Jump to content
Калькуляторы

BASH дырявый даже удалённо можно пролезть

Так я не понял, можно ли запустить что-либо удалённо через ssh, не зная пароль ни на одного пользователя?

Share this post


Link to post
Share on other sites

ну тогда в разрезе ISP это проблема опасна лишь для ЛК и прочих веб-мелочей, где потенциально могут вызываться bash-скрипты

Share this post


Link to post
Share on other sites

И всё же, я не понимаю, как это можно эксплуатировать удалённо в лоб, не имея хоть какой-то учётной записи.

Share this post


Link to post
Share on other sites

Бесполезно обновляться пока

 

Выявлены методы (CVE-2014-7169) обхода патча, представленного вчера для устранения критической уязвимости в Bash. Для решения проблемы подготовлен новый патч. В дистрибутивах проблема пока остаётся неисправленной.

 

Для проверки на наличие обходного пути эксплуатации уязвимости можно использовать команду (успешно срабатывает после установки вчерашнего обновления bash в Ubuntu и Debian):

 

 

env X='() { (a)=>\' sh -c "echo date"; cat echo

Кроме того, уже проведены попытки массового сканирования серверов на предмет наличия уязвимости в Bash. Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён домена таких сайтов может оказаться в 50 раз больше). Организация целевых атак на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi из CPanel, позволяет как минимум в 10 раз расширить область действия атаки. Так как уязвимость очень проста в эксплуатации, не исключается появление в ближайшее время червей, нацеленных на поражение конкретных проблемных CGI-скриптов.

Share this post


Link to post
Share on other sites

Удалённо кроме ssh там ещё примеры для http даны.

Для ssh я и сам толком ещё не понял. Похоже на повышение привилегий для тех кто смог зайти.

 

Для усиления ssh добавил в конфиг:

StrictModes yes
UsePrivilegeSeparation sandbox
AcceptEnv
PermitUserEnvironment no

 

В идеале мне нужно чтобы ForceCommand разрешал только консоль и только sftp, чтобы точно никаких выкрутасов, но штатных средств я не нашёл для такого, только внешний скрипт/прога.

 

А говорили что микротик дырявый, а тут вон оно как.

Давай, припомни ещё openssl, pam во freebsd и ещё чего.

Только припомни так же сколько времени дырку фиксили у нас (в обычных ОС) и сколько их фиксят в тиках.

 

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Share this post


Link to post
Share on other sites

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Share this post


Link to post
Share on other sites

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Я не BSD-шник, но нет, не входит.

Share this post


Link to post
Share on other sites
Во FreeBSD bash вроде входит в базовую систему.

# whereis bash

bash: /usr/ports/shells/bash

Share this post


Link to post
Share on other sites

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Я не BSD-шник, но нет, не входит.

тоже не бсдешник - но факт, надо доставлять

Share this post


Link to post
Share on other sites

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Я не BSD-шник, но нет, не входит.

тоже не бсдешник - но факт, надо доставлять

Значит стыд и позор мне :(

Share this post


Link to post
Share on other sites

На Debian 2.6.32-5-686 сделал

aptitude update

aptitude upgrade

Уязвимость осталась. Но я так понимаю, что для того, чтобы воспользоваться данной дырой, надо сначала сломать ssh?

Share this post


Link to post
Share on other sites

Сегодня в Debian (squeeze, wheezy, jessie) приехал уже дважды патченый bash - до сих пор уязвимый.

А вот в Ubuntu уже шлёт лесом.

Share this post


Link to post
Share on other sites

ну пока не очень активно ищут по вебу.. за сутки на машинку с 16 IP прилетело 11 попыток проверить. причем половина честно представилась, что ищут

 

"shellshock-scan (http:////blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"

 

но есть попытки и позапускать чета...

 

А вот было редкод виндовый... вот тогда за минуту на /24 сеть прилетало 300 попыток проверить.

Share this post


Link to post
Share on other sites

Для получения апдейтов 6го Дебиана нужно подключать LTS репо, https://wiki.debian.org/ru/LTS/Using

 

Спасибо за наводку! Столько всего прикатило, хотя апдейты делал недавно.

 

Я чего то решил сегодня проверить и перекопировать бекапы всего что есть.

Share this post


Link to post
Share on other sites

Но я так понимаю, что для того, чтобы воспользоваться данной дырой, надо сначала сломать ssh?

Так я прав?

Share this post


Link to post
Share on other sites

Если у вас есть ЛК и прочие вебы, проверяйтесь тут. http://www.shellshocktest.com/

Для ЛК и вэбки написал "seems to be safe, though we can't be sure."

Хотя вышеприведенные скрипты, запущенные из ssh-сессии, показывают, что якобы уязвимость есть

 

It will show up as user agent "shellshocktest.com" in your access log.

В логах нет такого.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this