Перейти к содержимому
Калькуляторы

BASH дырявый даже удалённо можно пролезть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А еще вот чего написали))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А говорили что микротик дырявый, а тут вон оно как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так я не понял, можно ли запустить что-либо удалённо через ssh, не зная пароль ни на одного пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну тогда в разрезе ISP это проблема опасна лишь для ЛК и прочих веб-мелочей, где потенциально могут вызываться bash-скрипты

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И всё же, я не понимаю, как это можно эксплуатировать удалённо в лоб, не имея хоть какой-то учётной записи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бесполезно обновляться пока

 

Выявлены методы (CVE-2014-7169) обхода патча, представленного вчера для устранения критической уязвимости в Bash. Для решения проблемы подготовлен новый патч. В дистрибутивах проблема пока остаётся неисправленной.

 

Для проверки на наличие обходного пути эксплуатации уязвимости можно использовать команду (успешно срабатывает после установки вчерашнего обновления bash в Ubuntu и Debian):

 

 

env X='() { (a)=>\' sh -c "echo date"; cat echo

Кроме того, уже проведены попытки массового сканирования серверов на предмет наличия уязвимости в Bash. Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён домена таких сайтов может оказаться в 50 раз больше). Организация целевых атак на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi из CPanel, позволяет как минимум в 10 раз расширить область действия атаки. Так как уязвимость очень проста в эксплуатации, не исключается появление в ближайшее время червей, нацеленных на поражение конкретных проблемных CGI-скриптов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Удалённо кроме ssh там ещё примеры для http даны.

Для ssh я и сам толком ещё не понял. Похоже на повышение привилегий для тех кто смог зайти.

 

Для усиления ssh добавил в конфиг:

StrictModes yes
UsePrivilegeSeparation sandbox
AcceptEnv
PermitUserEnvironment no

 

В идеале мне нужно чтобы ForceCommand разрешал только консоль и только sftp, чтобы точно никаких выкрутасов, но штатных средств я не нашёл для такого, только внешний скрипт/прога.

 

А говорили что микротик дырявый, а тут вон оно как.

Давай, припомни ещё openssl, pam во freebsd и ещё чего.

Только припомни так же сколько времени дырку фиксили у нас (в обычных ОС) и сколько их фиксят в тиках.

 

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Я не BSD-шник, но нет, не входит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во FreeBSD bash вроде входит в базовую систему.

# whereis bash

bash: /usr/ports/shells/bash

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Я не BSD-шник, но нет, не входит.

тоже не бсдешник - но факт, надо доставлять

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Меня лично эта новость почти не касается - я в основном FreeBSD ставлю и админю, там tcsh, баш нужно отдельно ставить.

Во FreeBSD bash вроде входит в базовую систему.

Я не BSD-шник, но нет, не входит.

тоже не бсдешник - но факт, надо доставлять

Значит стыд и позор мне :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На Debian 2.6.32-5-686 сделал

aptitude update

aptitude upgrade

Уязвимость осталась. Но я так понимаю, что для того, чтобы воспользоваться данной дырой, надо сначала сломать ssh?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня в Debian (squeeze, wheezy, jessie) приехал уже дважды патченый bash - до сих пор уязвимый.

А вот в Ubuntu уже шлёт лесом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для получения апдейтов 6го Дебиана нужно подключать LTS репо, https://wiki.debian.org/ru/LTS/Using

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теперь ещё и через дхцп клиент: http://xakep.ru/shellshock-dhcp/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну пока не очень активно ищут по вебу.. за сутки на машинку с 16 IP прилетело 11 попыток проверить. причем половина честно представилась, что ищут

 

"shellshock-scan (http:////blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"

 

но есть попытки и позапускать чета...

 

А вот было редкод виндовый... вот тогда за минуту на /24 сеть прилетало 300 попыток проверить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для получения апдейтов 6го Дебиана нужно подключать LTS репо, https://wiki.debian.org/ru/LTS/Using

 

Спасибо за наводку! Столько всего прикатило, хотя апдейты делал недавно.

 

Я чего то решил сегодня проверить и перекопировать бекапы всего что есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но я так понимаю, что для того, чтобы воспользоваться данной дырой, надо сначала сломать ssh?

Так я прав?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если у вас есть ЛК и прочие вебы, проверяйтесь тут. http://www.shellshocktest.com/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если у вас есть ЛК и прочие вебы, проверяйтесь тут. http://www.shellshocktest.com/

Для ЛК и вэбки написал "seems to be safe, though we can't be sure."

Хотя вышеприведенные скрипты, запущенные из ssh-сессии, показывают, что якобы уязвимость есть

 

It will show up as user agent "shellshocktest.com" in your access log.

В логах нет такого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.