Annuncio pubblicitario

UN grave problema di sicurezza con la shell Bash - un componente importante della maggior parte dei sistemi operativi simili a UNIX - è stato scoperto, con implicazioni significative per la sicurezza dei computer in tutto il mondo.

Il problema è presente in tutte le versioni del linguaggio di scripting Bash fino alla versione 4.3, che ha effetto sulla maggior parte delle macchine Linux e su tutti i computer che eseguono OS X. e può vedere un utente malintenzionato che sfrutta questo problema per avviare il proprio codice.

Sei curioso di sapere come funziona e come proteggerti? Continua a leggere per ulteriori informazioni.

Cos'è Bash?

Bash (acronimo di Bourne Again Shell) è l'interprete della riga di comando predefinito utilizzato sulla maggior parte delle distribuzioni Linux e BSD, oltre a OS X. Viene utilizzato come metodo per avviare programmi, utilizzare le utilità di sistema e interagire con il sistema operativo sottostante avviando comandi.

Inoltre, Bash (e la maggior parte delle shell Unix) consente lo scripting delle funzioni UNIX in piccoli script. Analogamente alla maggior parte dei linguaggi di programmazione - come Python, JavaScript

instagram viewer
e CoffeeScript CoffeeScript è JavaScript senza mal di testaNon mi è mai piaciuto scrivere JavaScript così tanto. Dal giorno in cui ho scritto la mia prima riga usando, ho sempre risentito del fatto che qualunque cosa scrivo finisca sempre per sembrare un Jackson ... Leggi di più - Bash supporta funzionalità comuni con la maggior parte dei linguaggi di programmazione, come funzioni, variabili e ambito.

Shellshock-bash

Bash è quasi onnipresente, con molte persone che usano il termine "Bash" per fare riferimento a tutte le interfacce della riga di comando, indipendentemente dal fatto che stiano effettivamente utilizzando la shell Bash. E se hai mai installato WordPress o Ghost tramite la riga di comando Registrato per l'hosting Web solo SSH? Non preoccuparti: installa facilmente qualsiasi software WebNon conosci la prima cosa sull'uso di Linux attraverso la sua potente riga di comando? Non preoccuparti più. Leggi di più , o tunnel il tuo traffico web attraverso SSH Come tunnelizzare il traffico Web con SSH Secure Shell Leggi di più , hai probabilmente usato Bash.

È ovunque. Il che rende questa vulnerabilità ancora più preoccupante.

Dissezione dell'attacco

La vulnerabilità - scoperta dal ricercatore di sicurezza francese Stéphane Chazleas - ha suscitato grande panico negli utenti Linux e Mac in tutto il mondo, oltre ad aver attirato l'attenzione della stampa tecnologica. E anche per una buona ragione, poiché Shellshock potrebbe potenzialmente vedere gli aggressori ottenere l'accesso a sistemi privilegiati ed eseguire il proprio codice dannoso. È brutto.

Ma come funziona? Al livello più basso possibile, sfrutta come variabili ambientali lavoro. Questi sono usati sia da sistemi simili a UNIX e Windows Cosa sono le variabili d'ambiente e come posso usarle? [Finestre]Ogni tanto imparerò un piccolo suggerimento che mi fa pensare "bene, se lo sapessi un anno fa, mi avrebbe risparmiato ore di tempo". Ricordo vividamente di aver imparato a ... Leggi di più per memorizzare i valori richiesti per il corretto funzionamento del computer. Questi sono disponibili a livello globale in tutto il sistema e possono memorizzare un singolo valore, ad esempio la posizione di una cartella o un numero, oppure una funzione.

SHELLSHOCK-ENV-vars

Le funzioni sono un concetto che si trova nello sviluppo del software. Ma cosa fanno? In poche parole, raggruppano un insieme di istruzioni (rappresentate da righe di codice), che possono essere successivamente eseguite da un altro programma o da un utente.

Il problema con l'interprete Bash risiede nel modo in cui gestisce le funzioni di memorizzazione come variabili di ambiente. In Bash, il codice trovato nelle funzioni è memorizzato tra una coppia di parentesi graffe. Tuttavia, se un attaccante lascia un codice Bash al di fuori della parentesi graffa, verrà eseguito dal sistema. Questo lascia il sistema completamente aperto per una famiglia di attacchi noti come attacchi di code-injection.

I ricercatori hanno già trovato potenziali vettori di attacco sfruttando il modo in cui software come Web server Apache Come configurare un server Web Apache in 3 semplici passaggiQualunque sia la ragione, ad un certo punto potresti voler avviare un server web. Se vuoi concederti l'accesso remoto a determinate pagine o servizi, vuoi ottenere una community ... Leggi di più e comune Utilità UNIX come WGET Conoscere Wget e apprendere alcuni trucchi per il download accuratiA volte non è sufficiente salvare un sito Web localmente dal tuo browser. A volte hai bisogno di un po 'più di potenza. Per questo, c'è un piccolo strumento da riga di comando noto come Wget. Wget è ... Leggi di più interagire con la shell e utilizzare le variabili di ambiente.

