Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Niebezpieczna dziura w Linuksie

Rekomendowane odpowiedzi

W powłoce systemowej bash używanej domyślnie w większości dystrybucji Linuksa oraz w systemie Mac OS X wykryto niezwykle niebezpieczny błąd. Dziura, nazwana Shellshock, może zostać wykorzystana do zdalnego przejęcia kontroli nad niemal każdym systemem korzystającym z basha. Niektórzy eksperci twierdzą, że jest ona znacznie poważniejsza niż słynna dziura Heartbleed.

 

Podczas gdy błędy takie jak Heartbleed pozwalają na szpiegowanie systemu, ta dziura daje doń bezpośredni dostęp - mówi profesor Alan Woodward z University of Surrey. Drzwi do systemu są szeroko otwarte.

 

Eksperci szacują, że dziura Shellshock naraża na atak około 500 milionów komputerów na całym świecie. Szczególnie zagrożone są serwery Apache.

 

US-CERT zaleca jak najszybsze zastosowanie poprawki. Specjaliści zwracają jednak uwagę, że przygotowane dotychczas łaty zawierają błędy i nie zabezpieczają systemu w pełni. Szczególny niepokój wzbudza łatwość, z jaką przestępcy mogą zaatakować komputery korzystające z basha.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Takie trochę straszenie. ShellShock jest owszem niebezpieczny, ale nie powoduje automatycznie, że każdy serwer, na którym jest podatna wersja basha jest od razu podatny na ataki zdalne. Taki serwer musiałby mieć chociaż jedną aplikację CGI, a serwer HTTP, który tę aplikację uruchamia musiałby uruchamiać instancję basha przy każdym uruchomieniu skryptu CGI. Na szczęście CGI nie jest już zbytnio popularne, co mocno utrudnia możliwość ataku. Np na serwerach, które mam pod swoją opieką nie mam żadnej aplikacji CGI, która pozwalałaby wykorzystać lukę w bashu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Internet, to nie tylko komputery domowe czy data center.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
No i nie mój problem. ;)

Mój też nie. Co prawda korzystam z Linuksa i nawet mam na nim serwerek Apache (i basha też), który wykorzystuję do własnych celów, ale aktualizacja pojawiła się wcześniej niż alarm w mediach, także jest już, że tak powiem, dawno załatany.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Internet, to nie tylko komputery domowe czy data center.

 

Zgadza się. Nie twierdzę, że problem nie jest realny. Uważam jednak, że jest wyolbrzymiany przez twierdzenie, że każdy komputer i urządzenie, które mają niezałataną wersję basha są podatne na atak, bo tak nie jest. Musi być spełnionych kilka warunków jednocześnie:

1. Podatna na atak wersja basha.

2. Możliwość zdalnego ustawienia zmiennej środowiskowej.

3. Możliwość zdalnego utworzenia instancji basha, która odziedziczy środowisko z wprowadzoną w pkt 2 zmienną środowiskową.

 

Punkty 2 i 3 są spełnione w przypadku wykorzystania skryptów CGI, ale tylko gdy serwer uruchamiający skrypt CGI lub sama aplikacja uruchamiają nową instancję basha. Może się zdarzyć, że urządzenie posiada zainstalowanego basha w podatnej wersji, ale domyślnie korzysta z innego shella jak np zsh, ash czy wbudowana powłoka w BusyBox.

 

Nowsze technologie jak FastCGI nie są już podatne na tego typu atak ponieważ nie tworzą nowej instancji aplikacji przy każdym żądaniu i instancje są tworzone w inny sposób, niezależny od danych z żądania (żądanie zwykle jest przekazywane przez gniazda do działającej już instancji aplikacji).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ponieważ mój system zapytany o CGI robi karpika (tu jestem trochę inteligentniejszy od niego ;)), jak i zapytany o bash'a robi podobnie (jestem "faszystą" – tylko C shell ;)), to jakoś sądzę, że chyba niektórym chłopakom gumka w majtkach nazbyt się "wpięła". :) No i nazbyt lubię grzebać w "system-config-services". ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...