Shellshock Bug και update του bash!

6 posts / 0 new
Τελευταία καταχώριση
Εικόνα: Maras
Maras
Απουσιάζω!
Registered UserΣυχνός σχολιαστής
Μέλος από: 17 Ιουλ 2013
Πόντοι: 935
Shellshock Bug και update του bash!

Mεγάλο κενό ασφαλείας στο bash επηρεάζει μηχανήματα με Linux και MacOSX, ανακαλύφθηκε από τεχνικό ασφαλείας της Red Hat και υπήρχε για 25 χρόνια,

Εδώ κάποιες πληροφορίες http://www.digitallife.gr/bash-shellshock-bug-44489

Για να δείτε αν έχετε πρόβλημα δώστε στο τερματικό :

env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
env X="() { :;} ; echo busted" `which bash` -c "echo completed"

Αν βγάλει busted τότε το bash έχει το πρόβλημα και κάντε update το bash :

sudo apt-get update
sudo apt-get install bash

Ξανατρέξτε τις πρώτες 2 εντολές και αν σας βγάλει :

bash: warning: var: ignoring function definition attempt
bash: error importing function definition for 'var'

Είστε εντάξει ;)

Εδώ περισσότερες πληροφορίες για το πρόβλημα

http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/

__________________

“Long is the way, and hard, that out of hell leads up to light.”

 

Εικόνα: Maras
Maras
Απουσιάζω!
Registered UserΣυχνός σχολιαστής
Μέλος από: 17 Ιουλ 2013
Πόντοι: 935

Για το Slackware υπάρχουν τα αντίστοιχα patch κάθε έκδοσης εδώ :

ftp://ftp.slackware.com/pub/slackware/έκδοση/patches/packages

κατεβάζετε το txz αρχείο και το εγκαθιστάτε:

upgradepkg --install-new package-name

__________________

“Long is the way, and hard, that out of hell leads up to light.”

 

Εικόνα: dimitris
dimitris
Απουσιάζω!
Registered UserΣυχνός σχολιαστήςModeratorEditor-BloggerAdministrator
Μέλος από: 1 Ιαν 1970
Πόντοι: 12700

Από χτες έχει βγει στην επιφάνεια το bug και αφορά στο χειρισμό μεταβλητών από το Bash, όταν οι μεταβλητές περιέχουν συναρτήσεις και "έξτρα κώδικα", πράγμα επιτρέπει την αυθαίρετη εκτέλεση του "έξτρα κώδικα" όπως φαίνονται από τα παραδείγματα που δίνεις. 

Το κόλπο είναι ότι μόλις τεθεί η μεταβλητή Χ τότε την επόμενη φορά που θα τρέξει το bash, θα εκτελεστεί και το υπόλοιπο κομμάτι. Φανταστείτε απλά ότι αντί για which bash εκεί μπορεί να έχει ένα sudo -s dosemoutonserversou :(

Στο Ubuntu και στα Debian-based distros υπάρχουν ήδη patches του προβλήματος (δείτε εδώ για Ubuntu και εδώ για Debian) που εγκαθίστανται με απλό apt-get update && apt-get install bash. Με παρόμοιες εντολές λύνεται το θέμα και σε RPM based διανομές. Στο Mac OS X, που επίσης έχει το ίδιο πρόβλημα δεν έχω ψάξει ακόμα για patch. Ουσιαστικά, για να ξέρετε ότι ήσαστε ΟΚ πρέπει να εγκαταστησετε την έκδοση bash-4.3.

Στο Ubuntu μετά την αναβάθμιση δίνοντας την παρακάτω εντολή πρέπει να δείτε:

$ dpkg -s bash | grep Version

Version: 4.3-7ubuntu1.2

Στο Debian οι fixed versions είναι οι 4.2+dfsg-0.1+deb7u1 (wheezy) και 4.1-3+deb6u1 (για squeeze)

Στην περίπτωση που δεν υπάρχει η έκδοση αυτή για τη διανομή σας, προτείνεται να κάνετε compile τον κώδικα της μόνοι σας:

mkdir src
cd src
wget http://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
#download patches
for i in $(seq -f "%03g" 0 25); do wget     http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-$i; done
tar zxvf bash-4.3.tar.gz 
cd bash-4.3
#apply all patches
for i in $(seq -f "%03g" 0 25);do patch -p0 < ../bash43-$i; done
#build and install
./configure && make && make install
cd .. 
cd ..
rm -r src

Το πρόβλημα όμως δεν είναι οι servers ή τα desktops μας. Αλλά τα embedded-linux μηχανήματα (βασικά οτιδήποτε gadgetάκι τρέχει linux και έχει σύνδεση στο διαδίκτυο). Επίσης, σοβαρό θέμα υπάρχει με servers που τρέχουν παλιές, μη ενημερωμένες εκδοσεις Debian/Ubuntu/whatever....

Εικόνα: Maras
Maras
Απουσιάζω!
Registered UserΣυχνός σχολιαστής
Μέλος από: 17 Ιουλ 2013
Πόντοι: 935

 Δημήτρη, στα Ubuntu με την version 4.3 του bash πριν το update υπήρχε πάλι το πρόβλημα.

Η εντολή

$ dpkg -s bash | grep Version

μου δίνει

Version: 4.3-7ubuntu1.3 

πλέον

 

__________________

“Long is the way, and hard, that out of hell leads up to light.”

 

Εικόνα: silios
silios
Απουσιάζω!
Registered UserModeratorEditor-Blogger
Μέλος από: 29 Δεκ 2010
Πόντοι: 60

Όποιος έχει ακόμα το Squeeze
[email protected]:~# cat /etc/debian_version
6.0.10

Προσθέτει στo /etc/apt/sources.list τα repos του LTS

#LTS security
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

και τρέχει
apt-get update && apt-get install bash

__________________

Συνταγές | Silios | Ονειροκρίτης Νεο-λουδίτης extraordinaire - “In God we trust; all others must bring data.”

Εικόνα: Maras
Maras
Απουσιάζω!
Registered UserΣυχνός σχολιαστής
Μέλος από: 17 Ιουλ 2013
Πόντοι: 935

Δύο ακόμα ευπάθειες ανακαλύφθηκαν μετά το patch του αρχικού bug. Δείτε εδώ τα test και τους τρόπους update του bash για αρκετές distro.

https://www.linode.com/docs/security/security-patches/patching-bash-for-the-shellshock-vulnerability

__________________

“Long is the way, and hard, that out of hell leads up to light.”