Διαφήμιση

ΕΝΑ σοβαρό ζήτημα ασφάλειας με το κέλυφος Bash - ένα σημαντικό συστατικό και των δύο λειτουργικών συστημάτων τύπου UNIX - έχει ανακαλυφθεί, με σημαντικές επιπτώσεις στην ασφάλεια των υπολογιστών παγκοσμίως.

Το ζήτημα υπάρχει σε όλες τις εκδόσεις της γλώσσας σεναρίου Bash έως την έκδοση 4.3, η οποία επηρεάζει την πλειονότητα των υπολογιστών Linux και το σύνολο των υπολογιστών που εκτελούν OS X. και μπορεί να δει έναν εισβολέα να εκμεταλλεύεται αυτό το ζήτημα για να ξεκινήσει τον δικό του κώδικα.

Είστε περίεργοι για το πώς λειτουργεί και πώς να προστατευτείτε; Διαβάστε παρακάτω για περισσότερες πληροφορίες.

Τι είναι το Bash;

Το Bash (σημαίνει Bourne Again Shell) είναι ο προεπιλεγμένος διερμηνέας γραμμής εντολών που χρησιμοποιείται στις περισσότερες διανομές Linux και BSD, εκτός από το OS X. Χρησιμοποιείται ως μέθοδος εκκίνησης προγραμμάτων, χρησιμοποιώντας βοηθητικά προγράμματα συστήματος και αλληλεπιδρώντας με το υποκείμενο λειτουργικό σύστημα εκκινώντας εντολές.

Επιπλέον, το Bash (και τα περισσότερα κελύφη Unix) επιτρέπουν τη δέσμευση ενεργειών UNIX σε μικρά σενάρια. Ομοίως με τις περισσότερες γλώσσες προγραμματισμού - όπως Python, JavaScript

instagram viewer
και CoffeeScript Το CoffeeScript είναι JavaScript χωρίς τους πονοκεφάλουςΠοτέ δεν μου άρεσε πολύ να γράφω JavaScript. Από την ημέρα που έγραψα την πρώτη μου γραμμή χρησιμοποιώντας το, πάντα μου άρεσε ότι ό, τι γράφω σε αυτό καταλήγει πάντα να μοιάζει με Τζάκσον ... Διαβάστε περισσότερα - Το Bash υποστηρίζει κοινές λειτουργίες στις περισσότερες γλώσσες προγραμματισμού, όπως συναρτήσεις, μεταβλητές και εύρος.

κελύφη

Το Bash είναι σχεδόν πανταχού παρόν, με πολλά άτομα να χρησιμοποιούν τον όρο «Bash» για να αναφέρονται σε όλες τις διεπαφές της γραμμής εντολών, ανεξάρτητα από το αν χρησιμοποιούν πραγματικά το κέλυφος Bash. Κι αν έχετε εγκαταστήσει ποτέ WordPress ή Ghost μέσω της γραμμής εντολών Έχετε εγγραφεί για Φιλοξενία Ιστού μόνο για SSH; Μην ανησυχείτε - Εγκαταστήστε εύκολα οποιοδήποτε λογισμικό WebΔεν ξέρετε το πρώτο πράγμα για τη λειτουργία του Linux μέσω της ισχυρής γραμμής εντολών του; Μην ανησυχείτε πια. Διαβάστε περισσότερα , ή συντονίστηκε η κυκλοφορία ιστού μέσω SSH Πώς να διοχετεύσετε την κυκλοφορία Ιστού με SSH Secure Shell Διαβάστε περισσότερα , έχετε πιθανώς χρησιμοποιήσει το Bash.

Είναι παντού. Αυτό καθιστά αυτήν την ευπάθεια ακόμη πιο ανησυχητική.

Διάσπαση της επίθεσης

Η ευπάθεια - που ανακαλύφθηκε από τον Γάλλο ερευνητή ασφαλείας Stéphane Chazleas - προκάλεσε μεγάλο πανικό σε χρήστες Linux και Mac παγκοσμίως, καθώς και τράβηξε την προσοχή στον τεχνολογικό τύπο. Και για καλό λόγο, καθώς η Shellshock θα μπορούσε δυνητικά να δει τους εισβολείς να αποκτούν πρόσβαση σε προνομιακά συστήματα και να εκτελούν τον δικό τους κακόβουλο κώδικα. Είναι άσχημο.

Αλλά πώς λειτουργεί; Στο χαμηλότερο δυνατό επίπεδο, εκμεταλλεύεται τον τρόπο μεταβλητές περιβάλλοντος δουλειά. Αυτά χρησιμοποιούνται τόσο από συστήματα τύπου UNIX και Windows Τι είναι οι μεταβλητές περιβάλλοντος και πώς μπορώ να τις χρησιμοποιήσω; [Windows]Κάθε τόσο θα μαθαίνω μια μικρή συμβουλή που με κάνει να σκέφτομαι "καλά, αν το ήξερα πριν από ένα χρόνο τότε θα με είχε σώσει ώρες χρόνου". Θυμάμαι έντονα να μαθαίνω πώς να ... Διαβάστε περισσότερα για να αποθηκεύσετε τιμές που απαιτούνται για τη σωστή λειτουργία του υπολογιστή. Αυτά είναι διαθέσιμα παγκοσμίως σε όλο το σύστημα και μπορούν είτε να αποθηκεύσουν μία μόνο τιμή - όπως η θέση ενός φακέλου ή ενός αριθμού - είτε μια συνάρτηση.

