Advertentie

EEN ernstig beveiligingsprobleem met de Bash-shell - een belangrijk onderdeel van beide meest UNIX-achtige besturingssystemen - is ontdekt, met aanzienlijke implicaties voor computerbeveiliging wereldwijd.

Het probleem is aanwezig in alle versies van de Bash-scripttaal tot versie 4.3, die gevolgen heeft voor de meeste Linux-machines en voor alle computers met OS X. en zien een aanvaller dit probleem misbruiken om hun eigen code te lanceren.

Benieuwd hoe het werkt en hoe u uzelf kunt beschermen? Lees verder voor meer informatie.

Wat is Bash?

Bash (staat voor Bourne Again Shell) is de standaard opdrachtregelinterpreter die wordt gebruikt op de meeste Linux- en BSD-distributies, naast OS X. Het wordt gebruikt als een methode om programma's te starten, systeemhulpprogramma's te gebruiken en interactie te hebben met het onderliggende besturingssysteem door opdrachten te starten.

Bovendien staan ​​Bash (en de meeste Unix-shells) de scripting van UNIX-functies in kleine scripts toe. Vergelijkbaar met de meeste programmeertalen - zoals Python, JavaScript

instagram viewer
en CoffeeScript CoffeeScript is JavaScript zonder hoofdpijnIk heb nooit echt van JavaScript gehouden. Vanaf de dag dat ik mijn eerste regel schreef, heb ik het altijd kwalijk genomen dat wat ik erin schrijf er altijd uitziet als een Jackson ... Lees verder - Bash ondersteunt functies die gebruikelijk zijn bij de meeste programmeertalen, zoals functies, variabelen en bereik.

shellshock-bash

Bash is bijna overal aanwezig, waarbij veel mensen de term 'Bash' gebruiken om naar alle opdrachtregelinterfaces te verwijzen, ongeacht of ze de Bash-shell daadwerkelijk gebruiken. En als je hebt ooit WordPress of Ghost geïnstalleerd via de opdrachtregel Heeft u zich aangemeld voor SSH-only webhosting? Maak je geen zorgen - Installeer eenvoudig alle websoftwareWeet je niet het eerste over het bedienen van Linux via de krachtige opdrachtregel? Maak je geen zorgen meer. Lees verder , of uw webverkeer via SSH getunneld Hoe webverkeer te tunnelen met SSH Secure Shell Lees verder , heb je waarschijnlijk Bash gebruikt.

Het is overal. Wat deze kwetsbaarheid des te zorgwekkender maakt.

De aanval ontleden

De kwetsbaarheid - ontdekt door de Franse beveiligingsonderzoeker Stéphane Chazleas - zorgde voor veel paniek bij Linux- en Mac-gebruikers wereldwijd en trok de aandacht in de technologiepers. En niet zonder reden, aangezien Shellshock mogelijk kan zien dat aanvallers toegang krijgen tot bevoorrechte systemen en hun eigen kwaadaardige code uitvoeren. Het is vies.

Maar hoe werkt het? Op het laagst mogelijke niveau maakt het gebruik van hoe omgevingsvariabelen werk. Deze worden beide gebruikt door UNIX-achtige systemen en Windows Wat zijn omgevingsvariabelen en hoe kan ik ze gebruiken? [Ramen]Af en toe leer ik een kleine tip die me doet denken "nou, als ik dat een jaar geleden wist, dan zou het me uren tijd hebben bespaard". Ik herinner me levendig hoe ik leerde ... Lees verder om waarden op te slaan die nodig zijn om de computer goed te laten functioneren. Deze zijn wereldwijd beschikbaar in het hele systeem en kunnen een enkele waarde opslaan - zoals de locatie van een map of een nummer - of een functie.

shellshock-env-vars

Functies zijn een concept dat wordt gevonden in softwareontwikkeling. Maar wat doen ze dan? Simpel gezegd, ze bundelen een reeks instructies (weergegeven door regels code), die later kunnen worden uitgevoerd door een ander programma of een gebruiker.

Het probleem met de Bash-interpreter ligt in hoe deze omgaat met het opslaan van functies als omgevingsvariabelen. In Bash wordt de code gevonden in functies opgeslagen tussen een paar accolades. Als een aanvaller echter wat Bash-code buiten de accolade achterlaat, wordt deze door het systeem uitgevoerd. Dit laat het systeem wijd open voor een familie van aanvallen die bekend staan ​​als code-injectie-aanvallen.

