Alvorlig sikkerhedsfejl i Bash rammer i omegnen af 500 mill computere / servere
For nogle måneder sider ramte fejlen heartbleed openSLL og gav store sikkerhedsproblemer for mange *nix baserede servere.
Nu er så en anden og formodentlig langt alvorligere fejl kommet for dagens lys, den såkaldte Shellshock vulnerability der rammer Bash helt tilbage fra version 1.14 og indtil version 4.3.
Fejlen er alvorligere dels fordi den giver mulighed for på en temmelig let måde at udføre vilkårlig kode på de sårbare maskiner, hvor Heartbleed "blot" gjorde det muligt at fiske fx kodeord frem (hvis man var heldig); og dels fordi i princippet alt fra store servere, til hjemme-pc'ere med Mac og Linux og til routere og internetforbundne elpærer er i fare. Mange enheder kører jo Linux, og det er ikke ualmindeligt at der følger en verison af Bash med som bruges af udviklerne. Hvad værre er, mange af den slags enheder, fx mange routere, kan ikke firmwareopdateres og derfor slet ikke fixes.
Sårbarheden går ud på at smide noget kode i en miljøvariablel (environment variable) som Bash så vil udføre efter at have udført en anden og ganske harmløs kommando. Og denne miljøvariabel kan fx sættes i en HTTP request til Apache som så sender kommandoen videre til Bash. På samme måde kan der sendes kommandoer til serveren via malformede FTP-request mv.
Hvis en af disse kommandoer giver outputtet "Busted" er man i princippet i fare:
Det er dog ikke sikkert at Apache er sat op så den sender det ondsindede indhold videre. Dette kan man teste med dette værktøj: http://milankragujevic.com/projects/shellshock/
Jeg har prøvet på nogle servere (fx min Raspberry Pi) med en sårbar Bash, og disse var ikke sårbare via HTTP.
Dette er en yderst alvorlig fejl som vi skal følge nøje de kommende dage og uger.
Kilde: Troyhunt og diverse googlerier
EDIT: Her er et grundigere værktøj: https://shellshock.detectify.com/
Nu er så en anden og formodentlig langt alvorligere fejl kommet for dagens lys, den såkaldte Shellshock vulnerability der rammer Bash helt tilbage fra version 1.14 og indtil version 4.3.
Fejlen er alvorligere dels fordi den giver mulighed for på en temmelig let måde at udføre vilkårlig kode på de sårbare maskiner, hvor Heartbleed "blot" gjorde det muligt at fiske fx kodeord frem (hvis man var heldig); og dels fordi i princippet alt fra store servere, til hjemme-pc'ere med Mac og Linux og til routere og internetforbundne elpærer er i fare. Mange enheder kører jo Linux, og det er ikke ualmindeligt at der følger en verison af Bash med som bruges af udviklerne. Hvad værre er, mange af den slags enheder, fx mange routere, kan ikke firmwareopdateres og derfor slet ikke fixes.
Sårbarheden går ud på at smide noget kode i en miljøvariablel (environment variable) som Bash så vil udføre efter at have udført en anden og ganske harmløs kommando. Og denne miljøvariabel kan fx sættes i en HTTP request til Apache som så sender kommandoen videre til Bash. På samme måde kan der sendes kommandoer til serveren via malformede FTP-request mv.
Hvis en af disse kommandoer giver outputtet "Busted" er man i princippet i fare:
env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
env X="() { :;} ; echo busted" `which bash` -c "echo completed"Det er dog ikke sikkert at Apache er sat op så den sender det ondsindede indhold videre. Dette kan man teste med dette værktøj: http://milankragujevic.com/projects/shellshock/
Jeg har prøvet på nogle servere (fx min Raspberry Pi) med en sårbar Bash, og disse var ikke sårbare via HTTP.
Dette er en yderst alvorlig fejl som vi skal følge nøje de kommende dage og uger.
Kilde: Troyhunt og diverse googlerier
EDIT: Her er et grundigere værktøj: https://shellshock.detectify.com/
Kommentarer17
Jeg modtog en rettelse i min
Jeg har også lavet en
I øvrigt undrer det mig at der i changeloggen kun stod "medium" om fejlens betydning!
