Skocz do zawartości
Dentarg

Bash już zaktualizowany?

Polecane posty

ubuntu aktualizowane kilka dni temu było podatne - dziś apt-get upgrade i już nie ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nadal jeszcze podatność nie jest usunięta do końca:

 

https://access.redhat.com/security/cve/CVE-2014-7169

 

pzdr,

 

Ale to jest kwestia konfiguracji wyjściowej. Teoretycznie serwery oparte o cpanel powinny być odporne natomiast więcej zachodu jest z serwerami opartymi o Plesk ale do załatania. W nocy dostaliśmy piętnaście maili z różnych źródeł na temat tego problemu. Ale przyglądając się szerzej bezpieczeństwu systemów operacyjnych wiele podatności nawet nie została opisana. Dla mnie jedynym wykładnikiem jest https://securityblog.redhat.com i tylko tego się trzymam. Jak na razie śpię spokojnie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No niestety nie do końca tak jest. Większość programów jest faktycznie podatna na to i nie ma znaczenia tutaj konfiguracja "wyjściowa". Dla przykładu - każdy serwer Apache obsługujący CGI. Wystarczy znaleźć na takim serwerze jakikolwiek skrypt CGI napisany w bashu (jego zawartość/kod nie ma żadnego znaczenia), aby zdalnie uruchomić dowolne polecenie bądź nawet wejść sobie na ten serwer z uruchomioną powłoką na użytkowniku, który wykonuje ten proces CGI.

 

Bez problemu zdalnie dostałem się na własnego laptopa wykorzystując dowolny skrypt CGI napisany w bashu i dostałem uruchomioną konsolę z prawami Apache...

 

Z tego co widzę, podatny na to jest praktycznie każdy system korzystający z basha.

Edytowano przez UnixStorm.org (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No niestety nie do końca tak jest. Większość programów jest faktycznie podatna na to i nie ma znaczenia tutaj konfiguracja "wyjściowa". Dla przykładu - każdy serwer Apache obsługujący CGI. Wystarczy znaleźć na takim serwerze jakikolwiek skrypt CGI napisany w bashu (jego zawartość/kod nie ma żadnego znaczenia), aby zdalnie uruchomić dowolne polecenie bądź nawet wejść sobie na ten serwer z uruchomioną powłoką na użytkowniku, który wykonuje ten proces CGI.

 

Bez problemu zdalnie dostałem się na własnego laptopa wykorzystując dowolny skrypt CGI napisany w bashu i dostałem uruchomioną konsolę z prawami Apache...

 

Z tego co widzę, podatny na to jest praktycznie każdy system korzystający z basha.

 

Tu masz rację ale chodziło mi o typowe zastosowania produkcyjne i zabezpieczenie ich pod właśnie takim kontem nie patrząc jedynie na wspomniana lukę bezpieczeństwa. Moja wypowieðź miała charakter bardziej ogólny. Odnośnie samego testu również sprawdziłem wyrywkowo kilka maszyn.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kolejne update basha się pojawiły.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W debianie zafixowane odpowiednio w .1 i .2 i 7u2 oraz 7u3.

http://metadata.ftp-master.debian.org/changelogs/main/b/bash/bash_4.3-9.2_changelog

http://metadata.ftp-master.debian.org/changelogs/main/b/bash/bash_4.2+dfsg-0.1+deb7u3_changelog

 

Stan na teraz:

bash:
  Zainstalowana: 4.3-9.2
  Kandydująca:   4.3-9.2
  Tabela wersji:
 *** 4.3-9.2 0
        500 http://ftp.pl.debian.org/debian/ sid/main amd64 Packages
        100 /var/lib/dpkg/status
     4.3-9.1 0
        500 http://ftp.pl.debian.org/debian/ testing/main amd64 Packages
     4.2+dfsg-0.1+deb7u3 0
        500 http://security.debian.org/ stable/updates/main amd64 Packages
     4.2+dfsg-0.1 0
        500 http://ftp.pl.debian.org/debian/ stable/main amd64 Packages

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×