LINUX.ORG.RU

Обнаружены новые уязвимости в bash

 , shellshock


3

3

Не успело сообщество отойти от уязвимостей ShellShock, как сотрудник Red Hat Флориан Ваймер опубликовал информацию о новых. Уязвимости CVE-2014-7186 и CVE-2014-7187, возникающие из-за некорректной обработки операций с памятью при разборе выражений, перечёркивают все прошлые усилия по закрытию ShellShock и позволяют удалённо выполнять любые команды.

Протестировать наличие проблем CVE-2014-7186 и CVE-2014-7187 можно при помощи выражений:

   bash -c "true $(printf '</dev/null
   if [ $? != 0 ]; then
      echo -e "Vulnerable to CVE-2014-7186"
   fi

   bash -c "`for i in {1..200}; do echo -n "for x$i in; do :;"; done; for i in {1..200}; do echo -n "done;";done`" 2>/dev/null
   if [ $? != 0 ]; then
      echo -e "Vulnerable to CVE-2014-7187"
   fi

Пользователи FreeBSD и NetBSD вне опасности, поскольку тамошние мейнтейнеры решили пожертвовать обратной совместимостью и полностью отключили эту часть функционала bash.

Ещё две уязвимости CVE-2014-6277 и CVE-2014-6278 обнаружил сотрудник Google Михаил Залевский, но отказался публиковать подробности до внесения исправлений в bash. Учитывая, что для разбора кода функций в bash применяется большой универсальный пласт кода, который потенциально может предоставлять множество различных векторов для атак, так как данный код написан без оглядки на обработку данных, поступающих извне, неизвестно сколько ещё уязвимостей нас ожидает впереди.

Кроме того, можно отметить статью разработчиков Perl, в которой описываются пути проявления уязвимости в perl-скриптах, запускаемых в системах, в которых bash используется как /bin/sh и $SHELL. Проблемы могут проявляться в скриптах, в которых используется вызовы system и exec без разделения аргументов или при открытии потока через open с перенаправлением вывода. Проблемы не специфичны для Perl и проявляются в любых других языках, позволяющих выполнять команды с использованием командной оболочки.

Также опубликован дополнительный анализ возможных серверных систем, в которых возможно проведение атаки. Кроме упоминавшихся ранее атак на DHCP-клиенты, CGI-скрипты и ssh-аккаунты для Git/Subversion, в обзоре утверждается о вероятном проявлении проблемы в OpenVPN (при соединении с сервером злоумышленника), Exim, qmail, procmail, Mailfilter, SER, Phusion Passenger, Radius-серверах и службах Inetd (например, tcpserver). Не подвержены проблеме Postfix, stunnel, OpenBSD inetd и xinetd.

Для комплексной проверки систем на подверженность атакам Shellshock подготовлен универсальный скрипт.

>>> Подробности

anonymous

Проверено: Shaman007 ()
Последнее исправление: ymn (всего исправлений: 1)

zsh подвержен?

anonymous
()

утро начинается не с кофе

Debasher ★★★★★
()

Запустил скрипт из новости и у меня удалился линукс и поставился виндус, что делать?

pc
()

Да #$%^&* какого веника вообще кто-то передаёт внешние аргументы внутреннему шеллу? Это так же тупо, как давать напрямую команды из POST выполнять MySQL-ю. Каким же кретином надо быть, чтобы так писать?!
Все программы, которые так делают, теперь в моём персональном чёрном списке. Им не место на продакшен серверах.

anonymoos ★★★★★
()
Последнее исправление: anonymoos (всего исправлений: 1)
Ответ на: комментарий от bluesman

Справедливости ради их искать сложнее, т.к. нет кода.

zloelamo ★★★★
()

У меня эти выражения выдают ошибку. Как поправить?

Pyzia ★★★★★
()
Ответ на: комментарий от anonymous

Действительно. Тысячи глаз прочёсывают коды свободных проектов и выявляют баги и уязвимости одна за одной. Свободный софт становится всё безопасней, в отличие от проприетарщиков, которые даже отрепорченные баги не торопятся исправлять.

Legioner ★★★★★
()

Господа! Я плакать.

Долгие годы я думал - ну ладно плазма падает, а в браузере кариес (дыры безопасности) - но это ладно, ведь просто голая базовая система, где просто ядро и bash - это нечто вылизанное до невиданной чистоты и стабильности, а уж по части безопасности за десятилетия - тем более!

