Niewiele czasu minęło od poważnej luki w SSL (Heartbleed) która obiegła nie tylko świat IT, a mamy kolejną – chyba nawet groźniejszą – lukę, tym razem w Bashu (GNU Bourne Again Shell).

Shellshock (CVE-2014-6271)

Podatność dotyczy powłoki Bash (ale i sh itp.) w systemie Linux i pozwala – przy pewnych założeniach – na zdalne wykonanie kodu na podatnym systemie/urządzeniu, i w dużym skrócie wynika to z niewystarczającego filtrowania danych wejściowych…

Sprawdzamy, czy system podatny na Shellshock

W tym celu korzystamy z polecenia:

f='() { echo "Na razie jest ok..."; }' bash -c 'f'

Choć na potrzeby testu na Shellshock trochę je zmodyfikujemy:

f='() { echo "Na razie jest ok..."; }; echo "Ale tu już mamy problem!"' bash -c ''

Jeśli wyświetli się „Ale tu już mamy problem!”, to oznacza to, że faktycznie mamy problem… ;-)

Inny test na jaki można trafić:

env x='() { :;}; echo vulnerable' bash -c "system"

Jeśli wyświetli się „vulnerable”, to również w tym przypadku mamy problem…

Łatamy system Debian/Raspbian

W przypadku Raspberry Pi i systemu Raspbian wystarczy zaktualizować system:

sudo apt-get update -y && sudo apt-get upgrade -y && sudo apt-get dist-upgrade -y

Lub korzystając z aptitude:

sudo aptitude update -y && sudo aptitude upgrade -y && sudo aptitude dist-upgrade -y

W przypadku „normalnego” Debiana (Wheezy) prawdopodobnie aktualizacja nie rozwiąże problemu, a przynajmniej nie na „standardowych źródłach pakietów”.

Łatamy ręcznie Basha w Debian Wheezy

Na szczęście możemy szybko załatać system ręcznie, korzystając z 2 poleceń:

wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg –print-architecture).deb

sudo dpkg -i bash_4.3-9.2_*.deb

Od tego momentu testy na podatność powinny wykazać, że system jest już bezpieczny:

Przynajmniej na Shellshocka ;-)

(!) Zgłoś błąd na stronie
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)
Napisz komentarz
wipl_napisz-komentarz_01
Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.