Příspěvky Dvacetiletá bezpečnostní chyba v shellu Bash
Předně žádnou paniku, nejde o zásadní chybu a její význam se týká prakticky pouze serverů, nikoli desktopů. Pro paranoiky lze bash výhodně nahradit zsh.
Re: Dvacetiletá bezpečnostní chyba v shellu Bash
Lukáš Jelínek 26. 09. 2014, 18:29:06
Odpovědět Odkaz
Jeden z mala clanecku na ceskem webu, ktery nevyrvava o miliardach ohrozenych pocitacu, ale vcelku vecne popisuje vocogo. Jinde to vypada, ze se dira siri prinejmensim telepaticky.
Diky autore.
Diky autore.
Re: Dvacetiletá bezpečnostní chyba v shellu Bash
Lukáš Jelínek 29. 09. 2014, 23:20:14
Odpovědět Odkaz
Je to chyba, keď si ju 20 rokov nikto nevšimol?
Re: Dvacetiletá bezpečnostní chyba v shellu Bash
Lukáš Jelínek 30. 09. 2014, 19:56:05
Odpovědět Odkaz
Dvacetiletá bezpečnostní chyba v shellu Bash
Martin Koldovský, Check Point 29. 10. 2014, 16:13:23
Odpovědět Odkaz
Riziko zranitelnosti Shellshock vidím dokonce značně vyšší než u slabiny Heartbleed knihovny OpenSSL, protože tato slabina umožňuje přístup přímo do příkazového interpreteru často s vysokými či nejvyššími právy. Bash bývá také často součástí nejen plnohodnotných OS, ale také uživateli a výrobci špatně udržovatelných a udržovaných specializovaných zařízení, jako jsou routery, síťová úložiště NAS a podobně. Routery jsou navíc často dostupné přímo na Internetu a tak je jejich zneužití velmi reálné.Martin Koldovský, Check Point 29. 10. 2014, 16:13:23
Odpovědět Odkaz
Bash může být přes síť nepřímo dosažitelný v různých scénářích, nejen jako příkazový interpret v ověřované relaci přes SSH nebo telnet, ale také jako prostředí pro zpracování požadavků v rámci webových aplikací (rozhraní mezi webserverem a skriptem – CGI). CGI intenzivně využívá proměnné prostředí pro předáváni vstupu skriptu, což souvisí s předmětem chyby. Do proměnných prostředí v CGI se ukládají také informace z HTTP protokolu, takže kód zneužívající slabinu může být zaslán také v HTTP hlavičkách, například pro nastavení cookie a podobně.
Pro ochranu před zneužitím zranitelnosti je vhodné dodržovat následující základní rady:
1. Segmentace – Oddělit a zbytečně nepublikovat do Internetu a sítí systémy, na které není třeba volný přístup (řídit přístup ke službám firewallem).
2. Pokud je systém publikován, je potřeba mít možnost jej ochránit bezpečnostní vrstvou, jako je IPS, která umožní rychlé nasazování ‚virtualních patchů‘. Zabrání tedy zákeřným požadavkům přes síť i dříve než jsou cílové systémy aktualizovány a slabina odstraněna.
3. Neprovozovat zranitelný systém – Důležitá je rychlá a účinná distribuce aktualizací.
Řada systémů s bashem jsou specializované systémy často opomíjené nejen jejich uživateli, ale také výrobci, takže zajistit aktualizaci firmwaru může být problematické nebo dokonce nemožné.