En fyr på denne blog har lavet scanningsværktøjet massscan som han har benyttet til at scanne internettet for udbredelsen af sårbarheden. Han påstår at hans værktøj kan scanne hele internettet på 6 minutter, det synes jeg lyder urealistisk! Men jeg tjekkede et par af mine produktionsservere, og ganske rigtigt har han været forbi der også. Søg efter hans IP 209.126.230.72 i access-loggen for at se om han har været der.
I øvrigt undrer det mig
I øvrigt undrer det mig at der i changeloggen kun stod "medium" om fejlens betydning!
Clement Lefebvre og co. kan godt være lidt uklare mht. sikkerhed efter min mening. :-)
kan scanne hele internettet på 6 minutter
massscan må bruge en særlig matematisk algoritme. Gad godt kende den formel. Hvis Einstein eller Bohr, eller for den sags skyld Dennis Ritchie R.I.P., eller Mr. Torvalds, ville falde ned ad stolen af den, hvad så med en matematisk, talblind fyr som jeg? :-D
Hver opmærksom på at den
https://access.redhat.com/node/1200223
http://www.theregister.co.uk/2014/09/25/shellshock_bash_worm_type_fears/
Jeg ved nu ikke om den er værre en heartbleed. Denne kræver at man benytter sig af miljø variabler, feks i cgi's eller som
nævnt apache. Jeg ved dog ikke om det kan udnyttes nogen form for "indgang" uden CGI.
Hvis en af disse
Hos mig giver begge outputtet
/bin/sh: warning: X: ignoring function definition attempt
/bin/sh: error importing function definition for `X'
completed
GNU bash, version 4.2.48(2)-release (x86_64-mageia-linux-gnu)
Hos mig giver begge
Så er din Bash allerede opdateret!
Jeg ved nu ikke om den
Den er værre fordi den tillader at eksekvere vilkår kode på ramte servere. Heartbleed gjorde det muligt at fiske stumper af rammen frem, heriblandt kodeord, men det var tilfældigt hvad man fik ud af Heartbleed. Man kunne ikke bare sige "Stik mig alle kodeordene". Selvfølgelig er det alvorligt at der kan lækkes kodeord, men jeg mener det andet er mere grelt.
Update af bash på gammel installation
Du må derfor selv patche bash, hvilket nedenstående script kan gøre. Det kan nemt modificeres til din version af bash.
#!/bin/sh
# prerequisites
sudo apt-get install bison
# get bash 3.2 source
mkdir src && cd src
wget http://ftp.gnu.org/gnu/bash/bash-3.2.tar.gz
tar zxvf bash-3.2.tar.gz
cd bash-3.2
# get the gpg keyring for verification
wget -nv ftp://ftp.gnu.org/gnu/gnu-keyring.gpg
# download and apply all patches, including the latest one that patches CVE-2014-6271
for i in $(seq -f "%03g" 1 52); do
wget -nv https://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-$i
wget -nv https://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-$i.sig
if gpg --verify --keyring ./gnu-keyring.gpg bash32-$i.sig; then
patch -p0 < bash32-$i
else
echo "patch bash32-${i} has a bad signature!"
exit 1
fi
done
# compile and install to /usr/local/bin/bash
./configure && make
make install
# point /bin/bash to the new binary
mv /bin/bash /bin/bash.old
ln -s /usr/local/bin/bash /bin/bash
# test by comparing the output of the following
env x='() { :;}; echo vulnerable' /bin/bash.old -c echo
env x='() { :;}; echo vulnerable' bash -c echo
#7. Problemet med heartbleed
Der er nu kommet en patch til den incomplete patch, her i går. Patch igen. :)
Hvis man som mig sidder
Du må derfor selv patche bash, hvilket nedenstående script kan gøre. Det kan nemt modificeres til din version af bash.
Tak, jeg har samme problem med en Lenny server!
#9: Der er nu kommet en patch til den incomplete patch, her i går. Patch igen. :)
Ja, har lige opdateret.
Virus i Linux?
Ja da, der kan altså også komme virus i Linux!
Selv om det hedder sig, at man til Linux ikke behøver et sikkerhedsfirma, til at passe på computeren!
I det Linux materiale jeg har modtaget, står der at der til dato kun findes 3 kendte Linux vira - og de har oven i købet en meget begrænset skadelig effekt - pga. den måde som Linux er opbygget på!
Det er en af de store glæder man har ved Linux - man slipper for al den slags besvær!
Men altså ikke helt alligevel - vel?
