Propaganda

UMA grave problema de segurança com o shell Bash - um componente importante dos sistemas operacionais UNIX - foi descoberto, com implicações significativas para a segurança de computadores em todo o mundo.

O problema está presente em todas as versões da linguagem de script Bash até a versão 4.3, que afeta a maioria das máquinas Linux e a totalidade dos computadores executando o OS X. e pode ver um invasor explorando esse problema para lançar seu próprio código.

Curioso para saber como funciona e como se proteger? Continue lendo para obter mais informações.

O que é o Bash?

Bash (sigla para Bourne Again Shell) é o interpretador de linha de comando padrão usado na maioria das distribuições Linux e BSD, além do OS X. É usado como um método de iniciar programas, usando utilitários do sistema e interagindo com o sistema operacional subjacente, iniciando comandos.

Além disso, o Bash (e a maioria dos shells do Unix) permite o script de funções do UNIX em pequenos scripts. Da mesma forma que a maioria das linguagens de programação - como Python, JavaScript

instagram viewer
e CoffeeScript CoffeeScript é JavaScript sem dores de cabeçaEu realmente nunca gostei muito de escrever JavaScript. Desde o dia em que escrevi minha primeira linha usando-a, sempre me ressenti que tudo o que escrevo sempre parece um Jackson ... consulte Mais informação - O Bash suporta recursos comuns à maioria das linguagens de programação, como funções, variáveis ​​e escopo.

shellshock-bash

O Bash é quase onipresente, com muitas pessoas usando o termo 'Bash' para se referir a todas as interfaces de linha de comando, independentemente de estarem realmente usando o shell Bash. E se você já instalou o WordPress ou o Ghost através da linha de comando Inscreveu-se na hospedagem na Web somente SSH? Não se preocupe - instale facilmente qualquer software da WebVocê não sabe a primeira coisa sobre a operação do Linux por meio de sua poderosa linha de comando? Não se preocupe mais. consulte Mais informação ou encapsulou seu tráfego da web através do SSH Como canalizar o tráfego da Web com o shell seguro SSH consulte Mais informação , você provavelmente usou o Bash.

Está em toda parte. O que torna essa vulnerabilidade ainda mais preocupante.

Dissecando o ataque

A vulnerabilidade - descoberta pelo pesquisador de segurança francês Stéphane Chazleas - causou grande pânico nos usuários de Linux e Mac em todo o mundo, além de atrair atenção na imprensa de tecnologia. E por uma boa razão também, pois o Shellshock podia ver os invasores tendo acesso a sistemas privilegiados e executando seu próprio código malicioso. É desagradável.

Mas como isso funciona? No nível mais baixo possível, explora como variáveis ​​ambientais trabalhos. Eles são usados ​​pelos sistemas semelhantes ao UNIX e Windows O que são variáveis ​​de ambiente e como posso usá-las? [Janelas]De vez em quando, aprendo uma pequena dica que me faz pensar "bem, se eu soubesse disso há um ano, isso me salvaria horas". Lembro-me vividamente de aprender a ... consulte Mais informação para armazenar valores necessários para o computador funcionar corretamente. Estão disponíveis globalmente em todo o sistema e podem armazenar um único valor - como o local de uma pasta ou um número - ou uma função.

shellshock-env-vars

Funções são um conceito encontrado no desenvolvimento de software. Mas o que eles fazem? Simplificando, eles agrupam um conjunto de instruções (representadas por linhas de código), que podem ser executadas posteriormente por outro programa ou usuário.

O problema com o intérprete Bash reside em como ele lida com o armazenamento de funções como variáveis ​​de ambiente. No Bash, o código encontrado nas funções é armazenado entre um par de chaves. No entanto, se um invasor deixar algum código Bash fora da chave, ele será executado pelo sistema. Isso deixa o sistema totalmente aberto para uma família de ataques conhecidos como ataques de injeção de código.

Os pesquisadores já descobriram possíveis vetores de ataque explorando como softwares como o Servidor web Apache Como configurar um servidor Web Apache em 3 etapas fáceisQualquer que seja o motivo, você pode, em algum momento, querer instalar um servidor da web. Se você deseja ter acesso remoto a determinadas páginas ou serviços, deseja obter uma comunidade ... consulte Mais informação e comum Utilitários UNIX, como WGET Dominar o Wget e aprender alguns truques de downloadÀs vezes, não basta salvar um site localmente no seu navegador. Às vezes você precisa de um pouco mais de energia. Para isso, há uma pequena ferramenta de linha de comando conhecida como Wget. Wget é ... consulte Mais informação interaja com o shell e use variáveis ​​de ambiente.

