Video: Absolute BEGINNER Guide to the Mac OS Terminal (Oktober 2024)
En bug opdaget i Bash, en meget brugt kommandotolk, udgør en kritisk sikkerhedsrisiko for Unix og Linux-systemer, siger sikkerhedseksperter. Og for at du ikke er fristet til at afvise problemet som bare at være et serverproblem, skal du huske, at Mac OS X bruger Bash. Mange eksperter advarer om, at det kan være værre end Heartbleed.
Sårbarheden er til stede i de fleste versioner af Bash, fra version 1.13 til 4.3, ifølge Stephane Chazelas, et Unix- og Linux-netværks- og telekomadministrator hos Akamai, der først afslørede fejlen. Computer Emergency Response Team (CERT) ved Department of Homeland Security advarede i en advarsel om, at hvis det udnyttes, kan sårbarheden give en ekstern hacker mulighed for at udføre ondsindet kode på et berørt system. NIST-sårbarhedsdatabasen har bedømt fejlen 10 ud af 10 med hensyn til sværhedsgrad.
"Denne sårbarhed er potentielt en meget stor aftale, " sagde Tod Beardsley, ingeniørchef hos Rapid7.
Sårbarheden har at gøre med, hvordan Bash håndterer miljøvariabler. Når der tildeles en funktion til en variabel, vil alle ekstra koder i definitionen også blive udført. Så alt, hvad en angriberen skal gøre, er på en eller anden måde at tilføje en masse kommandoer i den definition - et klassisk kodeindsprøjtningsangreb - og de vil være i stand til eksternt at kapre den berørte maskine. Chazelas og andre forskere, der har set på fejlen, har bekræftet, at det let kan udnyttes, hvis koden indsprøjtes i miljøvariabler, såsom ForceCommand-funktionen i OpenSSH sshd, mod_cgi og mod_cgid-modulerne i Apache HTTP-server eller scripts, der indstiller miljø for DHCP-klienter.
"Et stort antal programmer på Linux og andre UNIX-systemer bruger Bash til at opsætte miljøvariabler, som derefter bruges, mens de udføres andre programmer, " skrev Jim Reavis, chef for Cloud Security Alliance, i et blogindlæg.
Uundgåelig Heartbleed-sammenligning
Overvej to ting om denne sårbarhed: Linux / Unix-servere er vidt brugt i datacentre over hele verden såvel som på indlejrede i mange enheder; sårbarheden har været til stede i årevis. Fordi Bash er så udbredt, er sammenligningen med Heartbleed, sårbarheden i OpenSSH, der blev opdaget tilbage i april, uundgåelig. Robert Graham fra Errata Security har allerede døbt fejlen ShellShock.
Men er det Heartbleed 2? Det er lidt svært at fortælle. Det er bestemt et alvorligt problem, fordi det giver angribere adgang til kommandoskallen, som er den gyldne billet til at kunne gøre, hvad de vil på den maskine.
Lad os tænke med hensyn til størrelse. Apache-webservere driver det store flertal af websteder i verden. Som vi lærte under Heartbleed, er der en masse ikke-Linux / Unix-maskiner, der bruger OpenSSH og Telnet. Og DHCP er medvirkende til at gøre det nemt for os at hoppe til og fra netværk. Dette betyder, at ud over computere og servere er det muligt, at andre indlejrede systemer, såsom routere, også er sårbare over for kapring. Errata Security's Graham - der har udført nogle af de mest grundige analyser af fejlen indtil videre - udførte nogle scanninger og let fandt et par tusinde sårbare servere, men det er lidt svært på dette tidspunkt at estimere størrelsen af problemet.
Heartbleed-fejlen var imidlertid til stede bare ved at have en sårbar version af OpenSSL installeret. Denne fejl er ikke så ligetil.
"Det er ikke så 'simpelt' som 'at køre Bash, '" sagde Beardsley. For at maskinen skal være sårbar over for angreb, skal der være et program (som Apache), der bruger brugerinput (som en User-Agent-header) og sætter det i en miljøvariabel (som CGI-scripts gør), sagde han. Moderne webrammer vil generelt ikke blive berørt, sagde han.
Dette kan være grunden til, at Graham sagde, mens ShellShock er så alvorlig som Heartbleed, "der er lidt behov for at haste og løse denne fejl. Dine primære servere er sandsynligvis ikke sårbare over for denne fejl."
Men inden vi er ude af routere og indlejrede enheder (og tingenes internet), skal vi huske, at ikke alle systemer bruger Bash. Ubuntu og andre Debian-afledte systemer kan muligvis bruge en anden kommandotolk, der hedder Dash. Indlejrede enheder bruger ofte en, der kaldes BusyBox, som ikke er sårbar, sagde Roel Schouwenberg, en seniorforsker ved Kaspersky Lab, på Twitter.
Sårbart eller ej?
Du kan kontrollere, om du er sårbar ved at køre følgende kommandoer (kode leveret af CSA). Åbn et terminalvindue, og indtast følgende kommando ved prompten $:
env x = '() {:;}; ekko sårbar 'bash-c "ekko dette er en test"
Hvis du er sårbar, udskrives det:
sårbar
dette er en test
Hvis du har opdateret Bash, vil du kun se:
dette er en test
Normalt vil jeg sige, gå videre og lapp med det samme, men det viser sig, at de tilgængelige programrettelser ikke er komplette. Der er stadig måder at injicere kommandoer via miljøvariabler selv efter at lappe Bash, sagde Red Hat i morges. Hvis du bare har en håndfuld maskiner, kan det være værd at gå videre og anvende de tilgængelige programrettelser, men hvis du har tusinder af maskiner til at lappe, er det måske værd at vente et par timer mere. Alle opstrøms Linux-distributioner (og forhåbentlig Apple!) Arbejder på en løsning lige nu.
"Husk, selvom du aldrig har hørt om Bash før, eller ikke kører det, kan du meget godt have software, der kører på din computer, der gyder Bash-processer, " sagde den uafhængige sikkerhedskonsulent Graham Cluley.
