Schlimmer als Herzblut? Lernen Sie ShellShock kennen: Eine neue Sicherheitsbedrohung für OS X und Linux

Werbung

EIN ernstes Sicherheitsproblem mit der Bash-Shell - eine Hauptkomponente der meisten UNIX-ähnlichen Betriebssysteme - wurde entdeckt, mit erheblichen Auswirkungen auf die Computersicherheit weltweit.

Das Problem tritt in allen Versionen der Bash-Skriptsprache bis Version 4.3 auf, von denen die meisten Linux-Computer und alle Computer mit OS X betroffen sind. und kann sehen, wie ein Angreifer dieses Problem ausnutzt, um seinen eigenen Code zu starten.

Neugierig, wie es funktioniert und wie Sie sich schützen können? Lesen Sie weiter für weitere Informationen.

Was ist Bash?

Bash (steht für Bourne Again Shell) ist der Standard-Befehlszeileninterpreter, der neben OS X auf den meisten Linux- und BSD-Distributionen verwendet wird. Es wird als Methode zum Starten von Programmen, zum Verwenden von Systemdienstprogrammen und zum Interagieren mit dem zugrunde liegenden Betriebssystem durch Starten von Befehlen verwendet.

Darüber hinaus ermöglichen Bash (und die meisten Unix-Shells) die Skripterstellung von UNIX-Funktionen in kleinen Skripten. Ähnlich wie bei den meisten Programmiersprachen - wie Python, JavaScript

und CoffeeScript CoffeeScript ist JavaScript ohne KopfschmerzenIch habe noch nie so gerne JavaScript geschrieben. Von dem Tag an, an dem ich meine erste Zeile damit geschrieben habe, habe ich mich immer darüber geärgert, dass alles, was ich darin schreibe, immer wie ein Jackson aussieht ... Weiterlesen - Bash unterstützt Funktionen, die in den meisten Programmiersprachen üblich sind, wie Funktionen, Variablen und Umfang.

Bash ist nahezu allgegenwärtig. Viele Benutzer verwenden den Begriff "Bash", um sich auf alle Befehlszeilenschnittstellen zu beziehen, unabhängig davon, ob sie tatsächlich die Bash-Shell verwenden. Und wenn Sie haben WordPress oder Ghost jemals über die Befehlszeile installiert Für Nur-SSH-Webhosting angemeldet? Keine Sorge - Installieren Sie einfach jede Web-SoftwareSie wissen nicht, wie man Linux über die leistungsstarke Befehlszeile bedient? Mach dir keine Sorgen mehr. Weiterlesen , oder Tunnelte Ihren Web-Verkehr durch SSH Tunneln des Webverkehrs mit SSH Secure Shell Weiterlesen Möglicherweise haben Sie Bash verwendet.

Es ist überall. Umso besorgniserregender ist diese Sicherheitsanfälligkeit.

Den Angriff sezieren

Die Sicherheitslücke - entdeckt vom französischen Sicherheitsforscher Stéphane Chazleas - hat bei Linux- und Mac-Anwendern weltweit große Panik ausgelöst und in der Technologiepresse Aufmerksamkeit erregt. Und das aus gutem Grund, denn Shellshock könnte möglicherweise sehen, dass Angreifer Zugriff auf privilegierte Systeme erhalten und ihren eigenen Schadcode ausführen. Es ist fies.

Aber wie funktioniert es? Auf der niedrigstmöglichen Ebene wird ausgenutzt, wie Umgebungsvariablen Arbeit. Diese werden beide von UNIX-ähnlichen Systemen verwendet und Windows Was sind Umgebungsvariablen und wie kann ich sie verwenden? [Windows]Hin und wieder lerne ich einen kleinen Tipp, der mich zum Nachdenken bringt: "Wenn ich das vor einem Jahr gewusst hätte, hätte es mir Stunden Zeit gespart." Ich erinnere mich lebhaft daran, wie man gelernt hat, wie man ... Weiterlesen um Werte zu speichern, die erforderlich sind, damit der Computer ordnungsgemäß funktioniert. Diese sind systemweit global verfügbar und können entweder einen einzelnen Wert (z. B. den Speicherort eines Ordners oder einer Nummer) oder eine Funktion speichern.

Funktionen sind ein Konzept, das in der Softwareentwicklung zu finden ist. Aber was machen sie? Einfach ausgedrückt, bündeln sie eine Reihe von Anweisungen (dargestellt durch Codezeilen), die später entweder von einem anderen Programm oder von einem Benutzer ausgeführt werden können.

Das Problem mit dem Bash-Interpreter liegt darin, wie er Speicherfunktionen als Umgebungsvariablen behandelt. In Bash wird der in Funktionen gefundene Code zwischen zwei geschweiften Klammern gespeichert. Wenn ein Angreifer jedoch einen Bash-Code außerhalb der geschweiften Klammer belässt, wird er vom System ausgeführt. Dies lässt das System für eine Familie von Angriffen offen, die als Code-Injection-Angriffe bekannt sind.