κελύφη-env-vars

Οι λειτουργίες είναι μια έννοια που βρίσκεται στην ανάπτυξη λογισμικού. Αλλά τι κάνουν; Με απλά λόγια, ομαδοποιούν ένα σύνολο οδηγιών (που αντιπροσωπεύονται από γραμμές κώδικα), οι οποίες μπορούν αργότερα να εκτελεστούν είτε από άλλο πρόγραμμα είτε από έναν χρήστη.

Το πρόβλημα με τον διερμηνέα Bash έγκειται στο πώς χειρίζεται τις λειτουργίες αποθήκευσης ως μεταβλητές περιβάλλοντος. Στο Bash, ο κωδικός που βρίσκεται στις συναρτήσεις αποθηκεύεται μεταξύ ενός ζεύγους σγουρών τιράντες. Ωστόσο, εάν ένας εισβολέας αφήσει κάποιο κωδικό Bash έξω από το σγουρό στήριγμα, τότε θα εκτελεστεί από το σύστημα. Αυτό αφήνει το σύστημα ανοιχτό για μια οικογένεια επιθέσεων γνωστών ως επιθέσεις με έγχυση κώδικα.

Οι ερευνητές έχουν ήδη βρει πιθανούς φορείς επίθεσης εκμεταλλευόμενοι πώς το λογισμικό όπως το Διακομιστής web Apache Πώς να ρυθμίσετε έναν διακομιστή Web Apache σε 3 εύκολα βήματαΌποιος και αν είναι ο λόγος, ίσως κάποια στιγμή θέλετε να ξεκινήσετε έναν διακομιστή Ιστού. Είτε θέλετε να δώσετε στον εαυτό σας απομακρυσμένη πρόσβαση σε συγκεκριμένες σελίδες ή υπηρεσίες, θέλετε να αποκτήσετε μια κοινότητα ... Διαβάστε περισσότερα , και κοινό Βοηθητικά προγράμματα UNIX όπως το WGET Mastering Wget & Learning μερικά τακτοποιημένα κόλπα λήψηςΜερικές φορές δεν αρκεί να αποθηκεύετε έναν ιστότοπο τοπικά από το πρόγραμμα περιήγησής σας. Μερικές φορές χρειάζεστε λίγο περισσότερη δύναμη. Για αυτό, υπάρχει ένα τακτοποιημένο μικρό εργαλείο γραμμής εντολών γνωστό ως Wget. Το Wget είναι ... Διαβάστε περισσότερα αλληλεπιδρά με το κέλυφος και χρησιμοποιήστε μεταβλητές περιβάλλοντος.

Αυτό το bash bug είναι κακό ( https://t.co/60kPlziiVv ) Αποκτήστε ένα αντίστροφο κέλυφος σε έναν ευάλωτο ιστότοπο http://t.co/7JDCvZVU3S με @ortegaalfredo

- Chris Williams (@diodesign) 24 Σεπτεμβρίου 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24 Σεπτεμβρίου 2014

Πώς το δοκιμάζετε;

Είστε περίεργοι να δείτε εάν το σύστημά σας είναι ευάλωτο; Η εύρεση είναι εύκολη. Απλώς ανοίξτε ένα τερματικό και πληκτρολογήστε:

env x = '() {:;}; echo ευάλωτο 'bash -c "echo αυτό είναι ένα τεστ"

Εάν το σύστημά σας είναι ευάλωτο, τότε θα εξάγει:

ευάλωτο αυτό είναι ένα τεστ

Ενώ ένα μη επηρεασμένο σύστημα θα εξάγει:

env x = '() {:;}; echo ευάλωτο «bash -c" echo this is a test "bash: προειδοποίηση: x: αγνοώντας τον ορισμό συνάρτησης απόπειρα bash: σφάλμα εισαγωγής ορισμού συνάρτησης για" x "αυτό είναι μια δοκιμή

Πώς μπορείτε να το διορθώσετε;

