Názory k článku
Heartbleed má nástupce. Bezpečnostní díra míří na Linux a OS X

Petr
Petr (neregistrovaný) ---.55.broadband12.iol.cz
25. 9. 2014 13:59 Nový

Re: Heartbleed má nástupce. Bezpečnostní díra míří na Linux a OS X

celé vlákno

Přujde mi, že v článku chybí první odstavec, kde se napíše, že je to problém v Bashi a přibližně o co jde. Druhý odstave už zní tak, jako by na tento úvod navazoval.

Radek
Radek (neregistrovaný) 2001:67c:1220:----:----:----:----:----
25. 9. 2014 14:07 Nový

Apache?

celé vlákno

"... služba Bash běží i na webovém serveru Apache ..."
Promiňte, ale jak je tohle myšleno? Co dělá shell na http serveru? Nějak mi to vůbec nedává smysl.

pn
pn (neregistrovaný) 193.86.201.---
25. 9. 2014 14:26 Nový

Re: Apache?

celé vlákno

CGI skripty se mohou spouštět přes bash a dostávat prostředí od uživatele.

l
l (neregistrovaný) ---.jic.cz
25. 9. 2014 17:22 Nový

Re: Apache?

celé vlákno

kto spusta CGI script napisany v perle cez bash, tak tomu to patri :)
Bash je na CGI scripty vhodny asi tak ako auto na zburanie muru. Ano, ide to, ale preco to robit cez bash, ked existuju jazyky orientovane a vyborne vybavene na kodenie CGI scriptov?

Kverulant
Kverulant (neregistrovaný) ---.erbank.com
25. 9. 2014 14:15 Nový

Jak na to ?

celé vlákno

Kritická zranitelnost v Bash (CVE-2014-6271) !
Závažnost: Kritická
Obtížnost zneužití: Nízká
Náročnost opravy: Nízká

Princip:
Zranitelnost využívá způsobu jakým Bash nakládá s proměnnými prostředí. Bylo zjištěno, že pokud útočník definuje ještě před zavoláním Bash proměnnou prostředí a injektuje do ní speciální posloupnost znaků, dojde ke spuštění kódu definovaného útočníkem. Existuje celá řada způsobů jakým dochází k definici uživatelských proměnných z neznámého zdroje a následné spuštění Bash. Jedním z nejobávanějších vektorů útoku jsou webové aplikace používající CGI, které pracuje na principu přenosu dat do skriptu pomocí proměnných prostředí. Některé proměnné prostředí mohou být snadno ovlivněny útočníkem (např. User-Agent), pokud následně dochází k zavolání Bash z CGI skriptu, může dojít ke spuštění kódu podstrčeného útočníkem.
Výše popsaný je pouze jeden z možných vektorů útoku. Další možné jsou lokální eskalace privilegií, SSH, CUPS a další způsoby. Zranitelnost je velmi mladá a lze očekávat, že se mnoho nyní nepředpokládaných vektorů útoku objeví.

Ovlivněné systémy:
Zranitelné jsou pravděpodobně všechny distribuce založené na Debian a některé další GNU Linux platformy.
Z aplikačního pohledu hrozí riziko při provozu httpd (CGI skripty), SSH, dhclient, CUPS a dalších.

Ověření zranitelnosti:
Pro ověření, zda je konkrétní server postižen touto chybou nebo zda již došlo k opravě je možné provést spuštění následujícího příkazu:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Pokud se vypíše hlášení vulnerable, je server zranitelný.

Doporučení:
Většina významných dodavatelů firemních Linux řešení již provedla nezbytná opatření a poskytuje záplatu. Doporučujeme tedy bezodkladně provést update na nejnovější verzi Bash poskytovanou dodavatelem. V případě, že dodavatel neposkytuje opravenou verzi doporučujeme dočasně používat jiný Shell.

magor
magor (neregistrovaný) 2a02:598:7001:----:----:----:----:----
25. 9. 2014 14:38 Nový

Re: Jak na to ?

celé vlákno

Podle vseho patch neresi problem kompletne, staci vyzkouset na zaplatovanych systemech:

env -i X='() { (a)=>\' bash -c 'date'

Pokud se v aktualnim adresari vytvori soubor date, je bash stale zranitelny.

