Gisp! Shell Shock.

[zob]

Jeg skal ærligt indrømme at jeg ikke har sat mig ind i problemet, men ifølge min intuition skal man vel teste bash hvis det er den der er en brist i.

Derfor bør man vel differentiere mellem bash og /bin/sh i de kommandoer der citeres i tråden her.

Jeg har lige prøvet kommandoen på en installation med en ikke opdateret version af bash og her på min desktop, som er fuldt opdateret.

Følgende (med /bin/sh) giver på begge maskiner samme output:

Kode: Vælg alt

env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"

Hvorimod hvis man skifter /bin/sh ud med bash er der en klar forskel og forsøget på function definition afsløres sågar i den opdaterede version af bash

Kode: Vælg alt

env X="() { :;} ; echo busted" bash -c "echo stuff"

Hvor den med ikke opdateret bash skriver begge strenge:

Kode: Vælg alt

busted
stuff


Med opdateret bash skriver den følgende:

Kode: Vælg alt

bash: warning: X: ignoring function definition attempt
bash: error importing function definition for `X'
stuff


[Blueeyez]

Ja okay, har os: bash 4.3-7ubuntu1.1

Nu når V2 nærmest går amok er vi jo nødt til at undersøge det

[AJenbo]

Man er kun sårbar hvis nogen udefra har adgang til Bash eks via cgi på en webserver eller kan logge ind som bruger via SSH. Som Martin nævner kan disse dog også sættes op med sh hvor man så ikke er sårbar.

[lath]

Shellshock er den mere seriøs afdeling af bugs.
Det er en 10/10 fejl og er i samme liga som Heartbleed (imorgen er der på min todo liste at jeg skal reinstallere alt på min VPS, incl. også generere nye SSH privat+public keys og så tage dem i brug på VPSen).

BBC har en artikel om det:
Shellshock: 'Deadly serious' new vulnerability found
http://www.bbc.com/news/technology-29361794

Version2.dk har en artikel ude på dansk, hvis du ikke er så god ud i engelsk:
Shellshock: Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed
http://www.version2.dk/artikel/shellshock-linux-og-mac-systemer-ramt-af-omfattende-og-alvorlig-saarbarhed-68779

Den bug i Bash ser ud til at have fået et CVE id der ser således ud: CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
Jeg bemærker specielt at:

CVSS v2 Base Score: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C) (legend)
Impact Subscore: 10.0
Exploitability Subscore: 10.0

/Lars

[thomasjohansen]

Mine servere opdaterede bash automatisk i morges, så da jeg chekkede resultatet af:

Kode: Vælg alt

thomas@mail2:~$ env X="() { :;} ; echo busted" bash -c "echo stuff"

bash: warning: X: ignoring function definition attempt
bash: error importing function definition for `X'
stuff


så var serverne allerede i orden.

fra apt loggen (/var/log/apt/history.log)

Kode: Vælg alt

Start-Date: 2014-09-25  06:34:35
Upgrade: bash (4.1-2ubuntu3, 4.1-2ubuntu3.1)
End-Date: 2014-09-25  06:34:41

Start-Date: 2014-09-26  06:46:31
Upgrade: bash (4.1-2ubuntu3.1, 4.1-2ubuntu3.2)
End-Date: 2014-09-26  06:46:37


[NickyThomassen]

Jeg har det lidt ligesom i de ikke så gode gamle windows dage, hvor jeg konstant var nervøs for div. malware o.a. generel ondskab. Det ser ud til at vi bør være meget urolige, men jeg foretrækker at blive BEroliget. Er der nogen der kan gøre det, please? Fortæl mig at problemet løses ved en opdatering indenfor få timer.

Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

http://www.version2.dk/artikel/linux-og-mac-systemer-ramt-af-omfattende-og-alvorlig-saarbarhed-68779#comments

Helt overordnet set, så er der ingen grund til bekymring.

Så længe det er en almindelig computer der jævnligt bliver opdateret, så kan den her type af problemer ikke gøre nogen skade. At Version2 og BBC så maler fanden på væggen er en anden sag.

Fejlen, som egentlig ikke er en fejl, kan kun give problemer på systemer med aktive web-programmer, som fx forummets server, der jo både har web, mail og fjernadgang kørende. Men det er i sig selv ikke nok, for web-programmet skal give den besøgende lov til at sætte en variable, hvilket de færreste programmer gør.

Teknisk set, så er løsningen at hvert web-program har sin egen bruger, og at de brugere ikke har adgang til noget på computeren. Alternativt kan programmerne også chroot'es, men det kræver ekstra arbejde og en vis teknisk indsigt at gennemføre. Når først et program er isoleret fra resten af systemet, så udgør det ikke rigtig nogen risiko, hvis der opstår et problem med det.

Eller man kan lade være med at bruge Bash, og i stedet skifte til et af de mange Shell-systemer som Ubuntu understøtter.
https://wiki.ubuntu.com/ChangingShells

Eller bruge Debian, som har Dash sat som standard.

[NickyThomassen]

At Version2 og BBC så maler fanden på væggen er en anden sag.

http://www.forbes.com/sites/singularity/2012/12/06/yes-you-can-hack-a-pacemaker-and-other-medical-devices-too/

En kriminel hacker / cracker kan med andre ord slukke for en pacemaker, hvis bare han eller hun er indenfor rækkevidde. Dét er en overskrift som er "dødsens alvorlig" værdig.

[thj01]

En ting der nok også skal nævnes i den sammenhæng er at version2 er "farvet".

De har kørt en del historier om Linux fejl, længe efter at fejlene er blevet rettet, og glemmer over en kam at informere om at fejlene som regel er rettet kort tid efter opdagelsen heraf.

Og de anvender på ingen måde samme fremgangsmåde overfor Windows eller mac.

Med mindre man er MS fanboy, har det website ikke meget at byde på, hvad den slags OS information angår

Ovenstående er en personlig holdning til version 2

[NickyThomassen]

Version 2 har en opfølgende artikel i dag
http://www.version2.dk/artikel/patch-kaos-i-koelvandet-paa-shellshock-flere-sikkerhedshuller-skaber-forvirring-68847

Jeg kan ikke undgå og ligge mærke til, at den er lidt mere moderede end den tidligere artikel.

Sikkerhedshullet, som har fået tilnavnet 'Shellshock', findes som sagt i Bash og har eksisteret i 22 år, uden nogen har opdaget det før nu. Sikkerhedshullet vurderes af flere sikkerhedseksperter til at være et af de mest alvorlige, fordi det har givet mulighed for at overtage kontrollen med sårbare Unix-, Linux-, BSD- og Mac OS X-systemer. Ganske vist under forudsætning af bestemte konfigurationer.

og

At sårbarheder eksisterer i mange år, før de bliver opdaget, er dog ikke begrænset til open source-verdenen.

Dertil er det selvfølgelig værd at nævne, at "sikkerhedshullet" faktisk en feature, som bare ikke er en god idé. Dog lidt på samme måde som det er en "feature", at familie-biler kan køre 220km/t.