פרסומת

א נושא ביטחוני רציני עם קליפת הבש - מרכיב עיקרי בשתי מערכות ההפעלה הדומות ביותר UNIX - התגלה, עם השלכות משמעותיות על אבטחת המחשבים ברחבי העולם.

הבעיה קיימת בכל גרסאות שפת הסקריפטים של Bash עד גרסה 4.3, שמשפיעה על רוב מכונות לינוקס, ושלמות המחשבים שבהם פועל מערכת ההפעלה X. ויכול לראות תוקף שמנצל את הבעיה כדי להשיק קוד משלהם.

סקרן כיצד זה עובד ואיך להגן על עצמך? המשך לקרוא למידע נוסף.

מה זה בש?

Bash (עומד בפני Bourne Again Shell) הוא מתורגמן שורת הפקודה המוגדר כברירת מחדל המשמש ברוב ההפצות לינוקס ו- BSD, בנוסף על מערכת ההפעלה X. הוא משמש כשיטה להפעלת תוכניות, שימוש בכלי עזר למערכת ואינטראקציה עם מערכת ההפעלה הבסיסית על ידי הפעלת פקודות.

בנוסף, Bash (ורוב פגזי יוניקס) מאפשרים קבצי script של פונקציות UNIX בסקריפטים קטנים. באופן דומה לרוב שפות התכנות - כמו Python, JavaScript ו- CoffeeScript CoffeeScript הוא JavaScript ללא כאבי ראשמעולם לא אהבתי לכתוב כל כך הרבה JavaScript. מהיום שכתבתי את השורה הראשונה שלי באמצעותו, תמיד התמרמנתי שכל מה שאני כותב בו תמיד בסופו של דבר נראה כמו ג'קסון ... קרא עוד - Bash תומך בתכונות הנפוצות ברוב שפות התכנות, כגון פונקציות, משתנים והיקף.

instagram viewer
מעטפת

באש נמצא כמעט בכל מקום, כאשר אנשים רבים משתמשים במונח 'בש' כדי להתייחס לכל ממשקי שורת הפקודה, ללא קשר אם הם משתמשים בפגז Bash בפועל. ואם התקנת אי פעם את WordPress או Ghost דרך שורת הפקודה נרשמת לאירוח אתרים SSH בלבד? אל תדאג - התקן בקלות תוכנת אינטרנט כלשהיאינך יודע את הדבר הראשון בהפעלת לינוקס דרך שורת הפקודה החזקה שלה? אל תדאגי יותר. קרא עוד , או מנהרה את תעבורת האינטרנט שלך דרך SSH כיצד מנהרת תנועה באינטרנט עם מעטפת מאובטחת של SSH קרא עוד , ייתכן שהשתמשת בבאש.

זה בכל מקום. מה שהופך את הפגיעות הזו ליותר מדאיגה.

לנתח את ההתקפה

הפגיעות - התגלה על ידי חוקר האבטחה הצרפתי סטפן חזליאס - גרמה לפאניקה רבה בקרב משתמשי לינוקס ומאק ברחבי העולם, כמו גם משכה תשומת לב בעיתונות הטכנולוגית. וגם לא בכדי, שכן Shellshock עלולה לראות את התוקפים מקבלים גישה למערכות חסויות ומבצעות את הקוד הזדוני שלהם. זה מגעיל.

אבל איך זה עובד? ברמה הנמוכה ביותר האפשרית היא מנצלת כיצד משתני סביבה עבודה. אלה משמשים לשתי מערכות דמויות UNIX ו- Windows מהם משתנים סביבתיים וכיצד אוכל להשתמש בהם? [Windows]מדי פעם אלמד טיפ קטן שגורם לי לחשוב "טוב, אם הייתי יודע שלפני שנה אז זה היה חוסך לי שעות של זמן". אני זוכר היטב שלמדתי איך ... קרא עוד כדי לאחסן ערכים הנדרשים כדי שהמחשב יתפקד כראוי. אלה זמינים ברחבי העולם ברחבי המערכת ויכולים לאחסן ערך יחיד - כגון מיקום תיקיה או מספר - או פונקציה.

shellshock-env-vars

פונקציות הן מושג שנמצא בפיתוח תוכנה. אבל מה הם עושים? במילים פשוטות, הם מקבצים קבוצת הוראות (המיוצגת על ידי שורות קוד), אשר לאחר מכן ניתן לבצע על ידי תוכנית אחרת או משתמש אחר.

הבעיה עם מתורגמן הבש טמונה בדרך שבה הוא מטפל באחסון פונקציות כמשתני סביבה. ב- Bash, הקוד שנמצא בפונקציות נשמר בין זוג סוגרים מתולתלים. עם זאת, אם תוקף משאיר קוד Bash כלשהו מחוץ לסד המתולתל, הוא יבוצע על ידי המערכת. זה מותיר את המערכת פתוחה למשפחת התקפות המכונות התקפות הזרקת קוד.