И тут вот такое!!! Ну как же так? Скажите мне, обычный sh, возможностей которого мне за глаза, он то хоть безопасен? Могу делать embedded-сборки просто с sh, без bash...

I-Love-Microsoft ★★★★★
()

в обзоре утверждается о вероятном проявлении проблемы в OpenVPN (при соединении с сервером злоумышленника)

эта пять

upcFrost ★★★★★
()
Ответ на: комментарий от anonymoos

Каким же кретином надо быть, чтобы так писать?!

Кроме упоминавшихся ранее атак на DHCP-клиенты, CGI-скрипты и ssh-аккаунты для Git/Subversion, в обзоре утверждается о вероятном проявлении проблемы в OpenVPN (при соединении с сервером злоумышленника), Exim, qmail, procmail, Mailfilter, SER, Phusion Passenger, Radius-серверах и службах Inetd (например, tcpserver)

Видимо надо быть разработчиком перечисленных программ.
В общем я с вами солидарен.

MrClon ★★★★★
()
Ответ на: комментарий от anonymoos

Есть нюансы.с экранированием. Здесь тебе не sql база, в которой можно забиндить в комплированный план запроса. Тот же перл вынужден использовать sh -c (а это может быть и bash), когда программист не удосужился разбить команду на список.

zloelamo ★★★★
()

А интересно, проверяли, оно какие-нибудь системные сервисы затронуло? dhcpcd, например точно передает все что получило в ответе от сервера bash скриптам (и под рутом). У провайдеров теперь есть удаленный шелл на всех линуксах, включая embed?

naszar
()
Ответ на: комментарий от I-Love-Microsoft

Для окончательного разрыва шаблона нужен ещё месячник ядерных уязвимостей.

sh может быть симлинком bash-а (по крайней мере в дистрах использующих по умолчанию bash).
А зачем тебе вообще bash в embedded?

MrClon ★★★★★
()
Ответ на: комментарий от anonymoos

Все программы, которые так делают, теперь в моём персональном чёрном списке. Им не место на продакшен серверах.

Всё верно. Удаляй Линукс с серверов.

lenin386 ★★★★
()
Ответ на: комментарий от xsektorx

ибо на системах с zsh скорее всего баш тоже есть и используется для скриптов

Так если у меня по умолчанию zsh?

anonymous
()
Ответ на: комментарий от xsektorx

ибо на системах с zsh скорее всего баш тоже есть и используется для скриптов

Так если у меня по умолчанию zsh?

anonymous
()

Опять реклама zsh, sdio негодуэ

zolden ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

где просто ядро и bash - это нечто вылизанное до невиданной чистоты и стабильности

Ох эта наивность… GNU — тот ещё говнокод, конкурировать с которым способен разве что systemd.
http://harmful.cat-v.org/software/GNU/
Используй suckless, Plan 9 или OpenBSD утилиты, короче.

quantum-troll ★★★★★
()

...но, если смотреть с другой стороны, это просто реклама Rust.

tailgunner ★★★★★
()
Ответ на: комментарий от bluesman

А сколько уязвимостей в виндовом command.com?

Думаю, что меньше. Он же убогий. Меньше фич → меньше кода → меньше дыр. Ну и в M$-софте не так часто передают строки непонятно откуда в cmd. Тем более не в DHCP-клиенте.

x3al ★★★★★
()
Ответ на: комментарий от anonymous

Так если у меня по умолчанию zsh?

Главный вопрос в чём именно у тебя „по умолчанию zsh“? Потому-что принципиально bash выпилить из GNU/Linux можно но во первых никто никогда не ставил такую задачу в дистрах GNU/Linux во вторых уж сильно много всего юзает bash и bash-измы в таких скриптах даже где #!/bin/sh и так просто взять и выпилить bash скажем так уж очень трудно.

Собрать LFS без bash-а наверное можно но в конце концов будет та же проблема уж сильно много всего придется исправлять и смысла в этом столько же как и в том если поставить задачу заменить bash скажем на QBasic :) потенциально да возможно а вот реально крайне сомнительно.

init_6 ★★★★★
()

Что ли накатить zsh, ради общего кругозора

KennyMinigun ★★★★★
()
Ответ на: комментарий от init_6

bash-измы

В дебиане то на dash перевели по дефолту для sh давно. #!/bin/bashи, впрочем, всё равно остались.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.