Värre än heartbleed? Möt ShellShock: En ny säkerhetshot för OS X och Linux

Annons

EN allvarliga säkerhetsfrågor med Bash-skalet - en viktig komponent i båda de flesta UNIX-liknande operativsystem - har upptäckts, med betydande konsekvenser för datasäkerhet över hela världen.

Problemet finns i alla versioner av Bash-skriptspråket upp till version 4.3, som påverkar en majoritet av Linux-maskiner, och hela datorer som kör OS X. och kan se en angripare som utnyttjar den här frågan för att lansera sin egen kod.

Är du nyfiken på hur det fungerar och hur du skyddar dig själv? Läs vidare för mer information.

Vad är Bash?

Bash (står för Bourne Again Shell) är den kommandoradstolkar som används för de flesta Linux- och BSD-distributioner, förutom OS X. Det används som en metod för att starta program, använda systemverktyg och interagera med det underliggande operativsystemet genom att starta kommandon.

Dessutom tillåter Bash (och de flesta Unix-skal) skriptning av UNIX-funktioner i små skript. På samma sätt som de flesta programmeringsspråk - som Python, JavaScript och CoffeeScript

CoffeeScript är JavaScript utan huvudvärkJag har aldrig gillade att skriva JavaScript så mycket. Från den dagen jag skrev min första rad med den, har jag alltid väckt motsägelse över att vad jag än skriver i det alltid slutar att se ut som en Jackson ... Läs mer - Bash stöder funktioner som är vanliga med de flesta programmeringsspråk, såsom funktioner, variabler och omfattning.

Bash är nära allestädes närvarande, med många som använder termen 'Bash' för att hänvisa till alla kommandoradgränssnitt, oavsett om de faktiskt använder Bash-skalet. Och om har du någonsin installerat WordPress eller Ghost via kommandoraden Har du registrerat dig för webbhotell som bara är SSH? Oroa dig inte - installera enkelt webbprogramvaraVet du inte det första med att driva Linux via sin kraftfulla kommandorad? Oroa dig inte mer. Läs mer , eller tunnelade din webbtrafik genom SSH Hur man tunnlar webbtrafik med SSH Secure Shell Läs mer , har du möjligen använt Bash.

Det är överallt. Vilket gör denna sårbarhet desto mer oroande.

Dissecting The Attack

Sårbarheten - upptäckt av fransk säkerhetsforskare Stéphane Chazleas - har orsakat en hel del panik i Linux- och Mac-användare över hela världen samt väckt uppmärksamhet inom teknikpressen. Och med goda skäl, eftersom Shellshock potentiellt kunde se angripare få tillgång till privilegierade system och köra sin egen skadliga kod. Det är otäckt.

Men hur fungerar det? På lägsta möjliga nivå utnyttjar den hur Miljövariabler arbete. Dessa används båda av UNIX-liknande system och Windows Vad är miljövariabler och hur kan jag använda dem? [Windows]Då och då lär jag mig ett litet tips som får mig att tänka "om jag visste att det för ett år sedan skulle ha sparat mig timmar". Jag minns levande hur jag ... Läs mer för att lagra värden som krävs för att datorn ska fungera korrekt. Dessa är tillgängliga över hela världen och kan antingen lagra ett enda värde - t.ex. platsen för en mapp eller ett nummer - eller en funktion.

Funktioner är ett koncept som finns i mjukvaruutveckling. Men vad gör de? Enkelt uttryckt buntar de en uppsättning instruktioner (representerade av kodrader), som senare kan köras av antingen ett annat program eller en användare.

Problemet med Bash-tolkar ligger i hur den hanterar lagring av funktioner som miljövariabler. I Bash lagras koden som finns i funktioner mellan ett par lockiga hängslen. Men om en angripare lämnar någon Bash-kod utanför den lockiga stången, kommer den att köras av systemet. Detta lämnar systemet öppet för en familj av attacker som kallas kodinjektionsattacker.

