Serwery i technologie IT
ShellShock - luka bezpieczeństwa w powłoce Bash
Dodano: 27 Września 2014
Bash Bug czyli (nie)sławna już luka bezpieczeństwa w powłoce Bash otrzymała nazwę ShellShock (CVE-2014-6271). W internecie zawrzało, niemal jak po (nie)sławnej luce w OpenSSL - Heartbleed.
The Guardian [3] niemal krzyczy, że jest ShellShock to większe zagrożenie niż HeartBleed. ShellShock określono jako "niska złożoność" oraz "wysoka dotkliwość" - tłumacząc na nasze, co w oryginale brzmi zdecydowanie lepiej: high severity, low complexity. Czyli ogólnie ujmując - wysokie zagrożenie dla niezałatanych systemów, do których może ruszyć horda script-kiddies. Poprawki powłoki Bash pojawiają się. Choć pierwsza poprawka nie była całkowitym rozwiązaniem - nie usuwała luki, choć minimalizowała zagrożenie [4].
The Guardian [3] niemal krzyczy, że jest ShellShock to większe zagrożenie niż HeartBleed. ShellShock określono jako "niska złożoność" oraz "wysoka dotkliwość" - tłumacząc na nasze, co w oryginale brzmi zdecydowanie lepiej: high severity, low complexity. Czyli ogólnie ujmując - wysokie zagrożenie dla niezałatanych systemów, do których może ruszyć horda script-kiddies. Poprawki powłoki Bash pojawiają się. Choć pierwsza poprawka nie była całkowitym rozwiązaniem - nie usuwała luki, choć minimalizowała zagrożenie [4].
Przy okazji zaktualizowana została aplikacja sysdig - dodano chisel shellshock_detect i od wersji 0.1.89 dostępnej od 25 września na GitHubie[2] można wywoływać komendę "sysdig -c shellshock_detect", która wykrywa shellshock injections. Na chwilę obecną w repozytoriach Ubuntu niestety jest wersja dwa oczka niżej, czyli: 0.1.87 (sprawdzane na 14.04 LTS).
Dlaczego ShellShock jest postrzegany jako tak bardzo niebezpieczny? Sysadmini poradzą sobie z serwerami i systemami, które mają pod opieką. Ale Linux zadomowił się w wielu urzadzeniach, takich jak przełączniki sieciowe (switche), rutery, drukarki, serwery NAS no i modne bardzo ostatnio urządzenia Internetu Rzeczy. W większości nie ma Basha, tylko jest jakaś lżejsza powłoka. Ale w paru zapewne znajdzie się Bash...
Raczej nie ma się co spodziewać apokalipsy... Ale załatać serwer warto :)
* * *
Dla zainteresowanych - trochę technikaliów znajdziecie na blogu lcamtufa:
http://lcamtuf.blogspot.com/2014/09/quick-notes-about-bash-bug-its-impact.html
[2] Sysdig
https://github.com/draios/sysdig/releases
[3] The Guardian: "Bash software bug could be bigger threat than Heartbleed, experts warn"
http://www.theguardian.com/technology/2014/sep/25/bug-bash-soft...
[4] ZDnet:
http://www.zdnet.com/shellshock-better-bash-patches-now-available-7000034115/
Dlaczego ShellShock jest postrzegany jako tak bardzo niebezpieczny? Sysadmini poradzą sobie z serwerami i systemami, które mają pod opieką. Ale Linux zadomowił się w wielu urzadzeniach, takich jak przełączniki sieciowe (switche), rutery, drukarki, serwery NAS no i modne bardzo ostatnio urządzenia Internetu Rzeczy. W większości nie ma Basha, tylko jest jakaś lżejsza powłoka. Ale w paru zapewne znajdzie się Bash...
Raczej nie ma się co spodziewać apokalipsy... Ale załatać serwer warto :)
* * *
Dla zainteresowanych - trochę technikaliów znajdziecie na blogu lcamtufa:
http://lcamtuf.blogspot.com/2014/09/quick-notes-about-bash-bug-its-impact.html
[2] Sysdig
https://github.com/draios/sysdig/releases
[3] The Guardian: "Bash software bug could be bigger threat than Heartbleed, experts warn"
http://www.theguardian.com/technology/2014/sep/25/bug-bash-soft...
[4] ZDnet:
http://www.zdnet.com/shellshock-better-bash-patches-now-available-7000034115/
©2023 PowerServer | Mapa witryny | Aktualności | PowerComputer |
Google+
|
Facebook
Wszystkie nazwy produktów, producentów i ich technologii oraz logotypy są znakami towarowymi lub zastrzeżonymi znakami towarowymi ich prawnych właścicieli
i zostały użyte jedynie w celach informacyjnych.
Znalazłeś błąd w działaniu strony? Napisz do nas
Wszystkie nazwy produktów, producentów i ich technologii oraz logotypy są znakami towarowymi lub zastrzeżonymi znakami towarowymi ich prawnych właścicieli
i zostały użyte jedynie w celach informacyjnych.