Регистрация | Последние сообщения | Персональный список | Поиск | Настройка конференции | Личные данные | Правила конференции | Список участников | Top 64 | Статистика раздела | faq | Что нового v.2.3 | Чат
Skunk Forum - Техника, Наука, Общество » Коммуникации и сетевые технологии »
Уязвимость ShellShock (CVE-2014-6271) опаснее, чем Heartbleed

Версия для печати (настроить)

Новая тема | Написать ответ

Подписаться

Автор Тема:   Уязвимость ShellShock (CVE-2014-6271) опаснее, чем Heartbleed
bf
skunk MadeMan

Сообщений: 2471
Откуда: RU
Регистрация: Август 2006

написано 25 Сентября 2014 15:01ИнфоПравкаОтветитьIP

Специалисты считают, что уязвимость в bash не уступает по своему масштабу и возможным последствиям печально известному багу Heartbleed в OpenSSL. Возможно, даже превосходит его.

И дело не только в том, что уязвимость присутствовала в bash около 22 лет. И не в том, что оперативно выпущенные апдейты не исправляют её. Главная проблема в том, насколько широко распространённым является этот баг и насколько богатые возможности для взлома он предоставляет. Уязвимы не только серверы и персональные компьютеры, но и маршрутизаторы, камеры видеонаблюдения и многие другие устройства. Огромное количество старых устройств так и не получит обновления.

Не будет преувеличением сказать, что в течение ближайших нескольких лет многие компьютеры под Linux и Mac OS всё ещё будут открыты для удалённого выполнения кода. Прошло почти полгода с момента обнаружения Heartbleed, но до сих пор не все системы пропатчены.

Более того, возможно создание сетевого червя, который будет распространяться через CGI-скрипты.

Проверка компьютера на наличие уязвимости CVE-2014-6271 осуществляется, например, такой командой:

код:
 export evil='() { :;}; echo vulnerable'; bash -c echo; 

Проверка скрипта CGI:

код:
 curl -i -X HEAD "http://website" -A '() { :;}; echo "Warning: Server Vulnerable"' 

Кстати, появились свидетельства, что вышедший вчера патч не полностью устраняет проблему.

Уязвимость в bash уже получила персональное имя: ShellShock. Таким образом, она стала второй уязвимостью в истории, удостоенной подобной чести.

© ссылка

Весельчак У
Moderator

Сообщений: 13883
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 26 Сентября 2014 00:41ИнфоПравкаОтветитьIP

bf
Фигня какая-то - кроме сообщений об ошибках эти команды ничего не выдают.

bf
skunk MadeMan

Сообщений: 2473
Откуда: RU
Регистрация: Август 2006

написано 26 Сентября 2014 13:14ИнфоПравкаОтветитьIP

Весельчак У
Фигня какая-то
Бегло протестил на том, до чего дотянулся: D-Link DSR-500 выдаёт странное сообщение "None" (а не "неверный пароль") при вводе
код:
 export evil='() { :;}; echo vulnerable'; bash -c echo; 


вместо пароля.
А вот D-Link DIR-300... пускает в админ-панель!
DIR-320 устоял.
А если код... кхм... немного модифицировать?

Добавление от 26 Сентября 2014 22:30:

Upd.: D-Link DIR-300, после обновления прошивки: зависание намертво, помогает только выкл. / вкл. питания.
D-Link DSL-2500 - аналогично.

Весельчак У
Moderator

Сообщений: 13889
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 26 Сентября 2014 23:53ИнфоПравкаОтветитьIP

bf
А как это роутеру скормить?

bf
skunk MadeMan

Сообщений: 2475
Откуда: RU
Регистрация: Август 2006

написано 27 Сентября 2014 09:44ИнфоПравкаОтветитьIP

Весельчак У
А как это роутеру скормить?
цитата:
при вводе
код:
 export evil='() { :;}; echo vulnerable'; bash -c echo; 


вместо пароля.

Заодно выяснил, насколько древними версиями прошивок обладают мои девайсы..

Весельчак У
Moderator

Сообщений: 13894
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 27 Сентября 2014 21:58ИнфоПравкаОтветитьIP

bf
Zyxel Keenetic Ultra в качестве пароля не принял.
Правда не пишет ничего, просто снова выдаёт окно запроса логина и пароля.

skunk
Злобный админ

Сообщений: 9496
Откуда: СССР, город-герой Ленинград
Регистрация: Ноябрь 2000

написано 27 Сентября 2014 22:17ИнфоПравкаОтветитьIP

Весельчак У
Zyxel Keenetic Ultra в качестве пароля не принял
Это новье. А bf у нас уже прославился ненавистником обновлений.

