neprihlásený Nedeľa, 24. novembra 2024, dnes má meniny Emília
Unixové bezpečnostné fiasko s Bashom, opravený bol až na tretíkrát

Značky: bezpečnosťUnixLinux

DSL.sk, 29.9.2014


Problémy najpoužívanejšieho unixového interpretera príkazového riadku Bash sa neskončili s objavením a zverejnením vážnej bezpečnostnej zraniteľnosti uprostred uplynulého týždňa, keď po zverejnení nasledovala séria ďalších objavených chýb a opráv.

Bash sa používa na väčšine unixových serverov, PC a ďalších zariadení ako štandardný shell, ktorý interpretuje príkazy užívateľa v príkazovom riadku.

Zároveň Bash ale umožňuje tvorbu skriptov a napísaných v ňom je viacero programov, ďalšie ho používajú na spúšťanie iných príkazov.

Ako sme detailne informovali v tomto článku, v Bashi sa nachádzala veľmi vážna ale zároveň triviálna a ľahko zneužiteľná chyba. Bash totiž jednoducho pri automatickom vyhodnocovaní premenných prostredia definujúcich funkciu vykoná kód nachádzajúci sa v premennej po konci definícii funkcie.

env x='() { echo;}; echo vulnerable' bash -c "echo this is a test"



V ukážke zneužitia zraniteľnosti volanie shellu bash s príkazom "echo this is a test" pri automatickom vyhodnocovaní premennej x priamo vykoná aj podvrhnutý príkaz "echo vulnerable". Na mene premennej nezáleží, bash vykoná kód nachádzajúci sa v ľubovoľnej premennej.

Zraniteľnosť môže útočník zneužiť, ak je schopný upraviť ľubovoľnú premennú prostredia pre spustením Bashu napríklad iným programom. To je možné dosiahnuť viacerými spôsobmi aj na vzdialenom serveri, napríklad pri využívaní CGI skriptov v Apache. Shell využívajú napríklad tiež DHCP klienti, ktorým môže podstrčiť kód DHCP server.

Zároveň s informáciou o chybe bola zverejnená aj opravená verzia Bashu. Krátko na to ale odhalil Tavis Ormandy ďalšiu zraniteľnosť CVE-2014-7169 v parseri funkcií Bashu, ktorá je podľa dostupných informácií menej vážna a nevedie k univerzálnej možnosti spustenia útočníkom zvoleného kódu. Autori Bashu vydali ďalšiu opravenú verziu, bash43-026.

Tým ale problémy neskončili a objavené boli ďalšie dve zraniteľnosti v parseri CVE-2014-7186 a CVE-2014-7187. Pre tie už autori Bashu nevydali opravu riešiacu tieto konkrétne chyby ale v noci na nedeľu zareagovali treťou opravenou verziou Bashu bash43-027, ktorá univerzálnejším spôsobom zabraňuje zneužívaniu podobných chýb vytvorením nového menného priestoru pre exportované respektíve importované funkcie v premenných použitím prefixu BASH_FUNC_.

Následne Michal Zalewski identifikoval ďalšie dve zraniteľnosti CVE-2014-6277 a CVE-2014-6278, z ktorých druhá opäť vedie k možnosti spustiť útočníkom zvolený kód. Zalewski zatiaľ nezverejnil detaily zraniteľnosti, posledná vydaná verzia Bashu zavádzajúca prefix je už ale proti tejto zraniteľnosti podľa Zalewského odolná.

Keďže distribúcie vydávali viacero rozličných opravených verzií Bashu a niektoré aj viac ako tri, otestovať systém na poslednú záplatu je možné spustením príkazu "foo='() { echo not patched; }' bash -c foo". Ak tento vyústi do výpisu "not patched", systém je zraniteľný.


