Pahempaa kuin sydämen syke? Meet ShellShock: Uusi tietoturvauhka OS X: lle ja Linuxille

Mainos

vakava turvallisuusongelma Bash-kuoren kanssa - tärkeä komponentti molemmissa UNIX-tyyppisissä käyttöjärjestelmissä - on löydetty, ja sillä on merkittäviä vaikutuksia tietokoneiden turvallisuuteen maailmanlaajuisesti.

Aihe on olemassa kaikissa Bash-komentosarjojen kielen versioissa versioon 4.3 saakka, joka vaikuttaa suurimpaan osaan Linux-koneita, ja koko tietokoneisiin, joissa on OS X. ja voi nähdä hyökkääjän hyödyntävän tätä asiaa käynnistääkseen oman koodinsa.

Haluatko tietää kuinka se toimii ja kuinka suojautua? Lue lisätietoja.

Mikä on Bash?

Bash (seisoo Bourne Again Shell) on oletus komentorivitulkki, jota käytetään useimmissa Linux- ja BSD-jakeluissa OS X: n lisäksi. Sitä käytetään menetelmänä ohjelmien käynnistämiseen, järjestelmän apuohjelmien käyttämiseen ja vuorovaikutukseen taustalla olevan käyttöjärjestelmän kanssa käynnistämällä komentoja.

Lisäksi Bash (ja useimmat Unix-kuoret) sallivat UNIX-toimintojen komentosarjojen pieninä. Samoin kuin useimmat ohjelmointikielet - kuten Python, JavaScript

ja CoffeeScript CoffeeScript on JavaScript ilman päänsärkyäEn ole koskaan todella pitänyt JavaScriptin kirjoittamisesta niin paljon. Siitä päivästä lähtien, kun kirjoitin ensimmäisen rivini käyttämällä sitä, olen aina kaunaa siitä, että mitä kirjoitan siinä, se näyttää aina Jacksonilta ... Lue lisää - Bash tukee ominaisuuksia, jotka ovat yhteisiä useimmille ohjelmointikieleille, kuten toimintoja, muuttujia ja laajuutta.

Bash on lähes kaikkialla, ja monet ihmiset käyttävät termiä "Bash" viitaten kaikkiin komentoriviliittymiin riippumatta siitä, käyttävätkö he todella Bash-kuorta. Ja jos olet koskaan asentanut WordPress tai Ghost komentorivin kautta Oletko kirjautunut vain SSH-verkkopalveluun? Älä huoli - Asenna kaikki Web-ohjelmistot helpostiEtkö tiedä ensimmäistä asiaa Linuxin käyttämisestä tehokkaan komentorivin kautta? Älä hätää enää. Lue lisää tai tunneli verkkoliikenteesi SSH: n kautta Kuinka tunnistaa verkkoliikennettä SSH Secure Shell -sovelluksella Lue lisää , olet melkein käyttänyt Bashia.

Se on kaikkialla. Mikä tekee tästä haavoittuvuudesta entistä huolestuttavamman.

Hyökkäyksen leikkaaminen

Haavoittuvuus - ranskalaisen turvallisuustutkijan löytämä Stéphane Chazleas - on aiheuttanut paljon paniikkia Linux- ja Mac-käyttäjille maailmanlaajuisesti, samoin kuin herättänyt huomiota teknologialehdissä. Ja syystäkin, koska Shellshock saattoi nähdä hyökkääjien pääsyyn etuoikeutettuihin järjestelmiin ja toteuttamaan oman haittakoodinsa. Se on ilkeää.

Mutta miten se toimii? Alemmalla mahdollisella tasolla se hyödyntää kuinka ympäristömuuttujat työ. Niitä käytetään molemmissa UNIX-kaltaisissa järjestelmissä ja Windows Mitkä ovat ympäristömuuttujat ja kuinka voin käyttää niitä? [Windows]Ajoittain opit pienen kärjen, joka saa minut ajattelemaan "hyvin, jos tietäisin, että vuosi sitten se olisi säästänyt minulle tunteja". Muistan elävästi oppimisen kuinka ... Lue lisää tallentaa arvot, joita tarvitaan tietokoneen moitteettomaan toimintaan. Niitä on saatavana maailmanlaajuisesti koko järjestelmässä, ja ne voivat joko tallentaa yhden arvon - kuten kansion tai numeron sijainnin - tai toiminnon.

Toiminnot ovat käsite, joka löytyy ohjelmistokehityksestä. Mutta mitä he tekevät? Yksinkertaisesti sanottuna, ne niputtavat joukon ohjeita (joita edustavat koodirivit), jotka myöhemmin voi suorittaa joko toinen ohjelma tai käyttäjä.

Bash-tulkin ongelma on siinä, miten se käsittelee toimintojen tallentamista ympäristömuuttujina. Bash-funktiossa funktioissa löydetty koodi tallennetaan kihara-parin väliin. Jos hyökkääjä jättää jonkin verran Bash-koodia kihararangan ulkopuolelle, järjestelmä suorittaa sen sitten. Tämä jättää järjestelmän laajasti avoimeksi hyökkäysperheelle, joka tunnetaan koodisyöttöhyökkäyksinä.

