Skocz do zawartości


 

Zdjęcie

Bash już zaktualizowany?

Bash już zaktualizowany? security bezpieczeństwo linux bash

  • Proszę się zalogować aby odpowiedzieć
10 odpowiedzi na ten temat

Bash już zaktualizowany?

#1 Dentarg

Dentarg

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 190 postów

Napisany 25 wrzesień 2014 - 08:33

Wygląda fajnie:

 

http://niebezpieczni...dziura-w-bashu/

 

pzdr,


  • 0

#2 Kszysiu

Kszysiu

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1423 postów
  • Skąd:Milanówek
  • Firma:Tiktalik.com
  • Imię:Krzysztof
  • Nazwisko:Wojciechowski

Napisany 25 wrzesień 2014 - 09:27

ubuntu aktualizowane kilka dni temu było podatne - dziś apt-get upgrade i już nie ;)


  • 0

#3 Dentarg

Dentarg

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 190 postów

Napisany 25 wrzesień 2014 - 10:04

Więcej: https://securityblog...jection-attack/

 

Wydaje się, że strony php z suPHP czy mod_ruid powinny być odporne, ale kto wie ;).


  • 0

#4 Dentarg

Dentarg

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 190 postów

Napisany 25 wrzesień 2014 - 14:58

Nadal jeszcze podatność nie jest usunięta do końca:

 

https://access.redha...e/CVE-2014-7169

 

pzdr,


  • 0

#5 SiXwishlist

SiXwishlist

    Freedom Forever

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 2366 postów
  • Skąd:Great Britain
  • Firma:SiXwishlist

Napisany 26 wrzesień 2014 - 11:54

Nadal jeszcze podatność nie jest usunięta do końca:

 

https://access.redha...e/CVE-2014-7169

 

pzdr,

 

Ale to jest kwestia konfiguracji wyjściowej. Teoretycznie serwery oparte o cpanel powinny być odporne natomiast więcej zachodu jest z serwerami opartymi o Plesk ale do załatania. W nocy dostaliśmy piętnaście maili z różnych źródeł na temat tego problemu. Ale przyglądając się szerzej bezpieczeństwu systemów operacyjnych wiele podatności nawet nie została opisana. Dla mnie jedynym wykładnikiem jest https://securityblog.redhat.com i tylko tego się trzymam. Jak na razie śpię spokojnie.


  • 0

#6 UnixStorm.org

UnixStorm.org

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 298 postów
  • Skąd:Jawor
  • Firma:Unix Storm
  • Imię:Michał
  • Nazwisko:Gottlieb

Napisany 26 wrzesień 2014 - 12:48

No niestety nie do końca tak jest. Większość programów jest faktycznie podatna na to i nie ma znaczenia tutaj konfiguracja "wyjściowa". Dla przykładu - każdy serwer Apache obsługujący CGI. Wystarczy znaleźć na takim serwerze jakikolwiek skrypt CGI napisany w bashu (jego zawartość/kod nie ma żadnego znaczenia), aby zdalnie uruchomić dowolne polecenie bądź nawet wejść sobie na ten serwer z uruchomioną powłoką na użytkowniku, który wykonuje ten proces CGI.

 

Bez problemu zdalnie dostałem się na własnego laptopa wykorzystując dowolny skrypt CGI napisany w bashu i dostałem uruchomioną konsolę z prawami Apache...

 

Z tego co widzę, podatny na to jest praktycznie każdy system korzystający z basha.


Edytowany przez UnixStorm.org, 26 wrzesień 2014 - 12:50.

  • 0

#7 SiXwishlist

SiXwishlist

    Freedom Forever

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 2366 postów
  • Skąd:Great Britain
  • Firma:SiXwishlist

Napisany 26 wrzesień 2014 - 13:01

No niestety nie do końca tak jest. Większość programów jest faktycznie podatna na to i nie ma znaczenia tutaj konfiguracja "wyjściowa". Dla przykładu - każdy serwer Apache obsługujący CGI. Wystarczy znaleźć na takim serwerze jakikolwiek skrypt CGI napisany w bashu (jego zawartość/kod nie ma żadnego znaczenia), aby zdalnie uruchomić dowolne polecenie bądź nawet wejść sobie na ten serwer z uruchomioną powłoką na użytkowniku, który wykonuje ten proces CGI.

 

Bez problemu zdalnie dostałem się na własnego laptopa wykorzystując dowolny skrypt CGI napisany w bashu i dostałem uruchomioną konsolę z prawami Apache...

 

Z tego co widzę, podatny na to jest praktycznie każdy system korzystający z basha.

 

Tu masz rację ale chodziło mi o typowe zastosowania produkcyjne i zabezpieczenie ich pod właśnie takim kontem nie patrząc jedynie na wspomniana lukę bezpieczeństwa. Moja wypowieðź miała charakter bardziej ogólny. Odnośnie samego testu również sprawdziłem wyrywkowo kilka maszyn.


  • 0

#8 HaPe

HaPe

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1581 postów
  • Skąd:Kraków
  • Firma:www.9h.pl
  • Imię:Hubert
  • Nazwisko:Nodżak-Pluta

Napisany 26 wrzesień 2014 - 16:13

Kolejne update basha się pojawiły.


  • 0

#9 Dentarg

Dentarg

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 190 postów

Napisany 26 wrzesień 2014 - 16:51

RH / Centos miał już patche z rana. Teoretycznie teraz ta dziura jest załatana.

Ma już ubuntu/debian?


  • 0

#10 spindritf

spindritf

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 869 postów

Napisany 26 wrzesień 2014 - 17:24

Tak, wczoraj pierwsza poprawka była na Ubuntu, a dzisiaj nad ranem wyszła druga.
  • 0

#11 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 27 wrzesień 2014 - 02:06

W debianie zafixowane odpowiednio w .1 i .2 i 7u2 oraz 7u3.

http://metadata.ftp-...3-9.2_changelog

http://metadata.ftp-...eb7u3_changelog

 

Stan na teraz:

bash:
  Zainstalowana: 4.3-9.2
  Kandydująca:   4.3-9.2
  Tabela wersji:
 *** 4.3-9.2 0
        500 http://ftp.pl.debian.org/debian/ sid/main amd64 Packages
        100 /var/lib/dpkg/status
     4.3-9.1 0
        500 http://ftp.pl.debian.org/debian/ testing/main amd64 Packages
     4.2+dfsg-0.1+deb7u3 0
        500 http://security.debian.org/ stable/updates/main amd64 Packages
     4.2+dfsg-0.1 0
        500 http://ftp.pl.debian.org/debian/ stable/main amd64 Packages

 


  • 0






Także otagowane jednym lub więcej z tych słów kluczowych: security, bezpieczeństwo, linux, bash

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników