Реклама
А озбиљно питање безбедности откривена је Басх шкољка - главна компонента оба већина оперативних система сличних УНИКС-у - са значајним последицама на рачунарску безбедност широм света.
Издање је присутно у свим верзијама скрипног језика Басх-а, све до верзије 4.3, које утичу на већину Линук машина и на целокупност рачунара са ОС Кс. и могу видети нападача како користи овај проблем да би покренуо сопствени код.
Занима вас како то функционише и како се заштитити? Прочитајте за више информација.
Шта је Басх?
Басх (стоји за Боурне Агаин Схелл) је подразумевани тумач командне линије који се користи у већини Линук и БСД дистрибуција, поред ОС Кс. Користи се као метода покретања програма, коришћење системских услужних програма и интеракција са основним оперативним системом покретањем наредби.
Поред тога, Басх (и већина Уник шкољки) омогућавају скриптирање УНИКС функција у малим скриптама. Слично као и већина програмских језика - као што су Питхон, ЈаваСцрипт и ЦоффееСцрипт ЦоффееСцрипт је ЈаваСцрипт без главобоља Никада нисам толико волео да пишем ЈаваСцрипт. Од дана када сам написао свој први ред користећи га, одувек ми је замерило да све што напишем у њему увек изгледа као Џексон ... Опширније - Басх подржава функције уобичајене са већином програмских језика, као што су функције, променљиве и опсег.
Басх је готово свеприсутан, јер многи људи користе израз 'Басх' да би се односили на сва интерфејса командне линије, без обзира да ли заправо користе Басх шкољку. А ако да ли сте икада инсталирали ВордПресс или Гхост кроз командну линију Пријављени сте за само ССХ веб хостинг? Не брините - лако инсталирајте било који веб софтверНе знате прву ствар о раду Линука путем његове моћне командне линије? Не брини више. Опширније , или тунелирао је ваш веб саобраћај преко ССХ-а Како подесити Веб саобраћај помоћу ССХ сигурне шкољке Опширније , прилично сте вероватно користили Басх-а.
Свуда је Због чега је та рањивост још више забрињавајућа.
Сецирање напада
Рањивост - открио је француски истраживач безбедности Степхане Цхазлеас - изазвао је велику панику код корисника Линука и Мац широм света, као и привукао пажњу технолошке штампе. И са добрим разлогом, јер је Схеллсхоцк потенцијално могао видети нападаче који приступају привилегованим системима и извршавају сопствени злонамерни код. Гадно је.
Али како то делује? На најнижем могућем нивоу експлоатише како променљиве околине посао. Користе их оба система слична УНИКС-у и Виндовс Шта су променљиве околине и како их могу користити? [Виндовс]С времена на вријеме научит ћу мали савјет због којег ћу размишљати "добро, да сам то знао прије годину дана, то би ми уштедјело сате времена". Живо се сећам како учим како да ... Опширније да сачува вредности које су потребне да рачунар правилно функционише. Оне су доступне широм свијета и могу похранити једну вриједност - као што је локација мапе или броја - или неку функцију.
Функције су концепт који се налази у развоју софтвера. Али шта они раде? Једноставно речено, они спајају низ упутстава (представљених линијама кода) које касније може извршити неки други програм или корисник.
Проблем са Басх интерпретатором лежи у томе како се он обрађује за складиштење функција као променљивих околине. У Басх-у, код који се налази у функцијама је смештен између пара коврчавих заграда. Међутим, ако нападач остави неки Басх код изван коврчаве заграде, систем ће га извршити. То оставља систем широм отворен за породицу напада познатих као напади убризгавања кода.
Истраживачи су већ пронашли потенцијалне векторе нападајући користећи софтвер попут софтвера Апацхе веб сервер Како подесити Апацхе веб сервер у 3 једноставна коракаБез обзира на разлог, можда ћете у неком тренутку пожељети покренути веб сервер. Без обзира да ли желите да себи омогућите удаљени приступ одређеним страницама или услугама, желите да добијете заједницу ... Опширније , и уобичајене УНИКС услужни програми попут ВГЕТ Савладавање вгет-а и учење неких уредних трикова за скидањеПонекад једноставно није довољно да се веб локација сачува локално из вашег прегледача. Понекад вам треба мало више снаге. За то постоји мали апарат за командну линију познат као Вгет. Вгет је ... Опширније комуницирају са љуском и користе променљиве окружења.
