Sapiņķerējos meistarībā ar tēmas nosaukuma izdomāšanu. Ziepes ir tādas, ka tava Linux vai OS X sistēma ir caura, ja šobrīd to neesi vēl salāpījis. Internetos tehniski orientētie ļautiņi streso un svīst par jauno bash caurumu, kas ieguvis nosaukumu “shellschock” un potenciāli varētu būt vēl jautrāks nekā iepriekšējais HeartBleed Bug.
Tajā brīdī, kad kāds gudrinieks izdomās labu skriptu, kas šo caurumu izmantos, tad tiks ņemtas priekšā kastes (serveri) un viss, kas tur atradīsies var nokļūt ļaundaru rokās. Interneta veikala informācija, superpuper startups, bildes ar plikiem pupiem utt.
Te būs bilde no jaunākā un oficiāli vēl neiznākušās OS X Yosemite Beta 3, bet cauras ir arī iepriekšējās Mavericks 10.9 versijas, jo bash, tad ir vēl vecais. 🙂
Pamēģini palaist šīs maģiskās rindiņas savā konsolē.
Komandas ir sekojošas:
env X="() { :;} ; echo busted" /bin/sh -c "echo completed" env X="() { :;} ; echo busted" `which bash` -c "echo completed"
Ja redzēji tekstu “busted”, tad vari būt drošs, ka tava sistēma ir ievainojama un caura. Ar steigu steidz to salāpīt.
Piemēram, iekš CentOS to var izdarīt ar sekojošu komandu:
sudo yum update
Pēc tam, kad sistēma ir atjaunota, šis pats triks parādīs aptuveni šādu paziņojumu.
Vairāk informācijas un saites ar skaidrojumiem:
- CVE-2014-6271: Remote code execution through bash
- CVE-2014-7169: Bash Fix Incomplete, Still Exploitable
- Patch Bash NOW: ‘Shell Shock’ bug blasts Linux, OS X systems wide open
- Environment Bashing
- Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271)
- Bash specially-crafted environment variables code injection attack
Padalies, lūdzu, kā zem Linux novērst problēmu
apgreidot bash 🙂 ja tavam OS vēl nav apdeitu, tad būs tuvākajās stundās, ja protams tev nav aizvēsturisks OS 🙂
jau google atradu, paldies
Bubuntiem jādara konsolē:
sudo apt-get update
sudo apt-get upgrade
Vai jāgaida, kad izlēks GUIskie atjauninājumi:
https://db.tt/3ETrQznV
Debian Squeeze vēl nav pieejams updeits, vai es kaut ko daru nepareizi?
Atradu: http://forums.overclockers.com.au/showpost.php?s=ff93e4f87da70e5724284b49ac7b8ec9&p=16327262&postcount=9
Debian Squeeze ir pieejams update (bash 4.1-3+deb6u1), tikai jāieslēdz LTS updates. Lai to izdarītu, pie /etc/apt/sources.lists pievienot:
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free
Kā tas aprakstīts iekš https://wiki.debian.org/LTS/Using
Nezināju, ka vēl kāds bez manis izmanto Squeeze 🙂
Uzlāpījos, paldies!
Bubuntu 14.04 viss ir kārtība. 🙂
Anyway, tas ir aktuāli tikai tiem, kas webā nodarbina CGI skriptus. FuckIt.
nu ne tikai – https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/
Mac OS dabastacijas gadījumā lielu nelaimi neredzu. Atslēdz SSH un miers mājās. Izmanto VNC, ja ko vajag.
Debian 5.0 (Lenny) un vecākām distrām, ja negrib kompilēt
kernelibash no source un krāmēties ar patch-iem:http://blog.bofh.it/debian/id_451
http://ftp.linux.it/pub/People/md/bash/