bf
skunk MadeMan

Сообщений: 2477
Откуда: RU
Регистрация: Август 2006

написано 28 Сентября 2014 00:05ИнфоПравкаОтветитьIP

Весельчак У
Правда не пишет ничего, просто снова выдаёт окно запроса логина и пароля
А если просто заведомо неверный пароль задать, что напишет?

skunk
bf у нас уже прославился ненавистником обновлений
Только не с Windows 8.1 - не сыпь мне соль на рану
Лишний раз убедился в справедливости народной мудрости "новое - не всегда лучшее".

skunk
Злобный админ

Сообщений: 9498
Откуда: СССР, город-герой Ленинград
Регистрация: Ноябрь 2000

написано 28 Сентября 2014 01:51ИнфоПравкаОтветитьIP

bf
И даже в этой теме?
Разумный принцип - обновляйся всегда. Я как разработчик железа и низкоуровневый программист очень хорошо это понимаю.

Весельчак У
Moderator

Сообщений: 13897
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 28 Сентября 2014 19:43ИнфоПравкаОтветитьIP

bf
А если просто заведомо неверный пароль задать, что напишет?
То же самое.

skunk
Разумный принцип - обновляйся всегда.
Не каждое обновление одинаково полезно.
На предыдущей работе программисты на NT ставили только нечётные (если не ошибаюсь) сервис-паки.
В KiCAD'е часто приходилось откатываться назад из-за несовместимых с работой глюков.

bf
skunk MadeMan

Сообщений: 2479
Откуда: RU
Регистрация: Август 2006

написано 29 Сентября 2014 13:07ИнфоПравкаОтветитьIP

skunk
И даже в этой теме?
В данном контексте, как уже было упомянуто , обновление подействовало по принципу "хрен редьки не слаще".

Shellshock — не баг, а фича

цитата:
Есть мнение, что уязвимость в Bash с безусловным исполнением кода, который следует за символами “() {”, —это не баг, а фича. По мнению одного эксперта, данный факт совершенно очевиден. Пусть и плохо реализованная и неправильная, но всё равно ясно видно, что это намеренно внедрённая фича.

Проблема в том, что Bash разработали 25 лет назад. До появления Apache оставалось ещё пять лет. Интернет уже существовал, но это был относительно закрытый клуб для представителей академической науки. Им пользовались учёные и исследователи из разных университетов. В то время безопасность не считалась важным приоритетом при разработке новых программ. И уж тем более при разработке командного процессора Bash.

В контексте оболочки Unix дочерние процессы создаются и работают совершенно обычным и естественным образом. При создании нового дочернего процесса можно использовать переменные окружения, чтобы передать какие-то данные от родительского процесса к дочернему. В случае с Bash требовалась такая опция, чтобы какие-то функции, описанные в родительском процессе, передавались в дочерний. Вполне естественно, что для этого использовали переменные окружения.

Реализация слегка вышла за рамки спецификаций в том смысле, что Bash исполняет любую команду после определения функции, переданной в переменной окружения. Обычно там не должно быть никакого кода. Но в контексте программы Bash, если пользователь добавляет команды в эти переменные окружения, это можно считать фичей. В любом случае, дочерний процесс исполняется с правами того, кто установил переменные окружения, так что здесь не предвиделось проблем с безопасностью.

Настоящая проблема заключается в том, что через пять лет после создания Bash появились приложения вроде apache, dhcp и др., которые могут использовать Bash в дочерних процессах и в то же время используют переменные окружения для передачи данных. К сожалению, эти данные могут также поступать не от доверенного пользователя в локальной системе, а от кого угодно через интернет. И вот здесь недокументированная (и забытая) функция Bash превращается в мега-уязвимость, которая сейчас всем известна под названием Shellshock.

Никто не предполагал, что Apache и другие программы будут обрабатывать переменные окружения от дочерних процессов таким образом. Если и считать это багом, то это баг не Bash, а баг Apache и остальных программ, которые разрешают исполнение кода после символов “() {”.

В принципе, считает эксперт, если бы спецификации для Bash составлялись тщательно и подробно, то эта функция вполне могла войти в спецификации.



bf
skunk MadeMan

Сообщений: 2482
Откуда: RU
Регистрация: Август 2006

написано 03 Октября 2014 09:05ИнфоПравкаОтветитьIP

bf
skunk MadeMan

Сообщений: 2490
Откуда: RU
Регистрация: Август 2006

написано 07 Октября 2014 12:07ИнфоПравкаОтветитьIP

Ваш ответ:

Коды форума
Смайлики


Ник:    Пароль       
Отключить смайлики

Все время MSK

Склеить | Разбить | Закрыть | Переместить | Удалить

Новая тема | Написать ответ
Последние сообщения         
Перейти к:

Свяжитесь с нами | skunksworks.net

Copyright © skunksworks.net, 2000-2018

Разработка и техническая поддержка: skunksworks.net


Рейтинг@Mail.ru Яндекс.Метрика