"Страшнее Heartbleed": в Linux обнаружена опасная уязвимость : Linux

Dim · █ 25.09.2014 15:14

Эксперты в области информационной безопасности сообщили об обнаружении в программном обеспечении Linux серьезной уязвимости, которая может оказаться опаснее, чем нашумевшая уязвимость Heartbleed, передает агентство Reuters.
Как пишет "Российская Газета", ошибка была обнаружена в приложении под названием Bash, которое используется в Linux для управления командной строкой. Найденная уязвимость, позволяет злоумышленникам получить полный контроль над взломанной системой.

.....

Проверить конкретный компьютер на наличие уязвимости Bash можно при помощи простого теста, который публикует CNews. Для проверки необходимо запустить терминал и ввести выражение env x='() { :;}; echo vulnerable' bash -c "echo this is a test".
При действующей в системе уязвимости терминал возвращает сообщения "vulnerable" и "this is a test", а если баг устранен, то "bash: warning: x: ignoring function definition attempt", "bash: error importing function definition for 'x'" и "this is a test" (ошибка в синтаксисе).
Согласно данным портала, проведенный тест показал присутствие уязвимости в последней актуальной версии OS X 10.9.5 Mavericks.

http://hitech.newsru.com/article/25sep2014/bashfail

OlegON · █ 25.09.2014 15:57

Да, я уже тут писал: Разработчики Ubuntu признали ошибку
Второй раз CNews вбрасывает какие-то странные новости, вызывающие недоумение и не только у меня.

baggio · █ 26.09.2014 10:28

Цитата:

Уязвимость допускает удалённое исполнение кода на компьютере, где установлен bash. Это связано с некорректной обработкой переменных окружения и определений функций. В текущих версиях bash переменная окружения именуется так же, как функция, а определение функции начинается со знаков “() {”. Уязвимость связана с тем, что bash не останавливается после обработки определения функции, а продолжает парсить код и выполнять команды оболочки, которые следуют дальше. Например, в переменной окружения
VAR=() { ignored; }; /bin/id

будет исполнен /bin/id при импорте окружения в процесс bash.

Для проверки у себя можно запустить и такой код:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Таким образом, переменную окружения с произвольным именем можно использовать как носителя для доставки на компьютер жертвы нужных команд. В данный момент наиболее опасным применением этого бага считают HTTP-запросы к скриптам CGI.

Уязвимости присвоен идентификатор CVE-2014-6271.

bayan · █ 26.09.2014 11:15

Цитата:

Дополнение 1: Выявлены методы (CVE-2014-7169) обхода патча, представленного вчера для устранения критической уязвимости в Bash. Для решения проблемы подготовлен новый патч. В дистрибутивах проблема пока остаётся неисправленной. Для проверки на наличие обходного пути эксплуатации уязвимости можно использовать команду (успешно срабатывает после установки вчерашнего обновления bash в Ubuntu и Debian):

env X='() { (a)=>\' sh -c "echo date"; cat echo
Дополнение 2: Проведена попытка массового сканирования серверов на предмет наличия уязвимости в Bash. Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён домена таких сайтов может оказаться в 50 раз больше). Организация целевых атак на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi из CPanel позволяет как минимум в 10 раз расширить область действия атаки. Так как уязвимость очень проста в эксплуатации не исключается появление в ближайшее время червей, нацеленных на поражение конкретных проблемных CGI-скриптов.

baggio · █ 26.09.2014 11:17

проверям себя...

Цитата:

login as: root
root@192.168.0.5's password:
Last login: Thu Sep 11 13:08:42 2014 from 172.27.192.8
Welcome to NAS4Free!
nas4free: ~ # env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Цитата:

[admin@MikroTik] > env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
syntax error (line 1 column 6)
[admin@MikroTik] > env X='() { (a)=>\' sh -c "echo date"; cat echo
expected command name (line 1 column 5)
[admin@MikroTik] >

twix · █ 26.09.2014 16:47

CentOS 6.3
bash 4.1.2(1)
Код выполняется без проблем.

OlegON · █ 26.09.2014 19:41

GNU bash, version 4.2.48(1)-release (x86_64-pc-linux-gnu)
Gentoo. Не работают оба теста.