Forskare har redan hittat potentiella attackvektorer genom att utnyttja hur programvara som Apache webbserver Hur man ställer in en Apache-webbserver i tre enkla stegOavsett orsaken är det att du vid någon tidpunkt vill få en webbserver igång. Oavsett om du vill ge dig själv fjärråtkomst till vissa sidor eller tjänster, vill du få en gemenskap ... Läs mer och vanligt UNIX-verktyg som WGET Behärska Wget och lära sig några snygga nedladdningstricksIbland räcker det bara inte för att spara en webbplats lokalt från din webbläsare. Ibland behöver du lite mer kraft. För detta finns det ett snyggt litet kommandoradsverktyg som kallas Wget. Wget är ... Läs mer interagera med skalet och använda miljövariabler.

Det bash-felet är dåligt ( https://t.co/60kPlziiVv ) Få ett omvänd skal på en sårbar webbplats http://t.co/7JDCvZVU3S förbi @ortegaalfredo

- Chris Williams (@diodesign) 24 september 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24 september 2014

Hur testar du för det?

Vill du se om ditt system är sårbart? Det är enkelt att ta reda på det. Öppna bara en terminal och skriv:

env x = '() {:;}; eko sårbar "bash-c" eko detta är ett test ”

Om ditt system är sårbart kommer det att matas ut:

sårbart detta är ett test

Medan ett opåverkat system kommer att matas ut:

env x = '() {:;}; echo sårbar 'bash -c "echo detta är ett test" bash: varning: x: ignorera funktionsdefinition försök bash: fel importera funktionsdefinition för `x' detta är ett test

Hur fixar du det?

Vid tidpunkten för publiceringen bugget - som upptäcktes 24 september 2014 - borde ha fixats och korrigerats. Du behöver helt enkelt uppdatera ditt system. Även om Ubuntu och Ubuntu-varianter använder Dash som deras huvudskal, används Bash fortfarande för viss systemfunktionalitet. Som ett resultat rekommenderas du att uppdatera det. För att göra det, skriv:

sudo apt-get-uppdatering. sudo apt-get upgrade

Skriv Fedora och andra Red Hat-varianter:

sudo yum uppdatering

Apple kommer ännu inte att släppa en säkerhetsfix för detta, även om de gör det kommer de att släppa det via app store. Se till att du regelbundet letar efter säkerhetsuppdateringar.

Chromebooks - som använder Linux som grund och kan kör de flesta distros utan mycket väsen Hur man installerar Linux på en ChromebookBehöver du Skype på din Chromebook? Missar du att du inte har tillgång till spel via Steam? Vill du använda VLC Media Player? Börja sedan använda Linux på din Chromebook. Läs mer - använd Bash för vissa systemfunktioner och Dash som deras huvudskal. Google borde uppdateras under säsong.

Vad du ska göra om din distro ännu inte har fixat bash

Om din distro ännu inte släpper en fix för Bash, kan du antingen överväga att ändra distributioner eller installera ett annat skal.

Jag skulle rekommendera nybörjare kolla in Fiskskal. Detta kommer med ett antal funktioner som för närvarande inte finns tillgängliga i Bash och gör det ännu trevligare att arbeta med Linux. Dessa inkluderar autosuggestions, livliga VGA-färger och möjligheten att konfigurera det från ett webbgränssnitt.

Fellow MakeUseOf författare Andrew Bolster rekommenderar också att du kolla in zsh, som kommer med snäv integration med Git-versionskontrollsystemet samt autofullständig.

@matthewhughes zsh, eftersom bättre autofullständig och git-integration

- Andrew Bolster (@Bolster) 25 september 2014

Den mest skrämmande Linux-sårbarheten än?

Shellshock har redan vapenats. Inom en dag av sårbarheten som avslöjades för världen hade den redan använts i naturen för att kompromissa system. Mer oroande är det inte bara hemmabrukare och företag som är sårbara. Säkerhetsexperter förutspår att felet också kommer att lämna militära och statliga system i fara. Det är nästan lika mardröm som Heartbleed var.

Heliga ko det finns många .mil- och .gov-webbplatser som kommer att ägs av CVE-2014-6271.

- Kenn White (@kennwhite) 24 september 2014

Så snälla. Uppdatera dina system, okej? Låt mig veta hur du går vidare och dina tankar om det här stycket. Kommentarrutan finns nedan.

Fotokredit:zanaca (IMG_3772.JPG)