Esse bug do bash é ruim ( https://t.co/60kPlziiVv ) Obtenha um shell reverso em um site vulnerável http://t.co/7JDCvZVU3S de @ortegaalfredo

- Chris Williams (@diodesign) 24 de setembro de 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24 de setembro de 2014

Como você faz o teste?

Curioso para ver se seu sistema está vulnerável? Descobrir é fácil. Basta abrir um terminal e digite:

env x = '() {:;}; ech vulnerável 'bash -c "echo isso é um teste”

Se o seu sistema estiver vulnerável, ele produzirá:

vulnerável este é um teste

Enquanto um sistema não afetado produzirá:

env x = '() {:;}; echo vulnerável 'bash -c "echo este é um teste" bash: aviso: x: ignorando a definição da função tentativa bash: erro ao importar a definição da função para `x' este é um teste

Como você conserta isso?

No momento da publicação, o bug - que foi descoberto em 24 de setembro de 2014 - deveria ter sido corrigido e corrigido. Você simplesmente precisa atualizar seu sistema. Embora as variantes do Ubuntu e do Ubuntu usem o Dash como seu shell principal, o Bash ainda é usado para algumas funcionalidades do sistema. Como resultado, é aconselhável atualizá-lo. Para fazer isso, digite:

sudo apt-get update. sudo apt-get upgrade

No Fedora e em outras variantes do Red Hat, digite:

atualização sudo yum

A Apple ainda não lançou uma correção de segurança para isso, embora, se o fizer, a lançará através da loja de aplicativos. Verifique regularmente se há atualizações de segurança.

atualização do shellshock

Chromebooks - que usam o Linux como base e podem executar a maioria das distros sem muito barulho Como instalar o Linux em um ChromebookVocê precisa do Skype no seu Chromebook? Você sente falta de não ter acesso aos jogos pelo Steam? Você está ansioso para usar o VLC Media Player? Então comece a usar o Linux no seu Chromebook. consulte Mais informação - use o Bash para determinadas funções do sistema e o Dash como shell principal. O Google deve atualizar na época apropriada.

O que fazer se sua distribuição ainda não tiver resolvido o problema

Se sua distribuição ainda não tiver lançado uma correção para o Bash, convém alterar as distribuições ou instalar um shell diferente.

Eu recomendo que iniciantes saiam Shell de peixe. Isso vem com vários recursos que não estão disponíveis no Bash no momento e tornam ainda mais agradável trabalhar com o Linux. Isso inclui sugestões automáticas, cores vibrantes VGA e a capacidade de configurá-lo a partir de uma interface da web.

Autor MakeUseOf companheiro Andrew Bolster também recomenda que você confira zSH, que vem com forte integração com o sistema de controle de versão Git, além de preenchimento automático.

@matthewhughes zsh, porque melhor integração com preenchimento automático e git

- Andrew Bolster (@Bolster) 25 de setembro de 2014

A vulnerabilidade mais assustadora do Linux ainda?

Shellshock já foi armado. Dentro um dia de vulnerabilidade sendo divulgado ao mundo, ele já havia sido usado na natureza para comprometer sistemas. O mais preocupante é que não são apenas usuários domésticos e empresas vulneráveis. Especialistas em segurança estão prevendo que o bug também deixará sistemas militares e governamentais em risco. É quase tão assustador quanto o Heartbleed.

Caramba, existem muitos sites .mil e .gov que serão de propriedade do CVE-2014-6271.

- Kenn White (@kennwhite) 24 de setembro de 2014

Então por favor. Atualize seus sistemas, ok? Deixe-me saber como você se sai e seus pensamentos sobre esta peça. A caixa de comentários está abaixo.

Crédito da foto:zanaca (IMG_3772.JPG)

Matthew Hughes é desenvolvedor e escritor de software de Liverpool, Inglaterra. Ele raramente é encontrado sem uma xícara de café preto forte na mão e adora absolutamente o Macbook Pro e a câmera. Você pode ler o blog dele em http://www.matthewhughes.co.uk e siga-o no twitter em @matthewhughes.