Niebezpieczna dziura w Linuksie

[KopalniaWiedzy.pl 365]

W powłoce systemowej bash używanej domyślnie w większości dystrybucji Linuksa oraz w systemie Mac OS X wykryto niezwykle niebezpieczny błąd. Dziura, nazwana Shellshock, może zostać wykorzystana do zdalnego przejęcia kontroli nad niemal każdym systemem korzystającym z basha. Niektórzy eksperci twierdzą, że jest ona znacznie poważniejsza niż słynna dziura Heartbleed.

 

Podczas gdy błędy takie jak Heartbleed pozwalają na szpiegowanie systemu, ta dziura daje doń bezpośredni dostęp - mówi profesor Alan Woodward z University of Surrey. Drzwi do systemu są szeroko otwarte.

 

Eksperci szacują, że dziura Shellshock naraża na atak około 500 milionów komputerów na całym świecie. Szczególnie zagrożone są serwery Apache.

 

US-CERT zaleca jak najszybsze zastosowanie poprawki. Specjaliści zwracają jednak uwagę, że przygotowane dotychczas łaty zawierają błędy i nie zabezpieczają systemu w pełni. Szczególny niepokój wzbudza łatwość, z jaką przestępcy mogą zaatakować komputery korzystające z basha.

[yaworski 2]

Takie trochę straszenie. ShellShock jest owszem niebezpieczny, ale nie powoduje automatycznie, że każdy serwer, na którym jest podatna wersja basha jest od razu podatny na ataki zdalne. Taki serwer musiałby mieć chociaż jedną aplikację CGI, a serwer HTTP, który tę aplikację uruchamia musiałby uruchamiać instancję basha przy każdym uruchomieniu skryptu CGI. Na szczęście CGI nie jest już zbytnio popularne, co mocno utrudnia możliwość ataku. Np na serwerach, które mam pod swoją opieką nie mam żadnej aplikacji CGI, która pozwalałaby wykorzystać lukę w bashu.

[wilk 103]

Internet, to nie tylko komputery domowe czy data center.

[Astroboy 34]

No i nie mój problem.

[Sławko 102]

No i nie mój problem.

Mój też nie. Co prawda korzystam z Linuksa i nawet mam na nim serwerek Apache (i basha też), który wykorzystuję do własnych celów, ale aktualizacja pojawiła się wcześniej niż alarm w mediach, także jest już, że tak powiem, dawno załatany.

[Astroboy 34]

Sławko, no i o brak tego problemu mi chodziło.

[yaworski 2]

Internet, to nie tylko komputery domowe czy data center.

 

Zgadza się. Nie twierdzę, że problem nie jest realny. Uważam jednak, że jest wyolbrzymiany przez twierdzenie, że każdy komputer i urządzenie, które mają niezałataną wersję basha są podatne na atak, bo tak nie jest. Musi być spełnionych kilka warunków jednocześnie:

1. Podatna na atak wersja basha.

2. Możliwość zdalnego ustawienia zmiennej środowiskowej.

3. Możliwość zdalnego utworzenia instancji basha, która odziedziczy środowisko z wprowadzoną w pkt 2 zmienną środowiskową.

 

Punkty 2 i 3 są spełnione w przypadku wykorzystania skryptów CGI, ale tylko gdy serwer uruchamiający skrypt CGI lub sama aplikacja uruchamiają nową instancję basha. Może się zdarzyć, że urządzenie posiada zainstalowanego basha w podatnej wersji, ale domyślnie korzysta z innego shella jak np zsh, ash czy wbudowana powłoka w BusyBox.

 

Nowsze technologie jak FastCGI nie są już podatne na tego typu atak ponieważ nie tworzą nowej instancji aplikacji przy każdym żądaniu i instancje są tworzone w inny sposób, niezależny od danych z żądania (żądanie zwykle jest przekazywane przez gniazda do działającej już instancji aplikacji).

[Astroboy 34]

Ponieważ mój system zapytany o CGI robi karpika (tu jestem trochę inteligentniejszy od niego ), jak i zapytany o bash'a robi podobnie (jestem "faszystą" – tylko C shell ), to jakoś sądzę, że chyba niektórym chłopakom gumka w majtkach nazbyt się "wpięła". No i nazbyt lubię grzebać w "system-config-services".