Tutkijat ovat jo löytäneet mahdolliset hyökkäysvektorit hyödyntämällä kuinka ohjelmistot, kuten Apache-verkkopalvelin Kuinka perustaa Apache-verkkopalvelin 3 helpossa vaiheessaMikä tahansa syy on, saatat joskus haluta käynnistää web-palvelimen. Haluatko antaa itsellesi etäkäytön tietyille sivuille tai palveluille, haluat saada yhteisön ... Lue lisää , ja yleinen UNIX-apuohjelmat, kuten WGET Wgetin hallitseminen ja tiettyjen lataamista koskevien temppujen oppiminenJoskus ei riitä, että tallennat verkkosivuston paikallisesti selaimesta. Joskus tarvitset vähän enemmän virtaa. Tätä varten on olemassa siisti pieni komentorivityökalu, joka tunnetaan nimellä Wget. Wget on ... Lue lisää olla vuorovaikutuksessa kuoren kanssa ja käyttää ympäristömuuttujia.

Tuo bashivika on huono ( https://t.co/60kPlziiVv ) Hanki käänteinen kuori haavoittuvalle verkkosivustolle http://t.co/7JDCvZVU3S mennessä @ortegaalfredo

- Chris Williams (@diodesign) 24. syyskuuta 2014

CVE-2014-6271: wget -U "() {testi;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24. syyskuuta 2014

Kuinka testaat sitä?

Haluatko tietää onko järjestelmäsi haavoittuvainen? Selvitys on helppoa. Avaa vain pääte ja kirjoita:

env x = '() {:;}; echo haavoittuva 'bash -c "echo this is test"

Jos järjestelmäsi on haavoittuvainen, se tuottaa sitten:

haavoittuvainen tämä on testi

Vaikka muuttumaton järjestelmä tuottaa:

env x = '() {:;}; echo haavoittuva 'bash -c "kaiku tämä on testi" bash: varoitus: x: toiminnon määritelmäyrityksen jättäminen bash: virheen tuominen toiminnon määritelmään `x: lle' tämä on testi

Kuinka korjaat sen?

Julkaisun mennessä virheen - joka löydettiin 24. syyskuuta 2014 - olisi pitänyt korjata ja korjata. Sinun tarvitsee vain päivittää järjestelmäsi. Vaikka Ubuntu- ja Ubuntu-variantit käyttävät Dashia pääkuorenaan, Bashia käytetään silti joihinkin järjestelmän toimintoihin. Seurauksena on, että sinun kannattaa päivittää se. Kirjoita se kirjoittamalla:

sudo apt-get -päivitys. sudo apt-get päivitys

Kirjoita Fedoralle ja muille Red Hat -versioille:

sudo yum päivitys

Apple ei ole vielä julkaissut tätä varten tietoturvakorjausta, vaikka ne kuitenkin julkaisevat sen sovelluskaupan kautta. Varmista, että tarkistat säännöllisesti tietoturvapäivityksiä.

Chromebookit - jotka käyttävät perustana Linuxia ja voivat aja useimmat distrossa ilman paljon vaivaa Kuinka asentaa Linux ChromebookiinTarvitsetko Skypeä Chromebookillasi? Etkö kaipaa sitä, että sinulla ei ole pääsy peleihin Steamin kautta? Oletko kiinnostunut käyttämään VLC Media Playeriä? Aloita sitten Linuxin käyttäminen Chromebookillasi. Lue lisää - Käytä Bashia tietyissä järjestelmätoiminnoissa ja Dash niiden pääkuorena. Googlen pitäisi päivittää oikeaan aikaan.

Mitä tehdä, jos distroasi ei ole vielä korjattu?

Jos distroasi ei ole vielä julkaissut korjausta Bashille, kannattaa ehkä harkita jakelujen vaihtamista tai toisen kuoren asentamista.

Suosittelen aloittelijoille check out Kalakuori. Tähän sisältyy joukko ominaisuuksia, joita ei tällä hetkellä ole saatavana Bashissa, ja jotka tekevät siitä vielä miellyttävämmän työskennellä Linuxin kanssa. Näitä ovat automaattiset ehdotukset, eloisat VGA-värit ja mahdollisuus määrittää se web-käyttöliittymästä.

Fellow MakeUseOn kirjoittaja Andrew Bolster suosittelee myös tarkistamista zsh, joka on tiiviisti integroitu Git-versionhallintajärjestelmään, sekä automaattisen täydennyksen kanssa.

@matthewhughes zsh, koska parempi automaattinen täydennys ja git-integrointi

- Andrew Bolster (@Bolster) 25. syyskuuta 2014

Kaikkein pelkäin Linux-haavoittuvuus?

Shellshock on jo aseistettu. Sisällä yhden päivän haavoittuvuus Kun se paljastettiin maailmalle, sitä oli jo käytetty luonnossa järjestelmien kompromisseihin. Huolestuttavampaa ei ole, että vain kotikäyttäjät ja yritykset ovat haavoittuvia. Turvallisuusasiantuntijat ennustavat, että vika jättää myös armeijan ja hallituksen järjestelmät vaaraan. Se on melkein yhtä painajaista kuin Heartbleed oli.

Pyhä lehmä on paljon .mil- ja .gov-sivustoja, jotka tulevat omistamaan CVE-2014-6271.

- Kenn White (@kennwhite) 24. syyskuuta 2014

Joten, kiitos. Päivitä järjestelmäsi, okei? Kerro minulle kuinka pääset eteenpäin ja ajatuksesi tästä kappaleesta. Kommentit-ruutu on alla.

Kuvaluotto:zanaca (IMG_3772.JPG)