İlan

bir ciddi güvenlik sorunu UNIX benzeri işletim sistemlerinin her ikisinin de önemli bir bileşeni olan Bash kabuğu keşfedildi ve dünya çapında bilgisayar güvenliği üzerinde önemli etkileri oldu.

Bu sorun, Linux makinelerinin çoğunu ve OS X çalıştıran bilgisayarların tamamını etkileyen Bash komut dosyası dilinin 4.3 sürümüne kadar olan tüm sürümlerinde mevcut. ve bir saldırganın kendi kodunu başlatmak için bu sorundan yararlandığını görebilir.

Nasıl çalıştığını ve kendinizi nasıl koruyacağınızı mı merak ediyorsunuz? Daha fazla bilgi için okumaya devam edin.

Bash Nedir?

Bash (Bourne Again Shell için duruyor), OS X'e ek olarak çoğu Linux ve BSD dağıtımında kullanılan varsayılan komut satırı yorumlayıcısıdır. Programları başlatma, sistem yardımcı programlarını kullanma ve komutları başlatarak temel işletim sistemiyle etkileşim kurma yöntemi olarak kullanılır.

Buna ek olarak, Bash (ve çoğu Unix kabuğu), UNIX işlevlerinin küçük komut dosyalarında komut dosyası oluşturulmasına izin verir. Çoğu programlama diline benzer şekilde - Python, JavaScript gibi

instagram viewer
ve CoffeeScript CoffeeScript Baş Ağrısı Olmadan JavaScriptJavaScript yazmayı hiç bu kadar sevmemiştim. İlk satırımı kullanarak yazdığım günden beri, yazdığım her şeyin her zaman bir Jackson gibi görünmesine her zaman kızdım ... Daha fazla oku - Bash, işlevler, değişkenler ve kapsam gibi çoğu programlama dilinde ortak olan özellikleri destekler.

shellshock-bash

Bash her yerde bulunur ve birçok kişi gerçekten Bash kabuğunu kullanıp kullanmadıklarına bakılmaksızın tüm komut satırı arayüzlerine atıfta bulunmak için 'Bash' terimini kullanır. Ve eğer WordPress veya Ghost'u komut satırından yüklediniz Yalnızca SSH Web Hosting'e kaydoldunuz mu? Merak etmeyin - Kolayca herhangi bir Web Yazılımı yükleyinGüçlü komut satırı ile Linux'u çalıştırmakla ilgili ilk şey bilmiyor musunuz? Artık endişelenme. Daha fazla oku veya web trafiğinizi SSH üzerinden tünelledi SSH Güvenli Kabuk ile Web Trafiğine Tünel Oluşturma Daha fazla oku , büyük olasılıkla Bash kullandınız.

O heryerde. Bu da bu güvenlik açığını daha endişe verici hale getiriyor.

Saldırıyı Kesip Çıkarmak

Güvenlik açığı - Fransız güvenlik araştırmacısı tarafından keşfedildi Stéphane Chazleas - Linux ve Mac kullanıcılarının dünya çapında büyük bir paniğe neden olmasının yanı sıra teknoloji basında da dikkatleri üzerine çekti. Ve iyi bir nedenden dolayı, Shellshock potansiyel olarak saldırganların ayrıcalıklı sistemlere eriştiğini ve kendi kötü amaçlı kodlarını yürüttüğünü görebiliyordu. O iğrenç.

Ama nasıl çalışır? Mümkün olan en düşük seviyede, Ortam Değişkenleri iş. Bunlar hem UNIX benzeri sistemler tarafından kullanılır ve Windows Ortam Değişkenleri Nedir ve Bunları Nasıl Kullanabilirim? [Pencereler]Arada sırada, "iyi, bir yıl önce bilseydim, saatlerimi kurtarırdı" diye düşündüren küçük bir ipucu öğreneceğim. Nasıl yapıldığını öğrendiğimi ... Daha fazla oku bilgisayarın düzgün çalışması için gereken değerleri saklamak için. Bunlar, sistem genelinde global olarak mevcuttur ve bir klasörün konumu veya bir sayı gibi tek bir değeri veya bir işlevi depolayabilir.

Shellshock-env-değişkenler

Fonksiyonlar, yazılım geliştirmede bulunan bir kavramdır. Ama ne yapıyorlar? Basitçe söylemek gerekirse, daha sonra başka bir program veya kullanıcı tarafından yürütülebilen bir dizi talimatı (kod satırlarıyla temsil edilir) bir araya getirir.

Bash yorumlayıcısıyla ilgili sorun, depolama fonksiyonlarının ortam değişkenleri olarak nasıl ele alındığıdır. Bash'te işlevlerde bulunan kod, bir çift kıvırcık parantez arasında saklanır. Ancak, bir saldırgan bazı Bash kodunu süslü ayraç dışında bırakırsa, sistem tarafından yürütülür. Bu, kodu kodlama saldırıları olarak bilinen bir saldırı ailesi için sistemi tamamen açık bırakır.

Araştırmacılar, yazılımların nasıl Apache web sunucusu 3 Kolay Adımda Apache Web Sunucusu Nasıl KurulurNedeni ne olursa olsun, bir noktada bir web sunucusunun çalışmasını isteyebilirsiniz. İster belirli sayfalara veya hizmetlere uzaktan erişim vermek isteyin, bir topluluk almak istersiniz ... Daha fazla oku ve yaygın WGET gibi UNIX yardımcı programları Wget'da Ustalaşmak ve Bazı Düzgün İndirme Numaralarını ÖğrenmekBazen bir web sitesini tarayıcınızdan yerel olarak kaydetmek yeterli değildir. Bazen biraz daha fazla güce ihtiyacınız olabilir. Bunun için, Wget olarak bilinen temiz bir komut satırı aracı var. Wget ... Daha fazla oku kabukla etkileşim kurabilir ve ortam değişkenlerini kullanabilir.

