Ivan_83 Posted September 24, 2014 Posted September 24, 2014 http://www.opennet.ru/opennews/art.shtml?num=40667 Обновляемся. Вставить ник Quote
roma33rus Posted September 25, 2014 Posted September 25, 2014 А еще вот чего написали)))) Вставить ник Quote
Saab95 Posted September 25, 2014 Posted September 25, 2014 А говорили что микротик дырявый, а тут вон оно как. Вставить ник Quote
s.lobanov Posted September 25, 2014 Posted September 25, 2014 Так я не понял, можно ли запустить что-либо удалённо через ssh, не зная пароль ни на одного пользователя? Вставить ник Quote
s.lobanov Posted September 25, 2014 Posted September 25, 2014 ну тогда в разрезе ISP это проблема опасна лишь для ЛК и прочих веб-мелочей, где потенциально могут вызываться bash-скрипты Вставить ник Quote
Sergeylo Posted September 25, 2014 Posted September 25, 2014 И всё же, я не понимаю, как это можно эксплуатировать удалённо в лоб, не имея хоть какой-то учётной записи. Вставить ник Quote
Sonne Posted September 25, 2014 Posted September 25, 2014 Бесполезно обновляться пока Выявлены методы (CVE-2014-7169) обхода патча, представленного вчера для устранения критической уязвимости в Bash. Для решения проблемы подготовлен новый патч. В дистрибутивах проблема пока остаётся неисправленной. Для проверки на наличие обходного пути эксплуатации уязвимости можно использовать команду (успешно срабатывает после установки вчерашнего обновления bash в Ubuntu и Debian): env X='() { (a)=>\' sh -c "echo date"; cat echo Кроме того, уже проведены попытки массового сканирования серверов на предмет наличия уязвимости в Bash. Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён домена таких сайтов может оказаться в 50 раз больше). Организация целевых атак на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi из CPanel, позволяет как минимум в 10 раз расширить область действия атаки. Так как уязвимость очень проста в эксплуатации, не исключается появление в ближайшее время червей, нацеленных на поражение конкретных проблемных CGI-скриптов. Вставить ник Quote
Ivan_83 Posted September 25, 2014 Author Posted September 25, 2014 Удалённо кроме ssh там ещё примеры для http даны. Для ssh я и сам толком ещё не понял. Похоже на повышение привилегий для тех кто смог зайти. Для усиления ssh добавил в конфиг: StrictModes yes UsePrivilegeSeparation sandbox AcceptEnv PermitUserEnvironment no В идеале мне нужно чтобы ForceCommand разрешал только консоль и только sftp, чтобы точно никаких выкрутасов, но штатных средств я не нашёл для такого, только внешний скрипт/прога. А говорили что микротик дырявый, а тут вон оно как. Давай, припомни ещё openssl, pam во freebsd и ещё чего. Только припомни так же сколько времени дырку фиксили у нас (в обычных ОС) и сколько их фиксят в тиках. Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить. Вставить ник Quote
GrandPr1de Posted September 25, 2014 Posted September 25, 2014 Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить. Во FreeBSD bash вроде входит в базовую систему. Вставить ник Quote
Abram Posted September 25, 2014 Posted September 25, 2014 Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить. Во FreeBSD bash вроде входит в базовую систему. Я не BSD-шник, но нет, не входит. Вставить ник Quote
Ivan_83 Posted September 25, 2014 Author Posted September 25, 2014 Во FreeBSD bash вроде входит в базовую систему. # whereis bash bash: /usr/ports/shells/bash Вставить ник Quote
Lynx10 Posted September 25, 2014 Posted September 25, 2014 Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить. Во FreeBSD bash вроде входит в базовую систему. Я не BSD-шник, но нет, не входит. тоже не бсдешник - но факт, надо доставлять Вставить ник Quote
GrandPr1de Posted September 26, 2014 Posted September 26, 2014 Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить. Во FreeBSD bash вроде входит в базовую систему. Я не BSD-шник, но нет, не входит. тоже не бсдешник - но факт, надо доставлять Значит стыд и позор мне :( Вставить ник Quote
Andrei Posted September 26, 2014 Posted September 26, 2014 На Debian 2.6.32-5-686 сделал aptitude update aptitude upgrade Уязвимость осталась. Но я так понимаю, что для того, чтобы воспользоваться данной дырой, надо сначала сломать ssh? Вставить ник Quote
Abram Posted September 26, 2014 Posted September 26, 2014 Сегодня в Debian (squeeze, wheezy, jessie) приехал уже дважды патченый bash - до сих пор уязвимый. А вот в Ubuntu уже шлёт лесом. Вставить ник Quote
mr.Scamp Posted September 26, 2014 Posted September 26, 2014 Для получения апдейтов 6го Дебиана нужно подключать LTS репо, https://wiki.debian.org/ru/LTS/Using Вставить ник Quote
Ivan_83 Posted September 26, 2014 Author Posted September 26, 2014 Теперь ещё и через дхцп клиент: http://xakep.ru/shellshock-dhcp/ Вставить ник Quote
st_re Posted September 26, 2014 Posted September 26, 2014 ну пока не очень активно ищут по вебу.. за сутки на машинку с 16 IP прилетело 11 попыток проверить. причем половина честно представилась, что ищут "shellshock-scan (http:////blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)" но есть попытки и позапускать чета... А вот было редкод виндовый... вот тогда за минуту на /24 сеть прилетало 300 попыток проверить. Вставить ник Quote
Sonne Posted September 26, 2014 Posted September 26, 2014 Для получения апдейтов 6го Дебиана нужно подключать LTS репо, https://wiki.debian.org/ru/LTS/Using Спасибо за наводку! Столько всего прикатило, хотя апдейты делал недавно. Я чего то решил сегодня проверить и перекопировать бекапы всего что есть. Вставить ник Quote
Andrei Posted September 27, 2014 Posted September 27, 2014 Но я так понимаю, что для того, чтобы воспользоваться данной дырой, надо сначала сломать ssh? Так я прав? Вставить ник Quote
pppoetest Posted September 27, 2014 Posted September 27, 2014 Если у вас есть ЛК и прочие вебы, проверяйтесь тут. http://www.shellshocktest.com/ Вставить ник Quote
Andrei Posted September 27, 2014 Posted September 27, 2014 Если у вас есть ЛК и прочие вебы, проверяйтесь тут. http://www.shellshocktest.com/ Для ЛК и вэбки написал "seems to be safe, though we can't be sure." Хотя вышеприведенные скрипты, запущенные из ssh-сессии, показывают, что якобы уязвимость есть It will show up as user agent "shellshocktest.com" in your access log. В логах нет такого. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.