Та буба је лоша ( https://t.co/60kPlziiVv ) Набавите обрнуту шкољку на рањивој веб локацији http://t.co/7JDCvZVU3S од стране @ортегаалфредо
- Цхрис Виллиамс (@диодесигн) 24. септембра 2014
ЦВЕ-2014-6271: вгет -У "() {тест;}; / уср / бин / тоуцх / тмп / РУЛНЕРАБЛЕ" мисервер / цги-бин / тест
- Хернан Оцхоа (@хернано) 24. септембра 2014
Како га тестирате?
Радознали сте да ли је ваш систем рањив? Проналажење је лако. Само отворите терминал и откуцајте:
енв к = '() {:;}; ецхо рањив 'басх -ц' ехо ово је тест '
Ако је ваш систем рањив, он ће произвести:
рањива је ово тест
Док ће нетакнути систем произвести:
енв к = '() {:;}; ецхо рањив 'басх -ц' ехо ово је тест 'басх: упозорење: к: игнорисање покушаја дефиниције функције басх: грешка увоза дефиниције функције за `к' ово је тест
Како то поправити?
До тренутка објаве, грешка - која је откривена 24. септембра 2014. - требало је да се поправи и закрпи. Једноставно је потребно да ажурирате свој систем. Иако верзије Убунту и Убунту користе Дасх као своју главну љуску, Басх се и даље користи за неке системске функционалности. Као резултат тога, добро би било саветовати да га ажурирате. Да бисте то учинили, откуцајте:
судо апт-гет упдате. судо апт-гет надоградњу
На Федори и другим Ред Хат варијантама откуцајте:
судо иум упдате
Аппле тек треба да објави сигурносни исправку за то, мада ће, ако то ураде, објавити преко продавнице апликација. Обавезно проверите да ли редовно проверавају безбедносне исправке.
Цхромебоок-ови - који користе Линук као основ и могу покрените већину дистростаса без пуно буке Како инсталирати Линук на ЦхромебоокДа ли вам треба Скипе на Цхромебоок-у? Да ли вам недостаје што немате приступ играма путем Стеам-а? Да ли желите да користите ВЛЦ Медиа Плаиер? Затим почните да користите Линук на Цхромебоок-у. Опширније - користите Басх за одређене системске функције и Дасх као своју главну љуску. Гоогле би требало да се ажурира у догледно време.
Шта да радите ако ваш дистрокт још није фиксирао контру
Ако ваш дистрокт тек треба да објави исправку за Басх, можда бисте желели да размислите о промени дистрибуције или инсталирању друге љуске.
Препоручујем почетницима одлазак Фисх Схелл. Ово долази са бројним функцијама које тренутно нису доступне у Басх-у и чине их још пријатнијим за рад са Линуком. Они укључују ауто-приједлоге, живе ВГА боје и могућност конфигурирања истог с веб сучеља.
Сурадник МакеУсеОф аутора Андрев Болстер такође препоручује да се одјавите зСХ, која долази уз уску интеграцију са Гит системом контроле верзија, као и аутоматско довршавање.
@маттхевхугхес зсх, јер је боља аутокомплетна и гит интеграција
- Андрев Болстер (@Болстер) 25. септембра 2014
Најстрашнија рањивост Линука ипак?
Схеллсхоцк је већ наоружан. У склопу један дан рањивости објављена свету, већ је у дивљини коришћена за компромитовање система. Забрињавајуће је да нису само кућни корисници и предузећа рањива. Стручњаци за безбедност предвиђају да ће буга такође угрозити војне и владине системе. То је скоро једнако кошмар као што је било и Хеартблеед.
Света краво, постоји много .мил и .гов локација које ће бити у власништву ЦВЕ-2014-6271.
- Кенн Вхите (@кеннвхите) 24. септембра 2014
Па вас молим. Ажурирајте своје системе, ок? Јавите ми како се даље крећете и како размишљате о овом делу. Поље за коментаре је испод.
Фото кредит:занаца (ИМГ_3772.ЈПГ)
Маттхев Хугхес је програмер и писац софтвера из Ливерпула, Енглеска. Ретко се нађе без шољице јаке црне кафе у руци и апсолутно обожава свој Мацбоок Про и свој фотоапарат. Његов блог можете прочитати на http://www.matthewhughes.co.uk и пратите га на твиттеру на @маттхевхугхес.