Forside Linux Værre end Heartbleed? Mød ShellShock En ny sikkerhedstrussel til OS X og Linux

Værre end Heartbleed? Mød ShellShock En ny sikkerhedstrussel til OS X og Linux

  • Owen Little
  • 0
  • 2988
  • 905
Reklame

Et alvorligt sikkerhedsproblem med Bash-shell - en væsentlig komponent i begge de fleste UNIX-lignende operativsystemer - er blevet opdaget med betydelige konsekvenser for computersikkerhed overalt i verden.

Problemet er til stede i alle versioner af Bash-scriptingsprog op til version 4.3, som påvirker et flertal af Linux-maskiner, og i hele computere, der kører OS X. og kan se en angriber, der udnytter dette problem til at starte deres egen kode..

Er du nysgerrig efter, hvordan det fungerer, og hvordan du beskytter dig selv? Læs videre for mere information.

Hvad er Bash?

Bash (stående for Bourne Again Shell) er standard kommandolinjetolk, der bruges på de fleste Linux- og BSD-distributioner, ud over OS X. Det bruges som en metode til at starte programmer, bruge systemværktøjer og interagere med det underliggende operativsystem ved at starte kommandoer.

Derudover tillader Bash (og de fleste Unix-skaller) scripting af UNIX-funktioner i små scripts. Tilsvarende de fleste programmeringssprog - som Python, JavaScript og CoffeeScript CoffeeScript er JavaScript uden hovedpine CoffeeScript er JavaScript uden hovedpine Jeg har aldrig rigtig godt ønsket at skrive JavaScript så meget. Fra den dag, jeg skrev min første linje ved hjælp af den, har jeg altid vred mig over, at uanset hvad jeg skriver i det altid ender med at se ud som en Jackson… - Bash understøtter funktioner, der er fælles med de fleste programmeringssprog, såsom funktioner, variabler og rækkevidde.

Bash er nær allestedsnærværende, hvor mange mennesker bruger udtrykket 'Bash' til at henvise til alle kommandolinjegrænseflader, uanset om de rent faktisk bruger Bash-shell. Og hvis du nogensinde har installeret WordPress eller Ghost gennem kommandolinjen Tilmeldt til SSH-kun Web Hosting? Vær ikke bekymret - Installér let websoftware, der er tilmeldt SSH-kun Web Hosting? Vær ikke bekymret - Installer let websoftware Kender du ikke den første ting til at betjene Linux gennem dens magtfulde kommandolinje? Bekymre dig ikke mere. , eller tunnelet din webtrafik gennem SSH Sådan tunneler du webtrafik med SSH Secure Shell Sådan tunneler du webtrafik med SSH Secure Shell, du har muligvis brugt Bash.

Det er overalt. Hvilket gør denne sårbarhed desto mere bekymrende.

Dissecting The Attack

Sårbarheden - opdaget af den franske sikkerhedsforsker Stéphane Chazleas - har forårsaget en hel del panik hos Linux- og Mac-brugere over hele verden såvel som tiltrukket opmærksomhed i teknologipressen. Og også med god grund, da Shellshock potentielt kunne se angribere få adgang til privilegerede systemer og udføre deres egen ondsindede kode. Det er grimt.

Men hvordan fungerer det? På det lavest mulige niveau udnytter det, hvordan miljøvariabler fungerer. Disse bruges både af UNIX-lignende systemer og Windows Hvad er miljøvariabler & hvordan kan jeg bruge dem? [Windows] Hvad er miljøvariabler, og hvordan kan jeg bruge dem? [Windows] Af og til lærer jeg et lille tip, der får mig til at tænke "godt, hvis jeg vidste, at det for et år siden ville have sparet mig timevis". Jeg husker levende at lære, hvordan man… gemmer værdier, der kræves for, at computeren fungerer korrekt. Disse er tilgængelige overalt i systemet og kan enten gemme en enkelt værdi - f.eks. Placeringen af ​​en mappe eller et nummer - eller en funktion.

Funktioner er et koncept, der findes i softwareudvikling. Men hvad gør de? Kort sagt bundter de et sæt instruktioner (repræsenteret ved kodelinjer), som senere kan udføres af enten et andet program eller en bruger.

Problemet med Bash-tolken ligger i, hvordan det håndterer lagring af funktioner som miljøvariabler. I Bash gemmes koden, der findes i funktioner, mellem et par krøllede seler. Hvis en angriber imidlertid efterlader en vis Bash-kode uden for den krøllede stag, udføres den derefter af systemet. Dette lader systemet være åbent for en familie af angreb, der kaldes kodeinjektionsangreb.

