Patche pro Bash nejsou dokonalé, byly objeveny další dva problémy

6. 10. 2014

Koncem září byly zveřejněny detaily chyby v Bashi, která v některých situacích umožňovala z rodičovského procesu protlačit do shellu kód, který byl poté spuštěn. Chyba dostala jméno shellshock a přinesli jsme o ní podrobný článek s vysvětlením celého problému. Postupně byly vydány dva patche, které se rychle rozšířily do distribucí a problém údajně opravily.

Známý bezpečnostní analytik Michal Zalewski ovšem zjistil, že opravy nejsou dokonalé a stále je možné přes proměnné prostředí spustit libovolný příkaz. Závažnější chyba byla označena jako CVE-2014–6278 a můžete si ji snadno vyzkoušet:

HTTP_COOKIE='() { _; } >_[$($())] { echo hi mom; id; }' bash -c :

Méně závažná je pak chyba CVE-2014–6277, která umožňuje zneužít chybné alokování paměti a teoreticky spustit vlastní kód či provést DoS. Podle Zalewského je ale ke zneužití této chyby potřeba splnit řadu podmínek a proto je riziko menší. V každém případě nás čeká nová sada patchů.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

6. 10. 2014 10:02

MichalB

A co ten kód má vlastně dělat? Protože mě nedělá nic - nebo, že už by to Ubuntu opatchovalo?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 10. 2014 14:26

uplnej vypatlanec (neregistrovaný)

česky "opečovalo" ?! :-))))
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 10. 2014 19:31

mankind_boost (neregistrovaný)

Ten bash je fakt vypečenej. Pořád nějakej problém.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 10. 2014 20:56

Jarda_P

Jak porad? Ted se objevilo par chyb. To je snad poprve, co o necem takovem ctu a to ho mam na stroji snad patnact let. To neni jako software od Adobe, ktery ma diry tak jednou tydne aspon tri.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 8:59

SuperTukan

Je to tak, bohužel následky i tak vyjímečného problému budou dalekosáhlé. Zrovna jsem dočetl článek o Confickeru. Ten taky využíval díry, pro které dávno existovaly aktualizace, které hodně subjektů prostě nenainstalovalo. Linux je všude a bash je nejčastější shell. Z toho budou problémy na hodně dlouhou dobu.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 9:26

Lemming (neregistrovaný)

Já bych to tak černě neviděl. Strojů, které jsou zranitelné remote bez dalších předpokladů jako že tam člověk má SSH klíč, VPN účet, ... je dost omezené množství.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
8. 10. 2014 0:59

Michal (neregistrovaný)

Přesně tak - bohužel toho shellshocku je teď všude plno a naši manažeři kteří technickým detailům prd rozumí úplně vyšilujou že nás někdo hackne a vůbec si nenechají vysvětlit že na našich serverech to prostě problém není i kdyby byl bash sebeděravější.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 9:52

Jarda_P

Tohle ale neni chybou bashe. Urcite neni na miste rici: "Ten bash je fakt vypečenej. Pořád nějakej problém." jenom proto, ze se po letech objevila dira. Tohle je vinou mamlasu, kteri si mysli, ze mohou provozovat server a nemusi ani cist Bugtraq, natoz pak se snizovat ke zbytecnostem, jako je zaplatovani. Kdyz je pro nekoho dulezitejsi, aby mel uptime 5 let, tak holt ma deravy system.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2014 12:29

Trident (neregistrovaný)

Proc by mel normalni admin cist bugtraq? To je preci ukolem securitaku a nebo developeru. Admini pak delaji nasledne akce.

Ja ocekavam ze oznameni o bugu a aktualizaci se ukaze na webu meho oblibeneho OS,dodavatele reseni a udela se nejdriv plan patchovani. Kdyz mate kopu ruznych operacnich systemu/hw architektur, tak neda se rozhodnout jen tak od stolu i kdyz na vas uz blikaji nove baliky treba od klobouka,big blue nebo sunacle.

Je blbosti progrosu co nikdy neudrzovali infrastrukturu ze si mysli ze admini budou cist kdejake bugy v tech jejich blbych knihovnach a ohrozovat firmu neustalymi aktualizacemi. Aktualizace musi byt alespon zbezne testnuta,schvalena a nainstalovana. Prioritne behem dne ci dvou pro DMZ. Zbytek pro vnitrek.