Koloděj
Koloděj (neregistrovaný) ---.net.upcbroadband.cz
25. 9. 2014 15:10 Nový

Re: Jak na to ?

celé vlákno

Potvrzuji na centos 6.5 :(

Aurielle
Aurielle (neregistrovaný) ---.net.upcbroadband.cz
25. 9. 2014 16:13 Nový

Re: Jak na to ?

celé vlákno

Ubuntu 14.04 LTS potvrzuji, bohužel :/

krakonoš
krakonoš (neregistrovaný) ---.idtnet.cz
1. 10. 2014 8:57 Nový

Re: Jak na to ?

celé vlákno

Opraveno, záplata vyšla včera.

oldjay
oldjay (neregistrovaný) ---.goldcard.cz
26. 9. 2014 8:25 Nový

Re: Jak na to ?

celé vlákno

V OSx mě to napíše:
bash: error importing function definition for `X'

A to bez jakékoliv záplaty.

Michal
Michal (neregistrovaný) ---.net.upcbroadband.cz
26. 9. 2014 10:27 Nový

Re: Jak na to ?

celé vlákno

Nejspíš chyba v exploitu. Tohle by mělo fungovat bez problémů:

X='() { a; }; echo ja_bych_ty_ex­ploity_zakaza­la' bash

Michal
Michal (neregistrovaný) 109.159.232.---
25. 9. 2014 15:45 Nový

Re: Jak na to ?

celé vlákno

Ano, tohle je přesně ta část, která článku chybí.

Lol Phirae
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
25. 9. 2014 19:47 Nový

Služba bash...

celé vlákno

Kdysi jsem v parlamentu označil české novináře za nejpitomější socioprofesní skupinu v naší společnosti. Chtěl bych se jim touto cestou omluvit, protože se nyní domnívám, že jde o skupinu nejblbější. Blbost se od pitomosti liší tím, že blbec nejen neví, že neví, ale domnívá se, že ví, a je ochoten to všemi prostředky hlásat. (Miloš Zeman)

Milos
Milos (neregistrovaný) ---.homerun.telia.com
25. 9. 2014 19:53 Nový

Re: Služba bash...

celé vlákno

Milos je oboji a kdo ho cituje je stejny jako Milos.

lzap
lzap (neregistrovaný) 178.77.243.---
25. 9. 2014 20:19 Nový

Nepresnosti

Chybu neodhalili v Red Hatu, ale specialista firmy Akamai. Vyvojari Red Hatu se podileli na odstraneni problemu.

Bash se v serveru Apache nepouziva casto. Sice lze nastavit CGI, ale psani CGI skriptu v Bashi je vzacne. Jazyky Perl, Python, PHP a Ruby nejsou ohrozeny, a to ani pokud jsou nastaveny v rezimu CGI.

Nejvetsi riziko je u embedded zarizeni ktere nelze snadno aktualizovat a mohou pouzivat Bash ve vetsi mire.

Proc jste psal tak rychle a zbrkle? Staci si precist par stranek...

Milan Keršláger aura:10

Je to blbost

celé vlákno

Jak jsem psal už jinde, je to blbost a kachna. Samozřejmě - je to problém, ale téměř nikdo nepoužívá klasické CGI a z těch mála co jo, je menšina, kteří používají bash (a dobře jim tak). Přes SSH to vyžaduje speciální nastavení na straně serveru a hlavně znalost jména+hesla! (takže hacknete tak leda sám sebe). Blbé je to když ten SSH vede do gitu nebo tak něco, ale tam by se asi měl ze zásady používat nějaký restricted shell. Ohroženější je DHCP démon (přidělování IP adres v síti) a CUPS (tiskový server), což by mohl být problém. Ale je tu jedno ale - v embeded zařízeních bash nebývá, na to je to moc velký moloch. A když někom jede ve větší síti DHCP na Linuxu, tak je to typicky extra server (nebo virtuál). Systémy RHEL/CentOS mají SELinux, takže po průniku budou škody minimální a navíc aktualizace vyšla včera a mně se nainstalovala dřív, než jsem četl tyhle články.
Takže - škoda. Mohla to být pěkná legrace. Ale bohužel nebude :-(
jen si správci uvědomí, jak mají lépe zabezpečit své systémy (separace, služeb, virtualizace s možností migrace, duplicita zabezpečení služeb...).

Unknown
Unknown (neregistrovaný) 78.108.102.---
25. 9. 2014 23:41 Nový

Re: Je to blbost

celé vlákno

"ale téměř nikdo nepoužívá klasické CGI a z těch mála co jo, je menšina, kteří používají bash (a dobře jim tak)."

Pavel Strapa nas k tomu v kapitole 16.5.4 primo vyzyval.... a kdo tuhle knizku kdysi necetl tak o hodne prisel... http://www.nti.tul.cz/~satrapa/docs/iserver/obsah.html

Filip Jirsák
26. 9. 2014 6:48 Nový

Re: Je to blbost

celé vlákno

To, že je něco napsané ve dvacet let staré knize, ještě neznamená, že je to aktuální a všichni to tak dělají. Bez ohledu na to, že to ve své době byla vynikající kniha.