Onderzoekers hebben al potentiële aanvalsvectoren gevonden door gebruik te maken van hoe software zoals de Apache-webserver Hoe u een Apache-webserver instelt in 3 eenvoudige stappenWat de reden ook is, misschien wilt u op een gegeven moment een webserver aan de gang krijgen. Of je jezelf nu op afstand toegang wilt geven tot bepaalde pagina's of services, je wilt een community krijgen ... Lees verder , en gebruikelijk UNIX-hulpprogramma's zoals WGET Mastering Wget & een aantal nette downloadtrucs lerenSoms is het gewoon niet genoeg om een ​​website lokaal vanuit uw browser op te slaan. Soms heb je wat meer kracht nodig. Hiervoor is er een leuk klein opdrachtregelprogramma dat bekend staat als Wget. Wget is ... Lees verder interactie met de shell en omgevingsvariabelen gebruiken.

Die bash-bug is slecht ( https://t.co/60kPlziiVv ) Krijg een omgekeerde shell op een kwetsbare website http://t.co/7JDCvZVU3S door @ortegaalfredo

- Chris Williams (@diodesign) 24 september 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24 september 2014

Hoe test je ervoor?

Benieuwd of uw systeem kwetsbaar is? Uitzoeken is eenvoudig. Open gewoon een terminal en typ:

env x = '() {:;}; echo kwetsbare 'bash -c "echo dit is een test”

Als uw systeem kwetsbaar is, wordt het uitgevoerd:

kwetsbaar is dit een test

Hoewel een onaangetast systeem zal uitvoeren:

env x = '() {:;}; echo kwetsbare 'bash -c "echo dit is een test" bash: waarschuwing: x: negeert functiedefinitie poging bash: fout bij importeren van functiedefinitie voor `x' dit is een test

Hoe repareer je het?

Op het moment van publicatie had de bug - die op 24 september 2014 werd ontdekt - gerepareerd en hersteld moeten zijn. U hoeft alleen uw systeem bij te werken. Terwijl Ubuntu en Ubuntu-varianten Dash als hun belangrijkste shell gebruiken, wordt Bash nog steeds gebruikt voor sommige systeemfunctionaliteit. Daarom is het raadzaam deze bij te werken. Typ hiervoor:

sudo apt-get update. sudo apt-get upgrade

Typ op Fedora en andere Red Hat-varianten:

sudo yum update

Apple heeft hiervoor nog geen beveiligingsoplossing uitgebracht, maar als ze dat doen, zullen ze deze via de app store vrijgeven. Zorg ervoor dat u regelmatig controleert op beveiligingsupdates.

shellshock-update

Chromebooks - die Linux als basis gebruiken en kunnen run de meeste distributies zonder veel poespas Linux installeren op een ChromebookHeeft u Skype nodig op uw Chromebook? Mis je geen toegang tot games via Steam? Heb je zin om VLC Media Player te gebruiken? Gebruik dan Linux op je Chromebook. Lees verder - gebruik Bash voor bepaalde systeemfuncties en Dash als hun belangrijkste shell. Google zou te zijner tijd moeten updaten.

Wat te doen als je Distro Bash nog niet heeft opgelost

Als je distro nog geen oplossing voor Bash heeft uitgebracht, kun je overwegen om distributies te wijzigen of een andere shell te installeren.

Ik raad beginners aan om uit te checken Fish Shell. Dit wordt geleverd met een aantal functies die momenteel niet beschikbaar zijn in Bash en het nog prettiger maken om met Linux te werken. Deze omvatten autosuggesties, levendige VGA-kleuren en de mogelijkheid om het vanuit een webinterface te configureren.

Mede MakeUseOf auteur Andrew Bolster raadt u ook aan om uit te checken zSH, die wordt geleverd met nauwe integratie met het Git-versiebeheersysteem, evenals automatisch aanvullen.

@matthewhughes zsh, omdat betere autocomplete en git integratie

- Andrew Bolster (@Bolster) 25 september 2014

De engste Linux-kwetsbaarheid tot nu toe?

Shellshock is al bewapend. Binnen een dag van de kwetsbaarheid omdat het aan de wereld werd onthuld, was het al in het wild gebruikt om systemen te compromitteren. Nog verontrustender is dat niet alleen thuisgebruikers en bedrijven kwetsbaar zijn. Beveiligingsexperts voorspellen dat de bug ook militaire en overheidssystemen in gevaar zal brengen. Het is bijna net zo nachtmerrieachtig als Heartbleed.

Heilige koe, er zijn veel .mil- en .gov-sites die eigendom worden van CVE-2014-6271.

- Kenn White (@kennwhite) 24 september 2014

Dus alsjeblieft. Update je systemen, oké? Laat me weten hoe je verder gaat en wat je van dit stuk vindt. Het opmerkingenveld staat hieronder.

Fotocredit:zanaca (IMG_3772.JPG)

Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op twitter op @matthewhughes.