      Zdieľaj na Twitteri



Najnovšie články:

Japonci uviedli ethernetový kábel s magnetickým konektorom
Starship by mohla za najbližšie štyri roky uskutočniť až 400 štartov
Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu


Diskusia:
                               
 

99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code....
Odpovedať Známka: 9.6 Hodnotiť:
 

hahahaha posielam kvety !!!
Odpovedať Známka: -2.5 Hodnotiť:
 

A oči má trochu vlhký, když podpatkem střevíčku
rozdrtí iluze máminejch mazlíčků.
Odpovedať Známka: 6.4 Hodnotiť:
 

Ja by som len doplnil, ze podobny problem je aj vo windowse... zaujimave, ze nikde o tom nepisu... ja len dufam, ze nik nevola cmd.exe v IIS/asp/CGI ;)

http://imgur.com/cTD5b5D
Odpovedať Známka: 6.8 Hodnotiť:
 

lebo windows cmd nikto nepouziva. JEdina poriadna aplikacia na windows je Steam :p
Odpovedať Známka: -3.1 Hodnotiť:
 

To uz su zase nejake prazdniny?
Odpovedať Známka: 8.6 Hodnotiť:
 

Ale ma pravdu (trochu), Windows je dobry len na hranie hier, na vsetko ostatne si najdes lepsiu alternativu.
Odpovedať Známka: 3.6 Hodnotiť:
 

jasne :) napr. na photoshop alebo pro/engineer je linux ako priam stvoreny...
pockat!
ale ved ono to pod linuxom nejde :)
'nahrada' tiez nie je temer ziadna.
a tak isto je na tom aj vsetok ostatny uzitocny soft.
Odpovedať Známka: -3.3 Hodnotiť:
 

photoshop = gimp
pro/engineer bezi na Unix-Derivate, Microsoft Windows, Linux
Odpovedať Hodnotiť:
 

Som linuxak, ale aj amatersky fotograf a nemozem s tebou suhlasit. GIMP pre pokrocilejsie upravy fotografii, svojou ignoranciou stratil uz viac ako 10 rokov a teda porovnavat ho s photoshopom naozaj nemozno.

Lightroom vs. DarkTable to uz je ina vec.

Tiez by si mohol povedat, ze nie kazdy fotograf robi pokrocile retuse v photoshope a tiez budes mat pravdu. Ale GIMP rozhodne nie je, co sa tyka fotografie, ziadna alternativa za photoshop. Ak raz to peklo zamrzne a oni ten GEGL dokoncia, mozme sa o tom bavit znovu - dovtedy porovnavas nadupany sportiak s nejakym slusnym autom, ktoremu vsak ale chybaju kolesa.
Odpovedať Známka: 3.3 Hodnotiť:
 

tak potom su ale ludia sami na vine, lebo zakal je gimp free open source software, tak ho niekdo moze zebrat za zaklad, forknut a spravit nieco lepsie. tod ludie porat mrncia, ze preco nemaju fotoshop na linuxe, tak bud nech si ho spravia sami, alebo nech zatlacia na adobe a bude aj linux verzia, ved flashplayer tiez nebol problem (co teda uz od html5 netreba), tak preco nejst do adobe a hodit im kvetinac do okna a povedat, ze teda treba linux verziu a hotovo.
Odpovedať Známka: 10.0 Hodnotiť:
 

to sa uz davno riesi toto, peticie su na to atd, nic nuespelo. Proste podiel linuxu je male percento, a z toho maleho percenta chce photoshop este mensie percento, a z toho percenta je len male percento ochotne to aj zaplatit bez piratenia. To sa im za udrzbu pre dalsiu platformu neoplati.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ono tu je trosku taky kolumbovsky problem. Nie je dostatocna platiacia uzivatelska zakladna, nie su komercne aplikacie. Komercne aplikacie nie su lebo nie je dostatocna platiaca uzivatlska zakladna.

