přejít na obsah přejít na navigaci

Linux E X P R E S, Dvacetiletá bezpečnostní chyba v shellu Bash

Dvacetiletá bezpečnostní chyba v shellu Bash

Hrozba

V shellu Bash byla nalezena chyba umožňující prostřednictvím proměnné prostředí zajistit spuštění kódu; přebývala v něm 20 let. První oprava navíc nebyla úspěšná, zranitelnost přetrvala až do druhé opravy.


Do velmi rozšířeného shellu Bash se před celými dvaceti lety (ve verzi 1.14) dostala bezpečnostní chyba, spočívající v možnosti útočníka vsunout do proměnné prostředí příkazy umožňující spuštění kódu. Příležitostí ke zneužití chyby je řada, typickými případy jsou webový server využívající CGI (moduly mod_cgi a mod_cgid v případě Apache HTTP Serveru), vynucení příkazu pomocí ForceCommand v OpenSSH nebo skripty spouštěné některými DHCP klienty.

Chyba nepostihuje jen GNU/Linux, ale všechny operační systémy využívající Bash, tedy například i Apple OS X. První vydaná oprava se ukázala jako nedostatečná, zranitelnost částečně přetrvala. Proto kdo aktualizoval Bash po vydání první opravy, měl by aktualizovat znovu na úplnou opravu. Vzhledem k tomu, že v některých případech není aktualizace možná (starší spotřební elektronika, routery apod.), může si chyba někdy vyžádat složitější řešení, spočívající případně i ve výměně přístroje za nový.

Nahoru

Příspěvky

Dvacetiletá bezpečnostní chyba v shellu Bash
Petr Ježek 26. 09. 2014, 18:12:25
Odpovědět  Odkaz 
Předně žádnou paniku, nejde o zásadní chybu a její význam se týká prakticky pouze serverů, nikoli desktopů. Pro paranoiky lze bash výhodně nahradit zsh.
Lukáš Jelínek Re: Dvacetiletá bezpečnostní chyba v shellu Bash
Lukáš Jelínek 26. 09. 2014, 18:29:06
Odpovědět  Odkaz 
Ano, rozhodně to není "extrémně nebezpečná chyba", jak psali v iDnes a některých dalších médiích. Pod oním označením si představím spíše něco jako toto: http://www.cvedetails.com/cve/CVE-2010-2550/
Dvacetiletá bezpečnostní chyba v shellu Bash
fd 29. 09. 2014, 23:01:40
Odpovědět  Odkaz 
Jeden z mala clanecku na ceskem webu, ktery nevyrvava o miliardach ohrozenych pocitacu, ale vcelku vecne popisuje vocogo. Jinde to vypada, ze se dira siri prinejmensim telepaticky.


Diky autore.
Lukáš Jelínek Re: Dvacetiletá bezpečnostní chyba v shellu Bash
Lukáš Jelínek 29. 09. 2014, 23:20:14
Odpovědět  Odkaz 
Není zač ;-)
Dvacetiletá bezpečnostní chyba v shellu Bash
vxmery 30. 09. 2014, 13:00:04
Odpovědět  Odkaz 
Je to chyba, keď si ju 20 rokov nikto nevšimol?
Lukáš Jelínek Re: Dvacetiletá bezpečnostní chyba v shellu Bash
Lukáš Jelínek 30. 09. 2014, 19:56:05
Odpovědět  Odkaz 
Pokud to tehdy nebyl záměr, tak se dá jednoznačně hovořit o chybě.
Dvacetiletá bezpečnostní chyba v shellu Bash
Martin Koldovský, Check Point 29. 10. 2014, 16:13:23
Odpovědět  Odkaz 
Riziko zranitelnosti Shellshock vidím dokonce značně vyšší než u slabiny Heartbleed knihovny OpenSSL, protože tato slabina umožňuje přístup přímo do příkazového interpreteru často s vysokými či nejvyššími právy. Bash bývá také často součástí nejen plnohodnotných OS, ale také uživateli a výrobci špatně udržovatelných a udržovaných specializovaných zařízení, jako jsou routery, síťová úložiště NAS a podobně. Routery jsou navíc často dostupné přímo na Internetu a tak je jejich zneužití velmi reálné.

Bash může být přes síť nepřímo dosažitelný v různých scénářích, nejen jako příkazový interpret v ověřované relaci přes SSH nebo telnet, ale také jako prostředí pro zpracování požadavků v rámci webových aplikací (rozhraní mezi webserverem a skriptem – CGI). CGI intenzivně využívá proměnné prostředí pro předáváni vstupu skriptu, což souvisí s předmětem chyby. Do proměnných prostředí v CGI se ukládají také informace z HTTP protokolu, takže kód zneužívající slabinu může být zaslán také v HTTP hlavičkách, například pro nastavení cookie a podobně.

Pro ochranu před zneužitím zranitelnosti je vhodné dodržovat následující základní rady:
1. Segmentace – Oddělit a zbytečně nepublikovat do Internetu a sítí systémy, na které není třeba volný přístup (řídit přístup ke službám firewallem).
2. Pokud je systém publikován, je potřeba mít možnost jej ochránit bezpečnostní vrstvou, jako je IPS, která umožní rychlé nasazování ‚virtualních patchů‘. Zabrání tedy zákeřným požadavkům přes síť i dříve než jsou cílové systémy aktualizovány a slabina odstraněna.
3. Neprovozovat zranitelný systém – Důležitá je rychlá a účinná distribuce aktualizací.

Řada systémů s bashem jsou specializované systémy často opomíjené nejen jejich uživateli, ale také výrobci, takže zajistit aktualizaci firmwaru může být problematické nebo dokonce nemožné.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog


Geotronic

Public Relations

Český startup umožňuje automatické investování

PortuPortu je první online automatizovaná investiční platforma v Česku. Sestaví vám portfolio na míru a vy se nemusíte o nic starat – jen sledovat, jak vaše peníze pracují za vás.

Pokračování ...


Redakční blog

Pavel Fric

Pavel Fric, 26. leden

MuseScore 3

První aktualizace třetí řady notačního editoru MuseScore


Redakce

Redakce, 21. prosinec

Pište pro LinuxEXPRES

Baví vás Linux? Pište o něm, není to nic těžkého. LinuxEXPRES hledá nové autory.


Pavel Fric

Pavel Fric, 23. říjen

Nové motivy pro přehrávač Sayonara

Pomozte rozšířit možnost měnit vzhled programu za běhu


Všechny blogy »

eXo space