Quel bug bash è male ( https://t.co/60kPlziiVv ) Ottieni una shell inversa su un sito Web vulnerabile http://t.co/7JDCvZVU3S di @ortegaalfredo

- Chris Williams (@diodesign) 24 settembre 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24 settembre 2014

Come lo provi?

Curioso di vedere se il tuo sistema è vulnerabile? Scoprirlo è facile. Basta aprire un terminale e digitare:

env x = '() {:;}; echo vulnerabile 'bash -c "echo questo è un test”

Se il tuo sistema è vulnerabile, genererà:

vulnerabile questo è un test

Mentre un sistema non interessato produrrà:

env x = '() {:;}; echo vulnerabile 'bash -c "echo questo è un test" bash: avviso: x: ignora tentativo di definizione della funzione bash: errore durante l'importazione della definizione della funzione per `x' questo è un test

Come lo risolvi?

Al momento della pubblicazione, il bug - che è stato scoperto il 24 settembre 2014 - avrebbe dovuto essere corretto e corretto. Devi semplicemente aggiornare il tuo sistema. Mentre le varianti di Ubuntu e Ubuntu usano Dash come shell principale, Bash è ancora usato per alcune funzionalità del sistema. Di conseguenza, ti consigliamo di aggiornarlo. Per farlo, digita:

sudo apt-get update. sudo apt-get upgrade

Su Fedora e altre varianti di Red Hat, digitare:

aggiornamento sudo yum

Apple non ha ancora rilasciato una correzione di sicurezza per questo, anche se in tal caso lo rilascerà tramite l'app store. Assicurati di controllare regolarmente gli aggiornamenti di sicurezza.

Shellshock-update

Chromebook - che usano Linux come base e possono farlo eseguire la maggior parte delle distro senza troppe storie Come installare Linux su un ChromebookHai bisogno di Skype sul tuo Chromebook? Ti manca non avere accesso ai giochi tramite Steam? Stai cercando di usare VLC Media Player? Quindi inizia a utilizzare Linux sul tuo Chromebook. Leggi di più - usa Bash per alcune funzioni di sistema e Dash come shell principale. Google dovrebbe aggiornarsi a tempo debito.

Cosa fare se il tuo Distro non ha ancora corretto Bash

Se la tua distribuzione non ha ancora rilasciato una correzione per Bash, potresti voler considerare di cambiare le distribuzioni o installare una shell diversa.

Consiglio ai principianti di dare un'occhiata Guscio Di Pesce. Questo viene fornito con una serie di funzioni che non sono attualmente disponibili in Bash e rendono ancora più piacevole lavorare con Linux. Questi includono suggerimenti automatici, colori vibranti VGA e la possibilità di configurarlo da un'interfaccia web.

Fellow MakeUseOf dell'autore Andrew Bolster ti consiglia anche di controllare zsh, che viene fornito con una stretta integrazione con il sistema di controllo della versione Git, nonché con il completamento automatico.

@matthewhughes zsh, perché una migliore integrazione con completamento automatico e git

- Andrew Bolster (@Bolster) 25 settembre 2014

La vulnerabilità di Linux più spaventosa di sempre?

Shellshock è già stato armato. Entro un giorno della vulnerabilità essendo stato divulgato al mondo, era già stato utilizzato in natura per compromettere i sistemi. Ancora più preoccupante, non sono solo gli utenti domestici e le aziende a essere vulnerabili. Gli esperti di sicurezza prevedono che il bug lascerà a rischio anche i sistemi militari e governativi. È quasi da incubo come Heartbleed.

Vacca santa ci sono molti siti .mil e .gov che diventeranno di proprietà di CVE-2014-6271.

- Kenn White (@kennwhite) 24 settembre 2014

Quindi per favore. Aggiorna i tuoi sistemi, ok? Fammi sapere come vai avanti e i tuoi pensieri su questo pezzo. La casella dei commenti è sotto.

Diritti d'autore della foto:zanaca (IMG_3772.JPG)

Matthew Hughes è uno sviluppatore e scrittore di software di Liverpool, in Inghilterra. Raramente si trova senza una tazza di caffè nero forte in mano e adora assolutamente il suo Macbook Pro e la sua macchina fotografica. Puoi leggere il suo blog all'indirizzo http://www.matthewhughes.co.uk e seguilo su Twitter su @matthewhughes.