Bu bash hatası kötü ( https://t.co/60kPlziiVv ) Güvenlik açığından etkilenen bir web sitesinde ters kabuk alın http://t.co/7JDCvZVU3S tarafından @ortegaalfredo

- Chris Williams (@diodesign) Instagram Profilini Görüntüle 24 Eylül 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) Instagram Profilini Görüntüle 24 Eylül 2014

Nasıl Test Edersiniz?

Sisteminizin savunmasız olup olmadığını mı merak ediyorsunuz? Öğrenmek kolaydır. Sadece bir terminal açın ve şunu yazın:

env x = '() {:;}; echo savunmasız 'bash -c "echo bu bir testtir"

Sisteminiz savunmasızsa, çıktı alır:

savunmasız bu bir test

Etkilenmeyen bir sistem çıkarken:

env x = '() {:;}; echo savunmasız 'bash -c "echo bu bir testtir" bash: uyarı: x: işlev tanımını yoksayma girişimi bash: `x' için işlev tanımını içe aktarma hatası bu bir testtir

Nasıl tamir edersin?

Yayın tarihi itibariyle 24 Eylül 2014'te keşfedilen hata düzeltilmeli ve düzeltilmelidir. Sisteminizi güncellemeniz yeterlidir. Ubuntu ve Ubuntu varyantları ana kabukları olarak Dash'i kullanırken, Bash hala bazı sistem işlevleri için kullanılmaktadır. Sonuç olarak, güncellemeniz önerilir. Bunu yapmak için şunu yazın:

sudo uygun-güncelleştirme. sudo uygun-yükseltme

Fedora ve diğer Red Hat varyantlarında şunu yazın:

sudo yum güncellemesi

Apple henüz bunun için bir güvenlik düzeltmesi yayınlamıyor, ancak eğer yaparlarsa, uygulama mağazasından yayınlayacaklar. Güvenlik güncelleştirmelerini düzenli olarak kontrol ettiğinizden emin olun.

shellshock güncelleme

Chromebook'lar - Linux'u temelleri olarak kullanan ve dağıtımların çoğunu fazla uğraşmadan yap Chromebook'ta Linux Nasıl KurulurChromebook'unuzda Skype'a ihtiyacınız var mı? Steam üzerinden oyunlara erişiminiz yok mu? VLC Media Player'ı kullanmaya hazır mısınız? Ardından Chromebook'unuzda Linux kullanmaya başlayın. Daha fazla oku - belirli sistem işlevleri için Bash ve ana kabukları olarak Dash kullanın. Google'ın sezon içinde güncellenmesi gerekir.

Dağıtımınız Bash'ı Henüz Sabitlemediyse Ne Yapmalı?

Dağıtımınız henüz Bash için bir düzeltme yayınlamıyorsa, dağıtımları değiştirmeyi veya farklı bir kabuk yüklemeyi düşünebilirsiniz.

Yeni başlayanlara göz atmanızı tavsiye ederim Balık Kabuğu. Bu, şu anda Bash'te bulunmayan ve Linux ile çalışmayı daha da keyifli hale getiren bir dizi özellik ile birlikte geliyor. Bunlar otomatik önerileri, canlı VGA renklerini ve bir web arayüzünden yapılandırma yeteneğini içerir.

Yazar MakeUseOf yazar Andrew Bolster ayrıca kontrol etmenizi önerir zshGit sürümü kontrol sistemiyle sıkı entegrasyonun yanı sıra otomatik tamamlama ile birlikte gelir.

@matthewhughes zsh, çünkü daha iyi otomatik tamamlama ve git entegrasyonu

- Andrew Bolster (@Bolster) Instagram Profilini Görüntüle 25 Eylül 2014

En Korkunç Linux Güvenlik Açığı?

Shellshock zaten silahlandırıldı. içinde güvenlik açığının bir günü dünyaya ifşa edildikçe, zaten vahşi yaşamda sistemleri tehlikeye atmak için kullanılmıştı. Daha rahatsız edici olarak, savunmasız olan sadece ev kullanıcıları ve işletmeler değil. Güvenlik uzmanları, hatanın askeri ve hükümet sistemlerini de risk altında bırakacağını tahmin ediyorlar. Heartbleed'in neredeyse kabus gibi.

Kutsal inek CVE-2014-6271'e ait olacak birçok .mil ve .gov sitesi var.

- Kenn White (@kennwhite) Instagram Profilini Görüntüle 24 Eylül 2014

Yani lütfen. Sistemlerinizi güncelleyin, tamam mı? Nasıl geçtiğinizi ve bu parça hakkındaki düşüncelerinizi bildirin. Yorumlar kutusu aşağıdadır.

Fotoğraf kredisi:zanaca (IMG_3772.JPG)

Matthew Hughes, Liverpool, İngiltere'den bir yazılım geliştiricisi ve yazarıdır. Elinde bir fincan güçlü siyah kahve olmadan nadiren bulunur ve kesinlikle Macbook Pro ve kamerasına hayran kalır. Blogunu şurada okuyabilirsiniz: http://www.matthewhughes.co.uk ve @matthewhughes'da Twitter'da takip edin.