Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Niebezpieczna dziura w Linuksie

Recommended Posts

W powłoce systemowej bash używanej domyślnie w większości dystrybucji Linuksa oraz w systemie Mac OS X wykryto niezwykle niebezpieczny błąd. Dziura, nazwana Shellshock, może zostać wykorzystana do zdalnego przejęcia kontroli nad niemal każdym systemem korzystającym z basha. Niektórzy eksperci twierdzą, że jest ona znacznie poważniejsza niż słynna dziura Heartbleed.

 

Podczas gdy błędy takie jak Heartbleed pozwalają na szpiegowanie systemu, ta dziura daje doń bezpośredni dostęp - mówi profesor Alan Woodward z University of Surrey. Drzwi do systemu są szeroko otwarte.

 

Eksperci szacują, że dziura Shellshock naraża na atak około 500 milionów komputerów na całym świecie. Szczególnie zagrożone są serwery Apache.

 

US-CERT zaleca jak najszybsze zastosowanie poprawki. Specjaliści zwracają jednak uwagę, że przygotowane dotychczas łaty zawierają błędy i nie zabezpieczają systemu w pełni. Szczególny niepokój wzbudza łatwość, z jaką przestępcy mogą zaatakować komputery korzystające z basha.

Share this post


Link to post
Share on other sites

Takie trochę straszenie. ShellShock jest owszem niebezpieczny, ale nie powoduje automatycznie, że każdy serwer, na którym jest podatna wersja basha jest od razu podatny na ataki zdalne. Taki serwer musiałby mieć chociaż jedną aplikację CGI, a serwer HTTP, który tę aplikację uruchamia musiałby uruchamiać instancję basha przy każdym uruchomieniu skryptu CGI. Na szczęście CGI nie jest już zbytnio popularne, co mocno utrudnia możliwość ataku. Np na serwerach, które mam pod swoją opieką nie mam żadnej aplikacji CGI, która pozwalałaby wykorzystać lukę w bashu.

Share this post


Link to post
Share on other sites
No i nie mój problem. ;)

Mój też nie. Co prawda korzystam z Linuksa i nawet mam na nim serwerek Apache (i basha też), który wykorzystuję do własnych celów, ale aktualizacja pojawiła się wcześniej niż alarm w mediach, także jest już, że tak powiem, dawno załatany.

Share this post


Link to post
Share on other sites
Internet, to nie tylko komputery domowe czy data center.

 

Zgadza się. Nie twierdzę, że problem nie jest realny. Uważam jednak, że jest wyolbrzymiany przez twierdzenie, że każdy komputer i urządzenie, które mają niezałataną wersję basha są podatne na atak, bo tak nie jest. Musi być spełnionych kilka warunków jednocześnie:

1. Podatna na atak wersja basha.

2. Możliwość zdalnego ustawienia zmiennej środowiskowej.

3. Możliwość zdalnego utworzenia instancji basha, która odziedziczy środowisko z wprowadzoną w pkt 2 zmienną środowiskową.

 

Punkty 2 i 3 są spełnione w przypadku wykorzystania skryptów CGI, ale tylko gdy serwer uruchamiający skrypt CGI lub sama aplikacja uruchamiają nową instancję basha. Może się zdarzyć, że urządzenie posiada zainstalowanego basha w podatnej wersji, ale domyślnie korzysta z innego shella jak np zsh, ash czy wbudowana powłoka w BusyBox.

 

Nowsze technologie jak FastCGI nie są już podatne na tego typu atak ponieważ nie tworzą nowej instancji aplikacji przy każdym żądaniu i instancje są tworzone w inny sposób, niezależny od danych z żądania (żądanie zwykle jest przekazywane przez gniazda do działającej już instancji aplikacji).

Share this post


Link to post
Share on other sites

Ponieważ mój system zapytany o CGI robi karpika (tu jestem trochę inteligentniejszy od niego ;)), jak i zapytany o bash'a robi podobnie (jestem "faszystą" – tylko C shell ;)), to jakoś sądzę, że chyba niektórym chłopakom gumka w majtkach nazbyt się "wpięła". :) No i nazbyt lubię grzebać w "system-config-services". ;)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...