| |
В дополнение к изначальной выявленной уязвимости в Bash (CVE-2014-6271) и обходному методу атаки (CVE-2014-7169) исследователи безопасности выявили ещё три уязвимости, вызванные ошибками в реализации кода разбора функций. Так как разбор функций производится в Bash для всех переменных окружения, данные уязвимости также могут быть легко эксплуатированы через формирование специального содержимого, попадающего в переменные окружения. Уязвимости в bash последние дни появляются достаточно интенсивно и многие эксперты прогнозируют, что не все проблемы устранены. Для комплексной проверки систем на подверженность атакам Shellshock подготовлен универсальный скрипт.
Проблемы CVE-2014-7186 и CVE-2014-7187 обнаружены Флорианом Ваймером (Florian Weimer) из компании Red Hat, который сразу подготовил патч с исправлением. Проблемы вызваны некорректной обработкой операций с памятью при разборе выражений и позволяют обойти внесённые прошлыми патчами ограничения для организации выполнения кода. Кроме непосредственного устранения уязвимости патч включает и превентивную меру - вводит в обиход специальный префикс "BASH_FUNC_", при котором, в сочетании с наличием в имени суффикса "()", допускается разбор функций в переменных окружения. Для переменных не соответствующих маске "BASH_FUNC_имя()" обработка функций отключена. В связи с этим, дистрибутивы выпустили третью волну обновлений Bash, в том числе включающую привязку к именам "BASH_FUNC_имя()".
Протестировать наличие проблем CVE-2014-7186 и CVE-2014-7187 можно при помощи выражений:
bash -c "true $(printf '/dev/null
if [ $? != 0 ]; then
echo -e "Vulnerable to CVE-2014-7186"
fi
bash -c "`for i in {1..200}; do echo -n "for x$i in; do :;"; done; for i in {1..200}; do echo -n "done;";done`" 2>/dev/null
if [ $? != 0 ]; then
echo -e "Vulnerable to CVE-2014-7187"
fi
Интересно, что проблем удалось избежать в NetBSD и FreeBSD, так как после первой уязвимости сопровождающие порт с Bash полностью отключили поддержку передачи функций через переменные окружения, посчитав, что, в данном случае, безопасность важнее обратной совместимости.
Что касается пятой и шестой уязвимостей (CVE-2014-6277 и CVE-2014-6278), то их выявил Михаил Залевский (Michal Zalewski), известный польский эксперт в области компьютерной безопасности, работающий в Google. Информация о проблеме пока не придана огласке (ожидается включение исправлений в bash). Общий прогноз достаточно пессимистичен, так как при разборе кода функций в bash применяется большой универсальный пласт кода, который потенциально может предоставлять множество различных векторов для атак, так как данный код написан без оглядки на обработку данных, поступающих извне. Для решения проблемы рекомендовано использовать вышепредставленный патч с ограничением имён переменных, содержащих функции.
Кроме того, можно отметить статью разработчиков языка Perl, в которой описываются пути проявления уязвимости в perl-скриптах, запускаемых в системах, в которых bash используется как /bin/sh и $SHELL. Проблемы могут проявляться в скриптах, в которых используется вызовы system и exec без разделения аргументов или при открытии потока через open с перенаправлением вывода. Проблемы не специфичны для Perl и проявляются в любых других языках, позволяющих выполнять команды с использованием командной оболочки.
Также опубликован дополнительный анализ возможных серверных систем, в которых не исключено проведение атаки Shellshock. Кроме уже упоминавшихся атак на DHCP-клиенты, CGI-скрипты и ssh-аккаунты для Git/Subversion, в обзоре утверждается о вероятном проявлении проблемы в OpenVPN (при соединении с сервером злоумышленника), Exim, qmail, procmail, Mailfilter, SER, Phusion Passenger, Radius-серверах и службах Inetd (например, tcpserver). Не подвержены проблеме Postfix, stunnel, OpenBSD inetd и xinetd.
|
|
- Главная ссылка к новости (http://lcamtuf.blogspot.ru/2014/09/bash-...)