Mame uptime i 3 roky na zcela oddelenych open systemech a na mainframech jeste dele(tam se vse dela za behu). Je to asi hodne derave, ale nikoho to netrapi. Nevadi to. Cokoliv co se dela i treba prikazy nikdo nezadava primo ale prochazi auditem.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 14:43

Jindra Šaur

Třeba se někdo po patnácti letech konečně podíval do kódu a teď nám budou taky chodit aktualizace třikrát týdně :-)
To, že o nich nevíme neznamená, že tam díry nejsou...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 14:54

Jarda_P

Samozrejme, to nevite o zadnem software. Da se predpokladat, ze do bashe ted budou vic stourat a jeste se neco najde, nicmene to neznamena, ze bash je deravy jak Adobe. Toho by si snad uz nekdo vsiml.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
8. 10. 2014 5:28

Andrej Kvasnica

tiez to u mna nic nerobi a mam nahodeny bash z minuleho tyzdna ked sa toto prevalilo.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 10. 2014 10:04

Petr M (neregistrovaný)

... dneska přidám do cronu "yum update bash". Myslím, že se to bude hodit...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 10. 2014 10:10

Rhinox (neregistrovaný)

Taky budu muset do cronu dat neco podobnyho. Jedu na stabilnim gentoo a za posledni tyden nebo dva sem updatoval bash snad 4-krat...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 10. 2014 10:43

Trubicoid2 (neregistrovaný)

Čím vic bash, tim vic adidas :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 9:20

bob (neregistrovaný)

Když bash umožňuje spustit vzdáleně kód, dokonce pod rootem, neměl by být problém tam na dálku pustit jeho update...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 9:26

j (neregistrovaný)

Az na tu drobnost, ze nic takovyho neumoznuje, natoz vzdalene.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 13:37

Sten (neregistrovaný)

Jde to přes DHCP na systémech, které mají jako výchozí shell bash. Ale ty si o to IMO koledují samy.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 17:38

j (neregistrovaný)

A dhcp je bash? Nehlede na to ze dhcp se po internetu posila dost blbe.

O pruser si koleduje kdokoli, kdo veme neco ze site a preda to bez jakykoli kontroly dal. Bejvaly kdysi casy, kdy se za neosetreny vstup vyhazovalo ... dneska se "moderne a progresivne" proste zavola cosi(input) a ceka se, jestli to vrati vyjimku.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 10. 2014 17:48

Ondra Satai Nekola
Zlatý podporovatel

Bullshit. Stojime na ramenou cele generace, ktera nam pripdavila obrovske mnozstvi ruznych Injection jako sve dedictvi.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 10. 2014 11:31

Lol Phirae (neregistrovaný)

Zaprvé, obojí je již opatchováno, viz http://ftp.gnu.org/gnu/bash/bash-4.3-patches/029 (CVE-2014-6277) a http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-030 (CVE-2014-6278), a zadruhé žádný exploit počínaje patchem 027 nefunguje vzhledem k prefixování exportovaných funkcí.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 10. 2014 20:21

me (neregistrovaný)

Tato chyba je nova, protoze stary bash (4.2-0ubuntu3) ktery jsem nelatoval, kod nespusti:

$ HTTP_COOKIE='() { _; } >_[$($())] { echo hi mom; id; }' bash -c :
bash: command substitution: line 0: syntax error near unexpected token `}'
bash: command substitution: line 0: `HTTP_COOKIE () { _; } >_[$($())] { echo hi mom; id; }'

Naopak, bash ktery v zari zaplatovany byl, ale nemel posladni opravu, tak vypise "hi mom" a pak i vystup prikazu id. Stacil ale update a nevypise se nic...
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 10. 2014 21:54

qwertz (neregistrovaný)

Vřele děkuji Všem programátorům linuxu za jejich práci.

Zjistit chybu, vytvořit opravu, a ve chvíli, kdy je k dispozci o ní napsat, zasluhuje uznání nás uživatelů.

Nepamatuji si, že by takhle vstřícně postupoval placený windows či mac.

Děkuji
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 10. 2014 8:13

martin (neregistrovaný)

Jen pro jistotu: když na Ubuntu serveru používám unattended-upgrades, předpokládám, že se mi všechny opravy sami nainstalují, je to tak?

Třeba v posledním logu mám:

Unattended upgrade returned: True
Packages that are upgraded: bash

Package installation log:
Připravuji nahrazení bash 4.1-2ubuntu3.4 (pomocí .../bash_4.1-2ubuntu3.5_amd64.deb) ...
Rozbaluji náhradu bash ...
Zpracování spouštěčů pro balík man-db ...
Nastavuji balík bash (4.1-2ubuntu3.5) ...
update-alternatives: používám /usr/share/man/man7/bash-builtins.7.gz pro poskytnutí /usr/share/man/man7/builtins.7.gz (builtins.7.gz), automatický režim.

Allowed origins are: ["['Ubuntu', 'lucid-security']"]
Packages that are upgraded: bash
All upgrades installed