Μέχρι τη στιγμή της δημοσίευσης, το σφάλμα - το οποίο ανακαλύφθηκε στις 24 Σεπτεμβρίου 2014 - θα έπρεπε να έχει διορθωθεί και να διορθωθεί. Απλά πρέπει να ενημερώσετε το σύστημά σας. Ενώ οι παραλλαγές Ubuntu και Ubuntu χρησιμοποιούν το Dash ως το κύριο κέλυφος τους, το Bash εξακολουθεί να χρησιμοποιείται για κάποια λειτουργικότητα του συστήματος. Ως αποτέλεσμα, καλό θα ήταν να το ενημερώσετε. Για να το κάνετε αυτό, πληκτρολογήστε:

sudo apt-get ενημέρωση. sudo apt-get αναβάθμιση

Στο Fedora και σε άλλες παραλλαγές Red Hat, πληκτρολογήστε:

sudo yum ενημέρωση

Η Apple δεν έχει ακόμη κυκλοφορήσει μια ενημέρωση ασφαλείας για αυτό, αν και αν το κάνει, θα την κυκλοφορήσει μέσω του App Store. Βεβαιωθείτε ότι ελέγχετε τακτικά για ενημερώσεις ασφαλείας.

shellshock-ενημέρωση

Chromebook - τα οποία χρησιμοποιούν το Linux ως θεμέλιο τους και μπορούν τρέξτε τις περισσότερες διανομές χωρίς πολλή φασαρία Πώς να εγκαταστήσετε το Linux σε ένα ChromebookΧρειάζεστε Skype στο Chromebook σας; Σας λείπει η πρόσβαση σε παιχνίδια μέσω του Steam; Θέλετε να χρησιμοποιήσετε το VLC Media Player; Στη συνέχεια, ξεκινήστε να χρησιμοποιείτε το Linux στο Chromebook σας. Διαβάστε περισσότερα - Χρησιμοποιήστε το Bash για ορισμένες λειτουργίες του συστήματος και το Dash ως το κύριο κέλυφος τους. Το Google θα πρέπει να ενημερωθεί σε εύθετο χρόνο.

Τι να κάνετε εάν το Distro σας δεν έχει διορθώσει ακόμα το Bash

Εάν η διανομή σας δεν έχει ακόμη κυκλοφορήσει μια ενημέρωση κώδικα για το Bash, ίσως θελήσετε είτε να αλλάξετε διανομές είτε να εγκαταστήσετε ένα διαφορετικό κέλυφος.

Θα συνιστούσα στους αρχάριους να κάνουν check out Κέλυφος ψαριού. Αυτό έρχεται με μια σειρά από δυνατότητες που δεν είναι προς το παρόν διαθέσιμες στο Bash και καθιστούν ακόμη πιο ευχάριστη τη συνεργασία με το Linux. Αυτές περιλαμβάνουν αυτόματες προτάσεις, ζωντανά χρώματα VGA και τη δυνατότητα διαμόρφωσής της από μια διεπαφή ιστού.

Συνεργάτης του συντάκτη MakeUseOf Άντριου Μπόλστερ σας προτείνει επίσης να κάνετε check out zSH, το οποίο έρχεται με στενή ενσωμάτωση με το σύστημα ελέγχου έκδοσης Git, καθώς και αυτόματη συμπλήρωση.

@matthewhughes zsh, γιατί καλύτερη αυτόματη συμπλήρωση και ενσωμάτωση git

- Άντριου Μπόλστερ (@Bolster) 25 Σεπτεμβρίου 2014

Η πιο τρομακτική ευπάθεια Linux;

Το Shellshock έχει ήδη οπλιστεί. Στα πλαίσια μια μέρα της ευπάθειας που αποκαλύπτεται στον κόσμο, είχε ήδη χρησιμοποιηθεί στην άγρια ​​φύση για συμβιβασμούς συστημάτων. Πιο ανησυχητικά, δεν είναι μόνο οι οικιακοί χρήστες και οι επιχειρήσεις που είναι ευάλωτες. Οι ειδικοί ασφαλείας προβλέπουν ότι το σφάλμα θα αφήσει επίσης σε κίνδυνο στρατιωτικά και κυβερνητικά συστήματα. Είναι σχεδόν τόσο εφιαλτικό όσο ήταν το Heartbleed.

Αγία αγελάδα υπάρχουν πολλοί ιστότοποι .mil και .gov που θα αποκτήσουν ιδιοκτησία του CVE-2014-6271.

- Kenn White (@kennwhite) 24 Σεπτεμβρίου 2014

Λοιπόν, παρακαλώ. Ενημερώστε τα συστήματά σας, εντάξει; Επιτρέψτε μου να ξέρω πώς θα προχωρήσετε, και τις σκέψεις σας για αυτό το κομμάτι. Το πλαίσιο σχολίων βρίσκεται παρακάτω.

Δικαιώματα φωτογραφίας:zanaca (IMG_3772.JPG)

Ο Matthew Hughes είναι προγραμματιστής λογισμικού και συγγραφέας από το Λίβερπουλ της Αγγλίας. Σπάνια βρέθηκε χωρίς ένα φλιτζάνι ισχυρό μαύρο καφέ στο χέρι του και λατρεύει απολύτως το Macbook Pro και την κάμερα του. Μπορείτε να διαβάσετε το ιστολόγιό του στο http://www.matthewhughes.co.uk και ακολουθήστε τον στο twitter στο @matthewhughes.