חוקרים כבר מצאו וקטורי התקפה פוטנציאליים על ידי ניצול האופן שבו תוכנות כמו ה- שרת אינטרנט של Apache כיצד להגדיר שרת אינטרנט של Apache בשלושה שלבים פשוטיםתהיה הסיבה אשר תהיה, יתכן שבשלב מסוים תרצו להפעיל שרת אינטרנט. בין שאתה רוצה להעניק לעצמך גישה מרחוק לדפים או שירותים מסוימים, אתה רוצה להשיג קהילה ... קרא עוד , ושכיח כלי שירות של UNIX כמו WGET שליטה בווג'ט וללמוד כמה טריקים להורדה מסודריםלפעמים זה פשוט לא מספיק כדי לשמור אתר מקומי מהדפדפן. לפעמים אתה צריך קצת יותר כוח. לשם כך, יש כלי שורת פקודה קטן ומסודר המכונה Wget. ווגט הוא ... קרא עוד לקיים אינטראקציה עם הקליפה ולהשתמש במשתני סביבה.

הבאג הזה הוא רע ( https://t.co/60kPlziiVv ) קבל מעטפת הפוכה באתר פגיע http://t.co/7JDCvZVU3S על ידי @ortegaalfredo

- כריס וויליאמס (@ דיודיזיין) 24 בספטמבר 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- הרנן אוצ'ואה (@hernano) 24 בספטמבר 2014

איך אתה בודק את זה?

סקרן לראות אם המערכת שלך חשופה? זה קל לדעת. פשוט פתח מסוף והקלד:

env x = '() {:;}; הד פגיע 'bash-c "הד זה מבחן"

אם המערכת שלך פגיעה, היא תפוק:

פגיע זו מבחן

בעוד שמערכת לא מושפעת תפלט:

env x = '() {:;}; הד פגיע 'bash-c "הד זה מבחן" bash: אזהרה: x: התעלמות מהגדרת הפונקציה ניסיון bash: שגיאה בייבוא ​​הגדרת הפונקציה עבור' x 'זו מבחן

איך מתקנים את זה?

עד לפרסום, היה צריך לתקן ולתקן את החיידק - שהתגלה ב24- בספטמבר 2014. אתה פשוט צריך לעדכן את המערכת שלך. בעוד וריאנטים של אובונטו ואובונטו משתמשים בדאש כמעטפת העיקרית שלהם, Bash עדיין משמש לפונקציונליות מערכת מסוימת. כתוצאה מכך, מומלץ מאוד לעדכן אותו. לשם כך, הקלד:

עדכון sudo מתאים לקבל. sudo מתאים לקבל שדרוג

על פדורה וגרסאות Red Hat אחרות, הקלד:

עדכון סודו יאם

אפל עדיין לא מפרסמת תיקון אבטחה לכך, אם כי אם כן, הם ישחררו דרך חנות האפליקציות. ודא שאתה בודק באופן קבוע עדכוני אבטחה.

עדכון פגז

מחשבי Chromebook - המשתמשים בלינוקס כבסיס, ויכולים תנהלו את רוב המחוזות ללא הרבה מהומה כיצד להתקין לינוקס ב- Chromebookהאם אתה זקוק לסקייפ ב- Chromebook? האם אתה מתגעגע לכך שאין לך גישה למשחקים דרך Steam? האם אתה מחפש להשתמש בנגן המדיה VLC? ואז התחל להשתמש ב- Linux ב- Chromebook. קרא עוד - השתמש באש לפונקציות מערכת מסוימות ו- Dash כקונכייה העיקרית שלהם. על גוגל לעדכן בעונה הקרובה.

מה לעשות אם ההפרעה שלך עדיין לא קיבלה bash

אם ההפצה שלך עדיין לא תשחרר תיקון עבור Bash, אולי תרצה לשקול לשנות הפצות, או להתקין מעטפת אחרת.

אני ממליץ לבדוק למתחילים קליפת דגים. זה מגיע עם מספר תכונות שאינן זמינות כרגע בבאש והופכות את זה לנעים עוד יותר לעבוד עם לינוקס. אלה כוללים התייחסות אוטומטית להבחנה, צבעי VGA תוססים והיכולת לקבוע את התצורה מממשק אינטרנט.

עמית MakeUseOf מחבר אנדרו בולסטר ממליצה גם לבדוק zSH, שמגיע עם שילוב הדוק עם מערכת בקרת גרסאות Git, כמו גם השלמה אוטומטית.

@matthewhughes zsh, מכיוון שהשלמה אוטומטית טובה יותר ושילוב git טוב יותר

- אנדרו בולסטר (@ בולסטר) 25 בספטמבר 2014

הפגיעות של לינוקס הכי מפחידה עדיין?

Shellshock כבר נשק. בתוך יום אחד של הפגיעות לאחר שנחשף בפני העולם, זה כבר שימש בטבע כדי להתפשר על מערכות. באופן מדאיג יותר, לא רק משתמשים ביתיים ועסקים הם פגיעים. מומחי אבטחה חוזים שהבאג יביא לסכנה גם של מערכות צבאיות וממשלתיות. זה כמעט סיוט כמו Heartbleed היה.

פרה קדושה יש הרבה אתרי מיל .גוב .גוב שעומדים להיות בבעלות CVE-2014-6271.

- קן ווייט (@kennwhite) 24 בספטמבר 2014

אז בבקשה. עדכן את המערכות שלך, בסדר? תן לי לדעת איך אתה ממשיך והמחשבות שלך לגבי היצירה הזו. תיבת ההערות נמצאת למטה.

אשראי צילום:זאנקה (IMG_3772.JPG)

מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעיתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה- Macbook Pro ואת המצלמה שלו. תוכלו לקרוא את הבלוג שלו בכתובת http://www.matthewhughes.co.uk ותעקוב אחריו בטוויטר ב- @ matthewhughes.