet s SSH Secure Shell Preberi več , zelo verjetno ste uporabili Bash.

Vsepovsod je Zaradi česar je ta ranljivost še toliko bolj zaskrbljujoča.

Seciranje napada

Ranljivost - odkril je francoski varnostni raziskovalec Stéphane Chazleas - je povzročil veliko panike pri uporabnikih Linux in Mac po vsem svetu, pa tudi pritegnil pozornost v tehnološkem tisku. In tudi z dobrim razlogom, saj je Shellshock lahko napadalce dobil do privilegiranih sistemov in izvedel lastno zlonamerno kodo. Grdo je

Toda kako deluje? Na najnižji možni ravni izkorišča kako spremenljivke okolja delati. Uporabljajo jih sistemi, ki so podobni UNIX-u in Windows Kaj so okoljske spremenljivke in kako jih lahko uporabljam? [Windows]Vsake toliko časa se bom naučil majhen nasvet, zaradi katerega bom pomislil, "če bi to vedel že pred enim letom, bi mi prihranil ure časa". Živo se spominjam, kako sem se naučil ... Preberi več shranjevanje vrednosti, ki so potrebne za pravilno delovanje računalnika. Te so na voljo po vsem svetu in lahko shranijo eno samo vrednost, na primer lokacijo mape ali številke, ali funkcijo.

shellshock-env-vars

Funkcije so koncept, ki ga najdemo v razvoju programske opreme. Toda kaj počnejo? Preprosto povedano, povežejo niz navodil (predstavljenih s kodnimi vrsticami), ki jih lahko pozneje izvrši bodisi drug program bodisi uporabnik.

Težava Bashovega tolmača je v tem, kako ravna s shranjevanjem funkcij kot spremenljivk okolja. V Bashu se koda, ki jo najdemo v funkcijah, shrani med par kodrastih naramnic. Če pa napadalec pusti nekaj Bashove kode zunaj kodraste naramnice, ga sistem nato izvrši. To pušča sistem široko odprt za družino napadov, znanih kot napadi vbrizgavanja kode.

Raziskovalci so že našli potencialne prenašalce napadov, saj so izkoristili programsko opremo, kot je Spletni strežnik Apache Kako v 3 preprostih korakih nastaviti spletni strežnik ApacheNe glede na razlog, boste morda v nekem trenutku želeli sprožiti spletni strežnik. Ne glede na to, ali si želite oddaljiti dostop do določenih strani ali storitev, želite pridobiti skupnost ... Preberi več in pogoste UNIX pripomočki, kot je WGET Obvladovanje wget-a in učenje nekaterih čednih trikov za prenosVčasih preprosto ni dovolj, da spletno mesto shranite lokalno iz svojega brskalnika. Včasih potrebuješ malo več moči. Za to obstaja lepo majhno orodje ukazne vrstice, imenovano Wget. Wget je ... Preberi več vplivajo na lupino in uporabljajo spremenljivke okolja.

Ta hroščec je hud ( https://t.co/60kPlziiVv ) Na ranljivem spletnem mestu dobite povratno lupino http://t.co/7JDCvZVU3S z @ortegaalfredo

- Chris Williams (@diodesign) 24. septembra 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VUNNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24. septembra 2014

Kako ga preizkušate?

Želite vedeti, ali je vaš sistem ranljiv? Ugotoviti je enostavno. Samo odprite terminal in vnesite:

env x = '() {:;}; echo ranljiv 'bash -c' echo to je test '

Če je vaš sistem ranljiv, potem odda:

ranljiv je to test

Medtem ko sistem brez vpliva vpliva:

env x = '() {:;}; echo ranljiv 'bash -c' echo to je test 'bash: opozorilo: x: ignoriranje poskusa definicije funkcije bash: napaka uvaža definicijo funkcije za `x' to je test

Kako to popravite?

Do objave bi morali hrošča, ki so ga odkrili 24. septembra 2014, odpraviti in popraviti. Preprosto morate posodobiti sistem. Medtem ko različice Ubuntu in Ubuntu uporabljajo Dash kot glavno lupino, se Bash še vedno uporablja za nekatere sistemske funkcionalnosti. Kot rezultat, vam priporočamo, da ga posodobite. Če želite to narediti, vnesite:

sudo apt-get update. nadgraditi sudo apt-get

V Fedora in druge različice Red Hat vnesite:

posodobitev sudo yum

Apple mora še izdati varnostni popravek za to, čeprav ga bodo, če ga bodo, izdali prek trgovine z aplikacijami. Zagotovite, da redno preverjate, ali obstajajo varnostne posodobitve.

školjka-posodobitev

Chromebooki - ki kot temelj uporabljajo Linux in zmorejo zaženite večino distrosov brez večjega hrupa Kako namestiti Linux na ChromebookAli potrebujete Skype v Chromebooku? Ali ne pogrešate dostopa do iger prek Steam-a? Želite uporabljati VLC Media Player? Nato na Chromebooku začnite uporabljati Linux. Preberi več - uporabite Bash za določene sistemske funkcije in Dash kot glavno lupino. Google bi moral posodobiti pravočasno.

Kaj storiti, če vaš Distro še ni določil basa

Če vaš distro še ni izdal popravka za Bash, boste morda želeli razmisliti o spremembi distribucije ali namestiti drugo lupino.

Priporočam, da se začetniki odjavite Ribja lupina. Na voljo so številne funkcije, ki trenutno niso na voljo v Bashu, zato je delo z Linuxom še bolj prijetno. Sem spadajo samodejni predlogi, živahne barve VGA in možnost nastavitve iz spletnega vmesnika.

Sodelavec MakeUseOf avtor Andrew Bolster tudi priporoča, da se odjavite zSH, ki je tesno vključena v nadzorni sistem različic Git, pa tudi samodejno dokončanje.

@matthewhughes zsh, ker boljša samodejna dopolnitev in integracija git

- Andrew Bolster (@Bolster) 25. septembra 2014

Še najbolj strašna ranljivost Linuxa?

Shellshock je že oborožen. Znotraj en dan ranljivosti Ker je bila razkrita svetu, je bila v naravi že uporabljena za ogrožanje sistemov. Bolj zaskrbljujoče niso samo domači uporabniki in podjetja, ki so ranljiva. Varnostni strokovnjaki napovedujejo, da bo hrup ogrožal tudi vojaške in vladne sisteme. Je skoraj tako nočna, kot je bila Heartbleed.

Sveta krava, obstaja veliko mest .mil in .gov, ki bodo v lasti CVE-2014-6271.

- Kenn White (@kennwhite) 24. septembra 2014

Torej prosim. Posodobite svoje sisteme, prav? Sporočite mi, kako se nadaljujete, in vaše misli o tem delu. Spodnje polje za komentarje.

Fotograf:zanaca (IMG_3772.JPG)

Matthew Hughes je razvijalec programske opreme in pisatelj iz Liverpoola v Angliji. Redko ga najdemo brez skodelice močne črne kave v roki in absolutno obožuje svoj Macbook Pro in svoj fotoaparat. Njegov blog lahko preberete na http://www.matthewhughes.co.uk in mu sledite na twitterju na @matthewhughes.