Jump to content
Калькуляторы

BASH дырявый даже удалённо можно пролезть

ну тогда в разрезе ISP это проблема опасна лишь для ЛК и прочих веб-мелочей, где потенциально могут вызываться bash-скрипты

Share this post


Link to post
Share on other sites

И всё же, я не понимаю, как это можно эксплуатировать удалённо в лоб, не имея хоть какой-то учётной записи.

Share this post


Link to post
Share on other sites

Бесполезно обновляться пока

 

Выявлены методы (CVE-2014-7169) обхода патча, представленного вчера для устранения критической уязвимости в Bash. Для решения проблемы подготовлен новый патч. В дистрибутивах проблема пока остаётся неисправленной.

 

Для проверки на наличие обходного пути эксплуатации уязвимости можно использовать команду (успешно срабатывает после установки вчерашнего обновления bash в Ubuntu и Debian):

 

 

env X='() { (a)=>\' sh -c "echo date"; cat echo

Кроме того, уже проведены попытки массового сканирования серверов на предмет наличия уязвимости в Bash. Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён домена таких сайтов может оказаться в 50 раз больше). Организация целевых атак на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi из CPanel, позволяет как минимум в 10 раз расширить область действия атаки. Так как уязвимость очень проста в эксплуатации, не исключается появление в ближайшее время червей, нацеленных на поражение конкретных проблемных CGI-скриптов.

Share this post


Link to post
Share on other sites

Удалённо кроме ssh там ещё примеры для http даны.

Для ssh я и сам толком ещё не понял. Похоже на повышение привилегий для тех кто смог зайти.

 

Для усиления ssh добавил в конфиг:

StrictModes yes
UsePrivilegeSeparation sandbox
AcceptEnv
PermitUserEnvironment no

 

В идеале мне нужно чтобы ForceCommand разрешал только консоль и только sftp, чтобы точно никаких выкрутасов, но штатных средств я не нашёл для такого, только внешний скрипт/прога.

 

А говорили что микротик дырявый, а тут вон оно как.

Давай, припомни ещё openssl, pam во freebsd и ещё чего.

Только припомни так же сколько времени дырку фиксили у нас (в обычных ОС) и сколько их фиксят в тиках.

 

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Share this post


Link to post
Share on other sites

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Share this post


Link to post
Share on other sites

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Я не BSD-шник, но нет, не входит.

Share this post


Link to post
Share on other sites

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Я не BSD-шник, но нет, не входит.

тоже не бсдешник - но факт, надо доставлять

Share this post


Link to post
Share on other sites

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Я не BSD-шник, но нет, не входит.

тоже не бсдешник - но факт, надо доставлять

Значит стыд и позор мне :(

Share this post


Link to post
Share on other sites

На Debian 2.6.32-5-686 сделал

aptitude update

aptitude upgrade

Уязвимость осталась. Но я так понимаю, что для того, чтобы воспользоваться данной дырой, надо сначала сломать ssh?

Share this post


Link to post
Share on other sites

Для получения апдейтов 6го Дебиана нужно подключать LTS репо, https://wiki.debian.org/ru/LTS/Using

Share this post


Link to post
Share on other sites

ну пока не очень активно ищут по вебу.. за сутки на машинку с 16 IP прилетело 11 попыток проверить. причем половина честно представилась, что ищут

 

"shellshock-scan (http:////blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"

 

но есть попытки и позапускать чета...

 

А вот было редкод виндовый... вот тогда за минуту на /24 сеть прилетало 300 попыток проверить.

Share this post


Link to post
Share on other sites

Для получения апдейтов 6го Дебиана нужно подключать LTS репо, https://wiki.debian.org/ru/LTS/Using

 

Спасибо за наводку! Столько всего прикатило, хотя апдейты делал недавно.

 

Я чего то решил сегодня проверить и перекопировать бекапы всего что есть.

Share this post


Link to post
Share on other sites

Если у вас есть ЛК и прочие вебы, проверяйтесь тут. http://www.shellshocktest.com/

Для ЛК и вэбки написал "seems to be safe, though we can't be sure."

Хотя вышеприведенные скрипты, запущенные из ssh-сессии, показывают, что якобы уязвимость есть

 

It will show up as user agent "shellshocktest.com" in your access log.

В логах нет такого.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.