Forscher haben bereits potenzielle Angriffsmethoden gefunden, indem sie genutzt haben, wie Software wie die Apache-Webserver So richten Sie einen Apache-Webserver in 3 einfachen Schritten einWas auch immer der Grund ist, vielleicht möchten Sie irgendwann einen Webserver in Betrieb nehmen. Egal, ob Sie sich Fernzugriff auf bestimmte Seiten oder Dienste gewähren möchten, Sie möchten eine Community ... Weiterlesen und gemeinsam UNIX-Dienstprogramme wie WGET Wget beherrschen und einige nette Download-Tricks lernenManchmal reicht es einfach nicht aus, eine Website lokal in Ihrem Browser zu speichern. Manchmal braucht man etwas mehr Leistung. Dafür gibt es ein hübsches kleines Kommandozeilen-Tool namens Wget. Wget ist ... Weiterlesen Interagieren Sie mit der Shell und verwenden Sie Umgebungsvariablen.

Dieser Bash-Bug ist schlimm ( https://t.co/60kPlziiVv ) Holen Sie sich eine Reverse Shell auf einer anfälligen Website http://t.co/7JDCvZVU3S durch @ortegaalfredo

- Chris Williams (@diodesign) 24. September 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24. September 2014

Wie testest du es?

Neugierig, ob Ihr System anfällig ist? Das herauszufinden ist einfach. Öffnen Sie einfach ein Terminal und geben Sie Folgendes ein:

env x = '() {:;}; echo verwundbar 'bash -c "echo das ist ein Test"

Wenn Ihr System anfällig ist, wird Folgendes ausgegeben:

anfällig dies ist ein Test

Während ein nicht betroffenes System ausgibt:

env x = '() {:;}; echo verwundbar 'bash -c "echo dies ist ein Test" bash: Warnung: x: Ignorieren der Funktionsdefinition Versuch bash: Fehler beim Importieren der Funktionsdefinition für' x 'Dies ist ein Test

Wie können Sie das Problem beheben?

Zum Zeitpunkt der Veröffentlichung sollte der Fehler, der am 24. September 2014 entdeckt wurde, behoben und behoben sein. Sie müssen lediglich Ihr System aktualisieren. Während Ubuntu- und Ubuntu-Varianten Dash als Haupt-Shell verwenden, wird Bash immer noch für einige Systemfunktionen verwendet. Aus diesem Grund sollten Sie es aktualisieren. Geben Sie dazu Folgendes ein:

sudo apt-get update. sudo apt-get upgrade

Geben Sie bei Fedora und anderen Red Hat-Varianten Folgendes ein:

sudo yum update

Apple hat noch keine Sicherheitsupdates für dieses Problem veröffentlicht. Wenn dies jedoch der Fall ist, werden sie diese über den App Store veröffentlichen. Stellen Sie sicher, dass Sie regelmäßig nach Sicherheitsupdates suchen.

Chromebooks - die Linux als Grundlage verwenden und können Führen Sie die meisten Distributionen ohne viel Aufhebens aus So installieren Sie Linux auf einem ChromebookBenötigen Sie Skype auf Ihrem Chromebook? Vermissen Sie es, über Steam keinen Zugang zu Spielen zu haben? Möchten Sie VLC Media Player verwenden? Starten Sie dann Linux auf Ihrem Chromebook. Weiterlesen - Verwenden Sie Bash für bestimmte Systemfunktionen und Dash als Haupt-Shell. Google sollte zu gegebener Zeit aktualisiert werden.

Was tun, wenn Ihre Distribution den Fehler noch nicht behoben hat?

Wenn Ihre Distribution noch keinen Fix für Bash veröffentlicht hat, sollten Sie entweder die Distributionen ändern oder eine andere Shell installieren.

Ich würde Anfängern empfehlen, sich umzusehen Fischschale. Dies beinhaltet eine Reihe von Funktionen, die derzeit in Bash nicht verfügbar sind, und macht die Arbeit mit Linux noch angenehmer. Dazu gehören Autosuggestions, lebendige VGA-Farben und die Möglichkeit, diese über eine Weboberfläche zu konfigurieren.

Mitautor von MakeUseOf Andrew Bolster empfiehlt auch, dass Sie auschecken zSHDies beinhaltet eine enge Integration in das Git-Versionskontrollsystem sowie eine automatische Vervollständigung.

@ Matthewhughes zsh, weil bessere Autocomplete und Git-Integration

- Andrew Bolster (@Bolster) 25. September 2014

Die bisher gruseligste Sicherheitslücke in Linux?

Shellshock wurde bereits bewaffnet. Innerhalb ein Tag der Verwundbarkeit Da es der Welt offenbart wurde, wurde es bereits in freier Wildbahn eingesetzt, um Systeme zu kompromittieren. Noch beunruhigender ist, dass nicht nur Privatanwender und Unternehmen gefährdet sind. Sicherheitsexperten sagen voraus, dass der Fehler auch militärische und staatliche Systeme gefährden wird. Es ist fast so albtraumhaft wie Heartbleed.

Heilige Kuh, es gibt viele .mil- und .gov-Sites, die CVE-2014-6271 gehören werden.

- Kenn White (@kennwhite) 24. September 2014

Also bitte. Aktualisieren Sie Ihre Systeme, okay? Lassen Sie mich wissen, wie es Ihnen geht und wie Sie über dieses Stück nachdenken. Das Kommentarfeld befindet sich unten.

Fotokredit:zanaca (IMG_3772.JPG)