Co sa tyka GIMPU samotneho - asi nie je vola ten projekt forknut. Treba priznat, ze je to komplexny SW. Na druhej strane, aj ked podla slovenskych diskusi to vyzera obcas uplne inac, je to len graficky nastroj ktory oslovuje brutalne mensiu skupinu ludi nez napr. office.
GIMP ide dopredu, ibaze si stanovil ine priority nez je fotografia, takze ta kriticka funkcionalita co tam chyba je vo vyvoji a "slubovana" uz naozaj 10 rokov. Lenze medzicasom aj v Adobe vznikol nastroj na upravu fotiek pre "masy" a ten uz velmi slusnu nahradu na linuxe ma. Cize (mala) skupina ludi, ktora na tu funkcionalitu cakala, sa este viac zmensila.
Ja som len chcel vyvratit ten mytus ze GIMP=Fotosop. Mozem mat OSS akokolvek rad a obhajovat ho - ku klamstvam sa nebudem znizovat ako to casto robi druha strana.
Odpovedať Známka: 10.0 Hodnotiť:
 

To sú také náhrady akože... Keď v tíme majú všetci photoshop, ja si nemôžem dovoliť šaškovať tam s nejakým Gimpom.
Odpovedať Hodnotiť:
 

googel dava http://wiki.ubuntuusers.de/Archiv/ProEngineer
Odpovedať Hodnotiť:
 

to mozno, ale dovod je powershell
Odpovedať Známka: -3.3 Hodnotiť:
 

Dobre a realna hrozba v danom pripade spociva v com? Mam zato, ze nastavene premenne funguju len pocas danej otvorenej relacie procesu a dalej si myslim, ze bez ohladu na to ci je mozne vykonat viac prikazov v jednom riadku alebo nie, cmd.exe pouzivaju pokrocilejsi uzivatelia ktori si sami dobrovolne system asi nebudu chciet sabotovat...
Odpovedať Známka: -3.3 Hodnotiť:
 

Vies mi povedat, co je na tomto problem alebo ako sa to da zneuzit?
Odpovedať Známka: 3.3 Hodnotiť:
 

Nevie ale predstavuje si ake obrovske fiasko by to vyvolalo keby sa to dalo zneuzit! :)
Odpovedať Známka: 3.3 Hodnotiť:
 

Ak by si dokazal nastavit premennu foo tak, aby obsahovala podvrhnuty prikaz a aby sa tento prikaz zaroven aj automaticky vykonal, potom by si mohol povedat, ze je tam podobnost s problemom v bashi, priklad ktory si uviedol ale nedokazuje nic relevantne.
Odpovedať Známka: 2.0 Hodnotiť:
 

A to ze dokazes nastavit premennu tak aby nieco obsahovala je vlastnost bash-u alebo tohe ze sa to niedke tak pouziva? "ja len dufam, ze nik nevola cmd.exe v IIS/asp/CGI"
Priklad "env x='() { echo;}; echo vulnerable' bash -c "echo this is a test"" dokazuje ze si "dokazal nastavit premennu foo tak, aby obsahovala podvrhnuty prikaz a aby sa tento prikaz zaroven aj automaticky vykonal" o nieco viac ako ten s cmd?
Odpovedať Známka: 10.0 Hodnotiť:
 

Stale pises o priklade z bashu, kde to uz bolo potvrdene ze take bezpecnostne riziko tam existuje, ty tvrdis ze to iste ide aj v cmd, ja sa teda pytam ako? Zreprodukuj tento problemovy kod z bashu do cmd ak tvrdis ze je to mozne aj v cmd tak to urcite nebude problem.
Odpovedať Známka: -2.0 Hodnotiť:
 

Popijame? Toto je moj 1. prispevok k teme.
Odpovedať Známka: 2.0 Hodnotiť:
 

krat sa pise s pomlckou alebo spolu, takze tretikrat
Odpovedať Známka: 2.0 Hodnotiť:
 

Asi si myslel spojovnik, nie pomlcku, ale s tym tiez nie. Pise sa to spolu, nijak inak.
Odpovedať Známka: 6.7 Hodnotiť:
 

install arch
Odpovedať Známka: -0.9 Hodnotiť:
 

Keďže "odporúčanie": "install arch" vidím už asi 100. krát, chcem sa opýtať na reálne užívateľské rozdiely medzi Ubuntu a Archom. Na Xubuntu som už asi 6-7 rokov, maximálne mi vyhovuje a osobne nevidím žiadny dôvod niečo meniť, ale keď to ho tu tak kruto propagujete, celkom ma zaujíma, či userom vie poskytnúť niečo viac ako Ubuntu + XFCE.
Díky za normálne odpovede.
Odpovedať Známka: 7.8 Hodnotiť:
 

Arch si zaklada na maximalne aktulanom SW, perfektnej prisposobitelnosti a pravidelnom rozbijani systemu. Bolo to prve distro s pulseaudiom (takze dodnes poriadne nefunguje zvuk), python3 ako default (takze dodnes poriadne nefunguju aplikacie vyuzivajuce python) a systemd (takze uz nefunguje vobec nic.)