Forskere har allerede fundet potentielle angrebsvektorer ved at udnytte, hvordan software som Apache-webserveren Sådan opsættes en Apache-webserver i 3 enkle trin Sådan opsættes en Apache-webserver i 3 enkle trin Uanset hvad årsagen er, kan du på nogle punkt ønsker at få en webserver i gang. Uanset om du vil give dig selv fjernadgang til bestemte sider eller tjenester, vil du få et samfund ... og almindelige UNIX-værktøjer såsom WGET Mastering Wget & Learning Neat Neat Downloading Tricks Mastering Wget & Learning Some Neat Downloading trick Nogle gange er det bare ikke nok at gemme et websted lokalt fra din browser. Nogle gange har du brug for lidt mere magt. Til dette er der et pænt lille kommandolinjeværktøj kendt som Wget. Wget er ... interagere med shell og bruge miljøvariabler.

Denne bash-bug er dårlig (https://t.co/60kPlziiVv) Få et omvendt shell på et sårbart websted http://t.co/7JDCvZVU3S af @ortegaalfredo

- Chris Williams (@diodesign) 24. september 2014

CVE-2014-6271: wget -U "() test;; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24. september 2014

Hvordan tester du for det?

Er du nysgerrig efter at se, om dit system er sårbart? At finde ud af det er let. Bare åbn en terminal, og skriv:

env x = "() :;; ekko sårbar" bash-c "ekko dette er en test”

Hvis dit system er sårbart, udsendes det:

sårbar dette er en test

Selvom et upåvirket system udsendes:

env x = "() :;; ekko sårbar" bash-c "ekko dette er en test" bash: advarsel: x: ignorering af funktionsdefinition forsøg bash: fejl ved import af funktionsdefinition for 'x' dette er en test

Hvordan løser du det?

På tidspunktet for offentliggørelsen skulle fejlen - der blev opdaget den 24. september 2014 - være rettet og lappet. Du skal blot opdatere dit system. Mens Ubuntu og Ubuntu-varianter bruger Dash som deres vigtigste shell, bruges Bash stadig til en vis systemfunktionalitet. Som et resultat anbefales det, at du opdaterer den. For at gøre det, skriv:

sudo apt-get-opdatering sudo apt-get-opgradering

Skriv Fedora og andre Red Hat-varianter:

sudo yum opdatering

Apple frigiver endnu en sikkerhedsrettelse til dette, selvom hvis de gør det, frigiver de den via app-butikken. Sørg for, at du regelmæssigt kontrollerer for sikkerhedsopdateringer.

Chromebooks - som bruger Linux som deres fundament og kan køre de fleste distros uden meget besvær. Sådan installeres Linux på en Chromebook Sådan installeres Linux på en Chromebook Har du brug for Skype på din Chromebook? Gå du glip af ikke at have adgang til spil via Steam? Har du lyst til at bruge VLC Media Player? Begynd derefter at bruge Linux på din Chromebook. - brug Bash til visse systemfunktioner og Dash som deres hovedskal. Google bør opdatere i sæsonen.

Hvad skal du gøre, hvis din distro endnu ikke har fikset en bash

Hvis din distro endnu ikke frigiver en løsning til Bash, kan du enten overveje at ændre distributioner eller installere en anden skal.

Jeg vil anbefale begyndere at tjekke Fish Shell. Dette kommer med en række funktioner, der ikke i øjeblikket er tilgængelige i Bash, og gør det endnu mere behageligt at arbejde med Linux. Disse inkluderer autosuggestions, levende VGA-farver og muligheden for at konfigurere det fra en webgrænseflade.

Fellow MakeUseOf-forfatter Andrew Bolster anbefaler også, at du tjekker zSH, som leveres med stram integration med Git-versionskontrolsystemet samt autofuldførelse.

@matthewhughes zsh, fordi bedre autofuldførelse og git integration

- Andrew Bolster (@Bolster) 25. september 2014

Den uhyggeligste Linux-sårbarhed endnu?

Shellshock er allerede blevet våben. Inden for en dag efter, at sårbarheden blev afsløret for verden, var den allerede blevet anvendt i naturen til at kompromittere systemer. Mere bekymrende er det ikke kun hjemmebrugere og virksomheder, der er sårbare. Sikkerhedseksperter forudsiger, at fejlen også vil lade militære og regeringssystemer være i fare. Det er næsten så mareridt, som Heartbleed var.

Hellig ko der er mange .mil- og .gov-websteder, der vil blive ejet af CVE-2014-6271.

- Kenn White (@kennwhite) 24. september 2014

Så venligst. Opdater dine systemer, okay? Fortæl mig, hvordan du kommer videre og dine tanker om dette stykke. Kommentarfeltet er nedenfor.

Fotokredit: zanaca (IMG_3772.JPG)




Endnu ingen kommentarer

12 fantastiske Facebook Messenger-bots, som du kan chatte med
Sociale medier
Facebook Photo Privatlivsindstillinger, du har brug for at vide om
Sociale medier
Sådan kontrolleres der, om nogen anden får adgang til din Facebook-konto
Sociale medier
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.