Ja da, der kan altså
Ja da, der kan altså også komme virus i Linux
Der kan/bliver lavet malware til alle platforme. Der er bare ufatteligt lidt eksisterende til Linux og BSD*
Selv om det hedder sig, at man til Linux ikke behøver et sikkerhedsfirma, til at passe på computeren!
Det kan være en god idé, men slet slet ikke så nødvendigt, som i Windows og Mac OS X.
I det Linux materiale jeg har modtaget, står der at der til dato kun findes 3 kendte Linux vira - og de har oven i købet en meget begrænset skadelig effekt - pga. den måde som Linux er opbygget på!
Virus hører under kategorien malware, som består af virus, orme, trojanske heste, rootkits, bagdøre, spyware, adware, ransomware og exploits.
Der findes meget lidt malware til Linux/Unix generelt. Det meste foregår enten ved hjælp af social engineering, som vil sige, at snyde brugeren til, at installere truslen, eller ved, at udnytte sårbarheder i systemerne, som brugeren(ne) ikke har opdateret. I Linux foregår opdatering meget nemt og sikkert og lige så snart, der er en sårbarhed, vil der ikke gå længe, før der kommer en rettelse, der retter sårbarheden. Så længe du huske at holde systemet opdateret, og bruger din sunde fornuft på internettet, er du meget sikker i Linux, og chancen for infektion meget meget lille. Især hvis du kun installerer software fra dit lokale software center i din Linux distribution og holder dig fra, at installere software fra browseren, kun besøger legitime sider, og ikke åbner mistænkelig mail.
Det er en af de store glæder man har ved Linux - man slipper for al den slags besvær!
Det er chancen meget større for, at du slipper for i Linux, ja. :-)
Men altså ikke helt alligevel - vel?
Du kan kun være 100% sikker, når du hiver netværkskablet ud af computeren, eller på anden måde afbryder forbindelsen, men jeg synes det er rart, og betryggende, at vide, at du i Linux er meget mere sikker, end du er på næsten nogen anden platform.
Så vær du helt rolig, Poul. :)
Min wheezy var vist også ramt
joe@pc:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
completed
joe@pc:~$ env X="() { :;} ; echo busted" `which bash` -c "echo completed"
busted
completed
joe@pc:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
completed
joe@pc:~$ env X="() { :;} ; echo busted" `which bash` -c "echo completed"
completed
joe@pc:~$
Tak for info Marlar med
Linux er nu i orden for mit vedkommende, men til OSX brugerene eksisterer problemt stadig. Man kan også på OSX allerede nu patche bash, men det vil jeg ikke anbefale, på grund at potentiel risiko for, at det knækker noget.
I stedet er det formentlig klogere at vente på en officiel opdatering fra Apple.
Med mindre man bruger en webserver, eller SSL (jeg gør ikke) på OSX, så er risikoen formentlig meget lille.
Ja da, der kan altså
Jo som der nævnes, så eksistere det fejlfri system ikke, men det er ikke et problem som du kender det fra Windows.
Kun en gang har jeg været ude for virus på Linux, og det var en Windows virus på et program der hedder Wine. Wine gør det muligt at køre visse Windows programmer på Linux. Denne virus var ikke i stand til at gøre skade på Linux.
Jeg har en gang oplevet virus på en Mac computer. Det var noget adware, som lidt ligner sådan noget, man altid finder på Windows maskiner. Man regner med at ca 2 millioner vira er aktive på Windows, mens tilsvarende på Linux og Mac kan tælles på en hånd.
Som du kan se af tråden Poul, så findes det ikke noget mere sikkert end Linux. Problemet er løst efter få dage efter opdagelsen af fejlen.
Det er fint information om
Det er noget af det jeg holder rigtig meget af i Linux og noget af det der gør at man med sindsro kan sætte sig ned og sige "jeg bruger Linux bla. fordi det er noget af det mest sikre". Når der opdages noget - for selvfølgelig bliver Linux også ramt af menneskelige fejl ind i mellem - så bliver det lappet PRONTO. ikke noget med måneder og uger det bliver lappet i dag eller i morgen eller også er det allerede blevet lappet inden sårbarheden overhovedet blev offentliggjort. Det kan jeg lide at se. Godt og solidt arbejde, noget de store kunne lære RIGTIG menegt af.
Helt enig i det hele!
Helt enig i det hele!