Jeho spravca balickov je skvely, od vsetkeho ostatneho sa treba drzat dalej.
Odpovedať Známka: 3.8 Hodnotiť:
 

Arch defaultne nemá žiadne Pulseaudio
Odpovedať Známka: 4.5 Hodnotiť:
 

Arch sam o sebe nie, ale zavisi na nom prakticky vsetko schopne prehrat zvuk.
Odpovedať Známka: -2.0 Hodnotiť:
 

to z kade mas? bezim na cistej ALSA a neni problem
pulseaudio je na hovno v sade
arch ho nema a nepotrebuje
Odpovedať Známka: 6.0 Hodnotiť:
 

neni nahodou arch o tom, ze si kazdy naistaluje co sa mu lubi ?
Odpovedať Známka: 5.0 Hodnotiť:
 

chcem aktualne distro s gnome2 !!!
Odpovedať Známka: 0.0 Hodnotiť:
 

MATE
Odpovedať Hodnotiť:
 

MATE uz mozes mat aj na Fedore, RHEL klone (skrz EPEL) - to mam napr ja tak spravene - , SuSE samozrejme, debian ani nehovorim a samozrejme Gentoo. To zas nie je o tom, ze by MATE bol malo znamy, ba prave naopak.
Su ale take veci, kere funguju len malode, napr ten original motif CDE, ten rozbehali uz volade, ale to je cool!!! (pre nostalgikof)
Odpovedať Hodnotiť:
 

mate je sracka
Odpovedať Hodnotiť:
 

V jednoduchosti je krasa, v pripade linuxov aj rychlost.
S MINT-om zalozenom na debiane mam dobre skusenosti-rychly,jednoduche nevycackane graficke rozhranie (Pozor, existuje aj MINT zalozeny na Ubuntu - neskutocne pomaly oproti debianovej verzii)
Kedze je MINT odvodeny od debianu, preco nepouzivat debian?
Je rychly a bez zbytocneho balastu oproti roznym Ubuntu.
Staci stahnut .iso obraz (cca. 250MB):
https://www.debian.org/distrib/
a zvysok sa doinstaluje z net-u.
Pri prihlasovani sa do grafickeho prostredia sa da z combo-boxu si zvolit gnome2.
Samozrejme funguju aj textove konzoly(Ctrl-Alt-F1 az Ctrl-Alt-F6)
Ak linux potrebujes na pouzivanie a nie kochani sa v cackach-mackach GUI, debian ta nesklame.
Pekne zazitky z pouzivania :)
Odpovedať Hodnotiť:
 

Sorry,
Mal som na mysli MINT a nie MATE.
:)

Odpovedať Hodnotiť:
 

pulseaudio samo o sebe nie je nic zle, ale samozrejme, oni tam skacu s verziami a potom to lame kompatibilitu. Ja preto bezim na Scientific Linux, lebo Fedora, ktora este mala stare PulseAudio uz nie je podporovana. Scientific 7 je OK. Secko funguje. Napr v novom PulseAudio uz nefunguje bluetooth headset a podobne veci. Teda funguje, ale neda sa s nim volat, lebo vyhodili ten code, kery bol zodpovedny za handsfree, samozrejme, bez nahrady. Jedina alternativa k tomu je vyskusat to skompilovat z versioning systemu, aktualny stav a skusat tu verziu, co este pride v buducnosti, ale to je samozrejme velmo nestabilne.
Odpovedať Hodnotiť:
 