- OpenNews: Критическая уязвимость в bash, которая может привести к удалённому запуску команд (дополнено)
- OpenNews: Найден способ обхода патча, устраняющего уязвимость в bash
- OpenNews: Выпуск sysdig 0.1.89 с возможностью выявления активности, связанной с атакой через bash-уязвимость
- OpenNews: Фонд СПО указал, что процесс устранения уязвимости в bash подчеркнул достоинства СПО
| Тип: Проблемы безопасности | Ключевые слова: bash, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
1.4, Гость, 10:18, 29/09/2014 [ответить] [смотреть все] [к модератору] | –3 +/– | Патч mv bin bash ,-bin ln -s dash bin bash... весь текст скрыт [ показать] | | |
4.38, й, 13:13, 29/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
Rvm давно видели? Я его использовал на suse, redhat, debubuntu -- и везде он работает только с bash. Популярная штука, между прочим.
3.16, Аноним, 10:48, 29/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +1 +/–Скриптописатели на баше ССЗБ Для скриптов есть Bourne Shell, к-й обязан присут... весь текст скрыт [ показать] 4.31, Аноним, 12:02, 29/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +1 +/–А если dash не дает каких-то возможностей, то писать велосипед самому Спасибо, ... весь текст скрыт [ показать] 3.27, Клыкастый, 11:22, 29/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +2 +/– bin sh ващето И башизмы мало кто любил А меньше всего их любят те, у кого н... весь текст скрыт [ показать]
4.42, й, 13:17, 29/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
Вы знаете, я уже лет пятнадцать периодически наблюдаю истерику в массах "пишите на posix sh, а не на bash, так правильно". Однако, bash-only штуки здравствуют и процветают до сих пор.
|
5.57, Клыкастый, 14:58, 29/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
процветают. это факт. прискорбный. потому что в общем-то говорят правильно. например некие скрипты внутреннего пользования или к примеру скрипты в обвязке дистроспецифичного софта - да заради бога. а вот когда например проект (например, kamailio) внутре содержит смесь sh/bash скриптов и немеряными башизмами - это не есть гуд.
|
| |
|
6.60, й, 15:14, 29/09/2014 [^] [ответить] [смотреть все] [к модератору] | +1 +/– |
Ну, раз прискорбный -- возьмите и перепишите как правильно. Оно же GPL.
А то рассуждать в духе "они все козлы, ложить хотели на posix sh и используют bash, а это же _неправильно_" уж больно легко и неконструктивно. Повторюсь, я таких ораторов уже 15 лет наблюдаю, погоды они не делают.
| | | 2.9, Аноним, 10:33, 29/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +1 +/–
1.5, Аноним, 10:20, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] –7 +/–Сплошняком новости о уязвимостях в Линукс К чему бы это Никак скоро новую винд... весь текст скрыт [ показать]
1.6, Аноним, 10:22, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +1 +/–Всё логично - если в компоненте продукта проявляется большинство багов, они и бу... весь текст скрыт [ показать]
1.8, Аноним, 10:32, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–Дядюшка Берштейн cpeт кирпичами от такой подставы ... весь текст скрыт [ показать]
1.10, Аноним, 10:34, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–Какая то ошибка в скрипте проверки ... весь текст скрыт [ показать]
1.11, бедный буратино, 10:37, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +11 +/–
проснулся - первым делом обнови баш
1.15, клоун, 10:47, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +7 +/–
Следующая новость: "В связи с последними событиями bash переименован в resheto."
1.19, Аноним, 10:57, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] –5 +/–Вот тебе и одобреная столманом лицензия не защитила ... весь текст скрыт [ показать]
1.29, Аноним, 11:54, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] –1 +/–эта история с баш полный фэйл линуха ушёл плакать... весь текст скрыт [ показать]
1.36, ZuBB, 13:02, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +3 +/–
Ждем system-bashd
1.40, solardiz, 13:15, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–
Упомянутый патч от Florian'а, привносящий "BASH_FUNC_имя()", нейтрализует все упомянутые уязвимости (остальные патчи, включая исходный, при этом перестают быть важными для безопасности - они лишь делают парсер более надежным). Во многих дистрибутивах этот патч уже включен. Также, еще до публикации этой новости на OpenNet, мейнтейнер bash выпустил аналогичный патч для всех версий от 2.05b до 4.3 - есть на http://ftp.gnu.org/pub/gnu/bash/ (bash43-027 от 27-Sep-2014 22:38 и т.п. для других версий). Отличие от патча Florian'а в используемом суффиксе - "%%" вместо "()". Для безопасности эффект тот же, но могут быть отличия в проявлении возможных багов с обработкой тех или этих символов в других программах.
