Kirjoittaja Aihe: shellshock  (Luettu 14749 kertaa)

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
shellshock
« : 25.09.14 - klo:09.49 »
http://www.theverge.com/2014/9/24/6840697/worse-than-heartbleed-todays-bash-bug-could-be-breaking-security-for

Tämä on tällä hetkellä alhaalla :

https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

Lainaus
Linux users got a nasty surprise today, as a security team at Red Hat uncovered a subtle but dangerous bug in the Bash shell, one of the most versatile and widely used utilities in Linux. It's being called the Bash bug, or Shellshock. When accessed properly, the bug allows for an attacker's code to be executed as soon as the shell is invoked, leaving the door open for a wide variety of attacks. Worse yet, it appears the bug has been present in enterprise Linux software for a long time, so patching every instance may be easier said than done. Red Hat and Fedora have already released patches for the bug. The bug also affects OS X, and while the company has yet to release an official fix, this Stack Exchange post contains details on how Mac users can check for the vulnerability and patch it once identified.
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: shellshock
« Vastaus #1 : 25.09.14 - klo:09.52 »
« Viimeksi muokattu: 25.09.14 - klo:10.00 kirjoittanut syrtek66 »
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: shellshock
« Vastaus #2 : 25.09.14 - klo:18.31 »
Virallinen info Suomessa:
https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409251726.html

Tuossa hyvä postaus aiheesta:
http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

Pari muuta viihdyttävää:
https://gist.github.com/anonymous/929d622f3b36b00c0be1
http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html

Joo, aika hyvä security fail. Eiköhän tuohon tule aika nopeasti korjaukset, varsinkin kun toi github paketti on vapaasti käytettävissä, eikä se ollut muutenkaan kovin vaikea käyttää.

Uh, onneksi on päivittäiset automaagiset päivitykset käytössä.
« Viimeksi muokattu: 25.09.14 - klo:18.34 kirjoittanut Sami Lehtinen »

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: shellshock
« Vastaus #3 : 25.09.14 - klo:20.26 »
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: varoitus: x: ignoring function definition attempt
bash: virhe tuotaessa ”x”:n funktiomääritystä
this is a test

Itsekäännetty/pätsätty bash ollut käytössäni melkein heti kun tuon näin. Lainasin tuolta vinkkejä:

http://askubuntu.com/questions/528101/what-is-the-cve-2014-6271-bash-vulnerability-and-how-do-i-fix-it

« Viimeksi muokattu: 26.09.14 - klo:11.19 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

petteriIII

  • Käyttäjä
  • Viestejä: 693
    • Profiili
Vs: shellshock
« Vastaus #4 : 26.09.14 - klo:06.06 »
Mutta ilmeisesti vain LTS-versiot on paikattu. 14.10:iin ei ole vieläkään tullut, ei pääpalvelimellekaan.

- muuten semmoinen mielenkiintoinen seikka oli jossain tuosta asiasta kertovassa postissa että BASH:in merkitys on vuosien varrella kasvanut ja siksi siitä on vaikea päästä eroon. Ja *kaikkialla* hyper-super-virtuoosienkin sivuilla annetaan ymmärtää että BASH sätkii enää heikosti.
- niinkuin tuo BASH:in suurimpia nimiä, Stephane Chazelas joka asiasta ensiksi kertoi. Josta voi päätellä että likaisia on jauhot.
« Viimeksi muokattu: 26.09.14 - klo:07.13 kirjoittanut petteriIII »

salai

  • Käyttäjä
  • Viestejä: 2126
    • Profiili
Vs: shellshock
« Vastaus #5 : 26.09.14 - klo:07.38 »
Bashiin tuli toinen päivitys, vuorokausi edellisen jälkeen
bash (4.3-7ubuntu1.1) to 4.3-7ubuntu1.3
koska ensimmäinen oli ilmeisesti vain osittainen korjaus.

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: shellshock
« Vastaus #6 : 26.09.14 - klo:11.30 »
Lähdekoodista käännetty on v4.3.11:
bash --version
GNU bash, versio 4.3.11(1)-release (x86_64-pc-linux-gnu)


Sain kokeiluissa sivutuotteena sotkettua testikoneella promptin väärän näköiseksi, mistähän tuo nyt tulikaan käännöskokeiden lisukkeena... Muilla koneilla normaali.
 