Arch/Manjaro maju svoje skvele vychytavky ktr ubuntu/Mint nemaju. ale aj napriek niekolkym pokusom zmigrovat na Manjaro som ostal nakoniec na Mint. Ale aj napriek tomu kratkemu casu na manjare som sa toho celkom dost naucil :)


Odpovedať Známka: 0.0 Hodnotiť:
 

zboznujem arch pretoze je stale najnovsi a zacinas od nuly cize nemas kopu zbytocneho softwaru hned od zacaitku. Instalujes len to co potrebujes a nicim ta neobmedzuje. Mozes nastavovat system ako len chces.
Odpovedať Známka: 4.3 Hodnotiť:
 

Arch? Skor LFS.
Odpovedať Známka: 0.0 Hodnotiť:
 

LFS je na studijne ucely.
Odpovedať Známka: 1.4 Hodnotiť:
 

Akoze Linux from Scratch?
Naposledy co som pocul o tom, to uz je prisahambohu viac ako 10 rokov. Vtedy to bolo nove a setci sa z toho isli zblaznit. Dokonca aj ja som vtedy mal Gentoo, ale hento islo este o krok dalej. Teraz ale kazdy sere na to. Bud das debiana, alebo nieco redhat kompatibilne (fedora alebo RHEL klon).
To boli casi, ked sa kompilovalo cele noci. Teraz mame silnejsie pocitace s velkou ramkou a uz to nikdo neriesi, ale keby zas bolo casu a lacny kilowatt, tak by sa to vracilo hnet.
Odpovedať Hodnotiť:
 

Filozoficka otazka - je to naozaj velkou ramkou a drahym kilowattom alebo skor sme uz len dospeli a nemame na to cas, resp. ine priority nez sa vrtat v systeme (co bolo za studentskych cias super, kedze z toho tazim(e) dodnes)?

Ono ja si nemyslim, ze zmizli ludia co kombajnia nove veci kazdu druhu noc, iba ich uz nevidim kedze nie som na intraku. Studentov s mnozstvom casu v mojom okoli nahradili tatkovia, ktori ten cas radsej stravia s detickami a kombajnenie binariek nechaju na tvorcov oblubenej distribucie... Vdaka vam chlapci z Debianu a team okolo Kubuntu.
Odpovedať Známka: 6.0 Hodnotiť:
 

arch je celkom dobre distro pre pokrocilejsich linuxakov, nemas tam ziadne klikatka system nstavujes cez terminal, inak je to rychly system tusim vychadza z gentoo. Arch je doby pre ludi ktorych linux hlavne bavi a zaujima a chchu vediet ako vlastne cely linux ako taky funguje.
Odpovedať Známka: 6.4 Hodnotiť:
 

Zatiaľ čo Ubuntu je out of the box distro kde je všetko predinštalované a nakonfigurované, v Archu po nainštalovaní a prihlásení vidíš len terminal emulator a všetko si inštaluješ a nastavuješ sám. Arch je na rozdiel od Ubuntu rolling release distro, v repozitároch je najaktuálnejší softvér a Arch wiki je najlepšia dokumentácia s akou som sa stretol.
Odpovedať Známka: 8.3 Hodnotiť:
 

opravím ťa: nie Terminal Emulator ale skutočné terminálové prostredie ! lebo to neni emulované !
Odpovedať Hodnotiť:
 

To urcite. Preto ich tam mas hned 6 naraz.
Odpovedať Známka: 10.0 Hodnotiť:
 

The linux kernel has 2 general types of console drivers. The first type is assigned by the kernel to all the VIRTUAL consoles during the boot

http://goo.gl/KEWMOn

Odpovedať Hodnotiť:
 

Imho "rolling release" a takisto minimalizmus, resp. nainstalujes len to co chces/potrebujes. Odporucam Manjaro, ktory tiez vychadza z Archu ale je viac user-friendly (graficka instalacia).
Odpovedať Známka: 7.5 Hodnotiť:
 

