O nas Blog Kontakt Ten sklep wykorzystuje pliki cookies
Serwery i technologie IT

Aktualnosci wprost na Twoj e-mail:

ShellShock - luka bezpieczeństwa w powłoce Bash


Dodano: 27 Września 2014
Drukuj: ShellShock - luka bezpieczeństwa w powłoce Bash
Bash Bug czyli (nie)sławna już luka bezpieczeństwa w powłoce Bash otrzymała nazwę ShellShock (CVE-2014-6271). W internecie zawrzało, niemal jak po (nie)sławnej luce w OpenSSL - Heartbleed.

The Guardian [3] niemal krzyczy, że jest ShellShock to większe zagrożenie niż HeartBleed. ShellShock określono jako "niska złożoność" oraz "wysoka dotkliwość" - tłumacząc na nasze, co w oryginale brzmi zdecydowanie lepiej: high severity, low complexity. Czyli ogólnie ujmując - wysokie zagrożenie dla niezałatanych systemów, do których może ruszyć horda script-kiddies. Poprawki powłoki Bash pojawiają się. Choć pierwsza poprawka nie była całkowitym rozwiązaniem - nie usuwała luki, choć minimalizowała zagrożenie [4].


Przy okazji zaktualizowana została aplikacja sysdig - dodano chisel shellshock_detect i od wersji 0.1.89 dostępnej od 25 września na GitHubie[2] można wywoływać komendę "sysdig -c shellshock_detect", która wykrywa shellshock injections. Na chwilę obecną w repozytoriach Ubuntu niestety jest wersja dwa oczka niżej, czyli: 0.1.87 (sprawdzane na 14.04 LTS).

Dlaczego ShellShock jest postrzegany jako tak bardzo niebezpieczny? Sysadmini poradzą sobie z serwerami i systemami, które mają pod opieką. Ale Linux zadomowił się w wielu urzadzeniach, takich jak przełączniki sieciowe (switche), rutery, drukarki, serwery NAS no i modne bardzo ostatnio urządzenia Internetu Rzeczy. W większości nie ma Basha, tylko jest jakaś lżejsza powłoka. Ale w paru zapewne znajdzie się Bash...

Raczej nie ma się co spodziewać apokalipsy... Ale załatać serwer warto :)

* * *

Dla zainteresowanych - trochę technikaliów znajdziecie na blogu lcamtufa:
http://lcamtuf.blogspot.com/2014/09/quick-notes-about-bash-bug-its-impact.html

[2] Sysdig
https://github.com/draios/sysdig/releases

[3] The Guardian: "Bash software bug could be bigger threat than Heartbleed, experts warn"
http://www.theguardian.com/technology/2014/sep/25/bug-bash-soft...

[4] ZDnet:
http://www.zdnet.com/shellshock-better-bash-patches-now-available-7000034115/
« poprzednie   |   następne »
©2015 PowerServer  |   Mapa witryny  |   Aktualności  |   PowerComputer  |   Google+   |   Facebook
Znalazłeś błąd w działaniu strony? Napisz do nas


logotypy


Wszystkie nazwy produktów, producentów i ich technologii oraz logotypy są znakami towarowymi lub zastrzeżonymi znakami towarowymi ich prawnych właścicieli
i zostały użyte jedynie w celach informacyjnych.