Наконец, отключить поддержку импорта функций можно и с помощью бинарного патча: http://www.openwall.com/lists/oss-security/2014/09/29/1
1.43, Аноним, 13:17, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +1 +/–Горшочек не вари 1111 ... весь текст скрыт [ показать]
1.44, YetAnotherOnanym, 13:19, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +3 +/–
А другие скорлупки кто-нибудь проверять собирается?
1.45, Аноним, 13:20, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–ROSA тоже обновила bash ... весь текст скрыт [ показать]
1.47, GG, 13:22, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +1 +/–
Побежал проверять, а все дырки уже закрыты
1.50, Аноним, 13:45, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–Debian GNU Linux testing, bash 4 3-9 2 Not vulnerable to CVE-2014-6271 origina... весь текст скрыт [ показать]
1.51, Аноним, 13:46, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +1 +/–Respect таким эксператам, linux шлак... весь текст скрыт [ показать]
1.52, AnonymousSL, 14:02, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–
Блин, а на debian 6 так и не вышло обновление, с 7-го вручную поставил.
1.53, Аноним, 14:12, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–Хоть бы обходной путь то пофиксили Уже 3 дня известна уязвимость А криков про ... весь текст скрыт [ показать]
1.54, Аноним из 9Б, 14:37, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–
нужно срочно разработать новый,совершенный форк баша - librebash!
|
3.59, manster, 15:10, 29/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
вся та затея sd - попытка заменить баш. Читая между строк, неудивительно, что букет иксплойтов вероятно будет (по унаследованным соображениям). Стоит копнуть поглубже...
Благодаря "сквозной" архитектуре sd - будет более утончённый контроль за хостами...
| | |
|
4.63, Andrey Mitrofanov, 15:48, 29/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
> вся та затея sd - попытка заменить баш.
И все когда-либо написанные на нём. И на любых прочих шелах. И ещё немного (dhcp), и потом ещё... ///Но _питон_ РХ одбряет -- видимо, _аудитория_ импонирует.
+++Обогнать GNU Emacs(*)! ---И сдохнуть. (*)В SLOC-ах Си-кода.
> Благодаря "сквозной" архитектуре sd - будет более утончённый контроль за хостами...
"за ботнетами", вы хотели? %)
| | |
|
5.66, manster, 16:21, 29/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
Народу нужен новый баш, соответсвующий настоящим реалиям и без проблем с сабшеллами. Конечно это усложнение, но все может быть.
Вообще да - в общем питончик вполне. Но почему-то гентушники в портаже ебилды сделали на баше, хотя у них была возможность взять питон...
В общем bash++ или bash-ng или bash2.0 или cash ;) - короче такой, чтобы можно было не городить сабшеллы, остальное сообразуется. Разумеется это должно быть без усложнений и ломки совместимости.
| | |
1.58, Аноним, 15:04, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–Срочно переходим на винду Там нет баша, но есть очень надежный антивирус ... весь текст скрыт [ показать]
1.61, Главные Редакторы, 15:24, 29/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–
systemd-bash решит все проблемы.
2.72, Аскар, 17:03, 29/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–
А в чём ты набрал команду "zcat /proc/config.gz | grep SCRIPT". и как у тебя система с \бин\ш, указывающим на \дев\нулл, вообще работает? всякие скрипты инициализационные как работают? CONFIG_BINFMT_SCRIPT=нет - это полезная штука для всяких встраиваемых систем, но с обычным линукс десктоп несовместимая
Ваш комментарий
Read more |