Shellshock – suurem turvaauk kui Heartbleed

Linuxipakendaja RedHati insenerid tuvastasid bashi shellist üliohtliku turvaaugu, mis nüüd kõnekeeles nimeks saanud Shellshock. Ohuaste on kümnepalli süsteemis maksimaalne ehk 10 palli ning seda just ärakasutamise lihtsuse poolest. Paljudes linuxil põhinevates süsteemides (lisaks ka näiteks OS X peal) kasutatav bash lubas kenasti keskkonna kirjeldamiseks käivitava käsu env puhul kontrollimata õiguste olemasolu jagada õiguseid süsteemi tasemel. Pahandus tulebki sellest, et suvaline protsess – kas siis shellis olles või shelli protsessi kuidagi määratledes saab juurdepääsu süsteemile endale. Siinkohal võib vast näiteks tuua juba kiirelt ilmunud botneti, mis muuseas kasutab ära avaliku veebiteenuse sees oleva CGI kaudu privileegide omandamist. Esimene turvapaik ei pruugi aga olukorda kuidagi lahendada, sest asja uurivad spetsialistid on leidnud juba paigatud masinates veelgi võimalusi rünnete sooritamiseks. Seega on ainsaks mõistlikuks lahenduseks pidevalt bash pakki uuendada ja seejuures mitte ära unustada ka teiste süsteemiuuenduste paigaldamist.

6 arvamust “Shellshock – suurem turvaauk kui Heartbleed” kohta

  1. Minu masin ikka töötab: kasutaja /home konto jookseb ext2 image failis ja fstab’i noexec ei lase kasutajal midagi käivitada peale süsteemis lubatu.
    Samas saan admini parooli kasutada piiratud kontos: pkexec %s Kas pole see turvaauk? Või kasulik kui on adminil pikk parool.

    Bash – ärge minge meedia ohvriks- vanasti ei olnud elektrit ja hobu vedas vankrit, kirjanik kirjutas sulega.
    Ehk siis augud on arenguprotsess- lapime, elame..
    Esimine mula tuleb digi.ee raadio kukus, apple sõprade poolt.. kes ei oska programmeeridagi. pink meth ja 2014 The Frappering 3 tuleb meelde.

    Kokkuvõte: lairiba levik toob kaasa uusi üllatusi!

    • Parandus:
      kopeerisin bashi dashi vastu:

      sudo cp -f /bin/dash /bin/bash

      Lukustasin synapticus bashi uuendamise ja töötab! dash saab aru bashi profiilidest ja masin on ok!

      • .. ja peaks veel mainima, et kerneli uuendus ei tööta, vajab originaal bashi.
        Seega kasutage oma lõbuks, ajutiseks lahenduseks.

Kommenteerimine on suletud