Jan Forman aura:28
25. 9. 2014 23:07 Nový

Sample CGI

celé vlákno

Teď si nejsem jistej, protože Apache už strašně let nepoužívám, ale mám pocit, že jeden z těch CGI samplů nainstalovaných v default instalaci je v bashi.

Mnoho lidí má tendenci neodstraňovat sample html a cgi a jen si nastaví svůj web. Mimochodem to dělají i docela "profesionální" firmy ve svých enterprise produktech.

Pokud se nepletu, tohle by mohl být velký problém, přenos přes DHCP mi taky příjde zajímavý. Třeba si rovnou otevřít telnet :-D po přidělení adresy.

l
l (neregistrovaný) ---.45.broadband2.iol.cz
26. 9. 2014 2:03 Nový

Re: Sample CGI

celé vlákno

apache tam ma 2 subory
printenv a test-cgi
prvy ma v hlavicke #!/usr/local/bin/perl a druhy #!/bin/sh

Relativne malo distribucii ma sh defaultne linkovany na bash

Ak pouzivas mod_rewrite alebo mod_virtualhost, alebo cokolvek ine, k default cgi-bin sa nedostanes

Zranitelnost skrz cgi imho dost nizka.

Bohumil Michal aura:41
26. 9. 2014 5:18 Nový

"Zvlášť zranitelná jsou zařízení jako třeba webkamery."

No nevím, zkusil jsem 3 "krabičky", co mám doma,všechny přes ssh - a ani jedna nemá bash. 2x busybox a jednou (VDSL modem Comtrend) možná taky, ale jsou tam jen nějaké nějaké nepříliš dokumentované příkazy specifické pro ADSL. Ani konfigurovat se to celé přes CLI nedá, natož aby tam byl nějaký bash.
Ten busybox je v Synology NAS a router s OpenWRT - tak nevím, jestli někdo dá do kamery kompletní linux i s bashem, ale řekl bych, že sotva, na to jsou tam prostředky příliš vzácné.

fd
fd (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----
26. 9. 2014 9:07 Nový

Re: Heartbleed má nástupce. Bezpečnostní díra míří na Linux a OS X

celé vlákno

... ze nekdo napise takovej blabol na zive/idnes/... to jeste dokazu pochopit, ale ze tentyz blabol bude na lupe, kde bych predpokladal alespon minimalni uroven schopnosti zjistit si zakladni info ...

Bezpecnostni riziko spojeny s touhle chybou je naprosto marginalni. Jak jiz bylo receno, krabicky bash z 90% nemaji vubec, protoze pouzivaji lehci interprety, a apache v bezne konfiguraci spusteni scriptu vubec nedovoli. Takze by se pripadny zneuzivac nejdriv musel na stroj prihlasit.

fd
fd (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----
29. 9. 2014 19:53 Nový

Re: Heartbleed má nástupce. Bezpečnostní díra míří na Linux a OS X

celé vlákno

Kolik % linuxovych stroju neni v pozici serveru? Kolik ‰ serveru pouziva dhcp ? Linuxovych desktopu s dhcp klientem jsou stovky milionu? Vazne? Dhcp lze poslat po internetu? Vazne?

A pak jsme u toho, kolik % z tech serveru provozuje treba prave web, ktery umoznuje spoustet scripty, a zaroven jehoz autor kasle na osetreni vstupu? To je samozrejme otazka. Malo jich asi nebude, ale asi nejde o nic na tema "zitra umre internet".

tomik
tomik (neregistrovaný) ---.net.upcbroadband.cz
1. 10. 2014 20:10 Nový

Re: Heartbleed má nástupce. Bezpečnostní díra míří na Linux a OS X

celé vlákno

No, například u nás ve firmě má 99% lidí laptop s Linuxem nebo Mac. Chápu že Linux je na desktopu minoritní platforma, nicméně ti kdo ho používají mají jsou často v dost zajímavých pozicích (IT s přístupem na spoustu serverů, apod.). Jasně, DHCP se po internetu běžně neprovozuje no ale spousta lidí cestuje a připojuje se na hotelové wifiny, hipsteři chodí do Starbucksu apod. Sem tam nějaká ta IT konference s wifi připojením ... například teď o víkendu LinuxDays, ideální příležitost k útoku na obecenstvo z 99% používajících Linux/Mac,

Takže ono to ani na desktopu tak netriviální množství lidí není.

Jindra Šaur aura:84
28. 9. 2014 13:14 Nový

Bezpečnostní díra míří na Linux a OS X

"Bezpečnostní díra míří na Linux a OS X"

Není tahle věta tak trochu nesmysl? :-)