Nemas za co. Na dsl.sk sa ich urcite nedockas.
Odpovedať Známka: -10.0 Hodnotiť:
 

praveze dockas staci sa slusne opytat
Odpovedať Známka: 5.0 Hodnotiť:
 

poskytne ti moznost pravidelne citat release noty a zaroven si zopakujes mena vsetkych svatych, ku ktorym sa budes denne modlit pri update systemu
Odpovedať Známka: -0.9 Hodnotiť:
 

- rolling release, znamena ze vzdy je vsetko aktualne, necaka sa rok a pol aby sa updatol kernel
- AUR repository, vsetko co len mozes chciet na jednom mieste, 100 x lepsie ako PPA bordel
- clean packages, ziadny upraveny firefox alebo rozne pozmenovania a variacie, aj ked nie je problem najist ich na AUR ak chces openSUSE KDE upravenu verziu firefoxu
- sam o sebe nema ziadne DE/WM clovek si vyberie ci chce gnome, KDE, openbox, i3 atd..
- rast a obrovska komunita, ked nieco hladas na googly ohladom linuxu, sanca je ze skoncis na archwiki

nevyhody: kedze je to bleeding edge, vsetko je nove a ide o rolling release, tak stabilita nie je ako u debianu. Po update sa moze stat ze nieco nefunguje, ale vacsinou je riesenie okamzite... a vacsina ludi hovori ze sa im to este nestalo za roky rokuce. To je aj moja skusenost
Odpovedať Známka: 7.5 Hodnotiť:
 

Chlopi, naozaj vďaka za rozsiahle informácie. Som rád, že sa mi potvrdilo, že DSL.sk nie je len centrum adolescentov a trollov, ale aj centrum šikovných a ochotných ľudí (nieže by som o tom niekedy pochyboval :) )
Čo sa týka Archu, vyzerá naozaj zaujímavo, ale mám dosť obavy z nemožnosti nastavovania cez "klikátka". Viem, že to má množstvo výhod, ale sám sa klasifikujem skôr ako user, ako ako admin. V Xubuntu po inštalácii naklikám pár vecí, nastavím klávesové skratky a na pár rokov sa môžem venovať práci. Filozofia "úplne prázdnej" inštalácie sa mi páči určite viac, ale moje schopnosti, žiaľ, zrejeme nebudú dostačujúce pre plnohodnotné doinštalovanie všetkého potrebného.
Každopádne na virtuale ho určite vyskúšam a uvidím :)
Ďakujem ešte raz.
Odpovedať Známka: 3.3 Hodnotiť:
 

Antergos - prakticky archlinux s lahkou instalaciou, http://i.imgur.com/GV7mZ7s.png

Manjaro - je zalozene na archlinuxe ale o ~mesiac oddaluje jeho updaty, takze sa chvali vacsou spolahlivostou, lahka instalacia

Archbang - lahka instalacia = arch + openbox + conky

helmutHDU script na instalaciu cisteho archlinuxu
http://youtu.be/TLh44czUea0

evolution linux, tiez script na instalaciu cisteho archlinuxu
http://youtu.be/4E6A_0bbBt8
Odpovedať Známka: 6.7 Hodnotiť:
 

samozrejme, ale to bolo kedysik relevantne. teraz bachnes fedoru, pod rit tomu das BTRFS a mozes spravit predtym snapshot, skor nez pojdes cez fedup na novsi release a ked to nebude dobre, tak zeberes snapshot a dumpnes aktualny stav doprdele.
Odpovedať Hodnotiť:
 

No neviem ja si tym Archom nie som az taky isty... je fajn ze mas vsetko aktualne ale stretol som sa s paradoxom ze obcas to je az preaktualizovane. Par veci mi spolu nechcelo fungovat...
Odpovedať Hodnotiť:
 

zaden package manager je perfektny!! LOL!
we dont need no education ...
Odpovedať Hodnotiť:
 

bash: foo: command not found
Odpovedať Známka: 7.6 Hodnotiť:
 

Kvôli tvojmu príspevku som si prečítal históriu foo(bar). Ďakujem.
Odpovedať Známka: 8.6 Hodnotiť:
 

poserme sa
Odpovedať Hodnotiť:

Pridať komentár