Video: Your PC is Trash - M1 MacBook Air 2020 (Oktober 2024)
En feil oppdaget i Bash, en mye brukt kommandotolker, utgjør en kritisk sikkerhetsrisiko for Unix og Linux-systemer, sier sikkerhetseksperter. Og at du ikke blir fristet til å avvise problemet som bare å være et serverproblem, må du huske at Mac OS X bruker Bash. Mange eksperter advarer om at det kan være verre enn Heartbleed.
Sårbarheten er til stede i de fleste versjoner av Bash, fra versjon 1.13 til 4.3, ifølge Stephane Chazelas, et Unix- og Linux-nettverks- og telekomadministrator hos Akamai, som først avslørte feilen. Computer Emergency Response Team (CERT) ved Department of Homeland Security advarte i en advarsel om at hvis det blir utnyttet, kan sårbarheten tillate en ekstern hacker å utføre ondsinnet kode på et berørt system. NIST-sårbarhetsdatabasen har vurdert feilen 10 av 10 når det gjelder alvorlighetsgrad.
"Denne sårbarheten er potensielt en veldig stor avtale, " sa Tod Beardsley, ingeniørsjef i Rapid7.
Sårbarheten har å gjøre med hvordan Bash håndterer miljøvariabler. Når du tilordner en funksjon til en variabel, vil alle ekstra koder i definisjonen også bli utført. Så alt en angriper trenger å gjøre er på en eller annen måte å legge en haug kommandoer i den definisjonen - et klassisk angrep med kodeinnsprøytning - og de vil kunne kapre den berørte maskinen eksternt. Chazelas og andre forskere som har sett på feilen, har bekreftet at den lett kan utnyttes hvis koden injiseres i miljøvariabler, for eksempel ForceCommand-funksjonen i OpenSSH sshd, mod_cgi og mod_cgid-modulene i Apache HTTP-server, eller skript som setter miljø for DHCP-klienter.
"Et stort antall programmer på Linux og andre UNIX-systemer bruker Bash til å sette opp miljøvariabler som deretter blir brukt mens du kjører andre programmer, " skrev Jim Reavis, sjef for Cloud Security Alliance, i et blogginnlegg.
Uunngåelig Heartbleed-sammenligning
Tenk på to ting om dette sikkerhetsproblemet: Linux / Unix-servere er mye brukt i datasentre over hele verden så vel som på innebygde på mange enheter; sårbarheten har vært til stede i mange år. Fordi Bash er så utbredt, er sammenligningen med Heartbleed, sårbarheten i OpenSSH som ble oppdaget allerede i april, uunngåelig. Robert Graham fra Errata Security har allerede kalt feilen ShellShock.
Men er det Heartbleed 2? Det er litt vanskelig å si. Det er definitivt et alvorlig problem, fordi det gir angripere tilgang til kommandoskallet, som er den gyldne billetten til å kunne gjøre hva de vil på den maskinen.
La oss tenke i form av størrelse. Apache-webservere driver det store flertallet av nettsteder i verden. Som vi lærte under Heartbleed, er det mange maskiner som ikke er Linux / Unix som bruker OpenSSH og Telnet. Og DHCP er medvirkende til å gjøre det enkelt for oss å hoppe av og på nettverk. Dette betyr at i tillegg til datamaskiner og servere, er det mulig at andre innebygde systemer, for eksempel rutere, også er sårbare for kapring. Errata Securitys Graham - som har utført noen av de mest grundige analysene av feilen så langt - utførte noen skanninger og lett fant noen tusen sårbare servere, men det er litt vanskelig på dette tidspunktet å estimere størrelsen på problemet.
Imidlertid var Heartbleed-feilen til stede bare ved å ha en sårbar versjon av OpenSSL installert. Denne feilen er ikke like grei.
"Det er ikke så 'enkelt' som 'å kjøre Bash, '" sa Beardsley. For at maskinen skal være sårbar for angrep, må det være et program (som Apache) som tar inn brukerinput (som en User-Agent-topptekst) og setter det inn i en miljøvariabel (som CGI-skript gjør), sa han. Moderne nettrammer vil generelt ikke bli berørt, sa han.
Dette kan være grunnen til at Graham sa mens ShellShock er så alvorlig som Heartbleed, "det er lite behov for å skynde seg og fikse denne feilen. De primære serverne dine er sannsynligvis ikke sårbare for denne feilen."
Men før vi lurer på rutere og innebygde enheter (og tingenes internett), må du huske at ikke alle systemer bruker Bash. Ubuntu og andre Debian-avledede systemer kan bruke en annen kommandotolk som heter Dash. Innebygde enheter bruker ofte en som heter BusyBox, som ikke er sårbar, sa Roel Schouwenberg, seniorforsker ved Kaspersky Lab, på Twitter.
Sårbart eller ikke?
Du kan sjekke om du er sårbar ved å kjøre følgende kommandoer (kode gitt av CSA). Åpne et terminalvindu og angi følgende kommando ved $ -prompt:
env x = '() {:;}; ekko sårbar 'bash-c "ekko dette er en test"
Hvis du er sårbar, vil den skrive ut:
sårbar
dette er en test
Hvis du har oppdatert Bash, vil du bare se:
dette er en test
Normalt vil jeg si å gå foran og lappe med en gang, men det viser seg at de tilgjengelige oppdateringene ikke er fullstendige. Det er fremdeles måter å injisere kommandoer via miljøvariabler selv etter å lappe Bash, sa Red Hat i morges. Hvis du bare har en håndfull maskiner, kan det være verdt å gå videre og bruke de tilgjengelige lappene, men hvis du har tusenvis av maskiner å lappe, er det kanskje verdt å vente noen timer til. Alle oppstrøms Linux-distribusjoner (og forhåpentligvis Apple!) Jobber med en løsning akkurat nå.
"Husk at selv om du aldri har hørt om Bash før, eller ikke kjører det, kan det hende du har programvare som kjører på datamaskinen din som gyter Bash-prosesser, " sa den uavhengige sikkerhetskonsulenten Graham Cluley.