« Viimeksi muokattu: 26.09.14 - klo:11.36 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

salai

  • Käyttäjä
  • Viestejä: 2126
    • Profiili
Vs: shellshock
« Vastaus #7 : 26.09.14 - klo:12.45 »
Laiska pääsee näköjään helpommalla, ohjelmalähteistä päivitetty:
GNU bash, versio 4.3.11(1)-release (i686-pc-linux-gnu)

Jostain syystä promptikin näyttää entiseltä.  :D

av122

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Vs: shellshock
« Vastaus #8 : 26.09.14 - klo:14.53 »
Onkohan muissa komentotulkeissa löytyny samaa tai vastaavan kaltaista tietoturva-aukkoa?

Ite kun pitäis Skrolliin tehdä juttu zsh-komentotulkista, niin tuli jo sen takii vaihdettuu normi-tunnukselle zsh.

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: shellshock
« Vastaus #9 : 26.09.14 - klo:15.14 »
Testi
Koodia: [Valitse]
x='() { :;}; echo HAAVOITTUVA' bash -c : paljastaa vian CVE-2014-6271, mutta se ei paljasta onko CVE-2014-7169 korjattu.
Onko joku saanut selville millä testillä voin tarkistaa onko CVE-2014-7169 korjattu?
Esimerkiksi cygwin/bash on vasta osittain korjattu.

kuutio

  • Vieras
Vs: shellshock
« Vastaus #10 : 26.09.14 - klo:16.01 »
Onkohan muissa komentotulkeissa löytyny samaa tai vastaavan kaltaista tietoturva-aukkoa?

Ite kun pitäis Skrolliin tehdä juttu zsh-komentotulkista, niin tuli jo sen takii vaihdettuu normi-tunnukselle zsh.
Kyseistä aukkoa ei löydy zsh:sta (ei käsittääkseni muistakaan shelleistä), mutta toki mistä tahansa shellistä saa avattua kompromisoidun bash istunnon, jos haavoittuva versio bashista on koneella asennettuna.

salai

  • Käyttäjä
  • Viestejä: 2126
    • Profiili
Vs: shellshock
« Vastaus #11 : 26.09.14 - klo:16.15 »
Testi
Koodia: [Valitse]
x='() { :;}; echo HAAVOITTUVA' bash -c : paljastaa vian CVE-2014-6271, mutta se ei paljasta onko CVE-2014-7169 korjattu.
Onko joku saanut selville millä testillä voin tarkistaa onko CVE-2014-7169 korjattu?
Esimerkiksi cygwin/bash on vasta osittain korjattu.
Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) - Red Hat Customer Portal
Näyttäisi kertovan, onko molemmat korjattu.
Minulla
Koodia: [Valitse]
$  cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
bash: x: rivi 1: lauseoppivirhe lähellä odottamatonta avainsanaa ”=”
bash: x: rivi 1: `'
bash: virhe tuotaessa ”x”:n funktiomääritystä
date
cat: /tmp/echo: Tiedostoa tai hakemistoa ei ole
tuntuisi vastaavan CVE-2014-7169 testin negatiivista tulostusta:
Koodia: [Valitse]
$ cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
date
cat: /tmp/echo: No such file or directory
eli päivämäärä ei tulostu.

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: shellshock
« Vastaus #12 : 26.09.14 - klo:16.24 »
Kiitos salai!

Olen päivittänyt Cygwin:n tänään Windows-koneella, ja testin tulos on:

Koodia: [Valitse]
$ cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
bash: x: rivi 1: lauseoppivirhe lähellä odottamatonta avainsanaa ”=”
bash: x: rivi 1: `'
bash: virhe tuotaessa ”x”:n funktiomääritystä
26. syysta 2014 16:21:11
$

eli toinen korjaus ei ole vielä tullut perille (valitsin lähteeksi ftp.funet.fi).

petteriIII

  • Käyttäjä
  • Viestejä: 693
    • Profiili
Vs: shellshock
« Vastaus #13 : 27.09.14 - klo:11.50 »
Ongelmaa ei vielä ole edes aloitettu korjata niin että se tuntuisi: http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole/
Mutta BASH:ia kehittää yksi ukko, eikä voine vaatia että se kykenee yksin juuri mihinkään. Ja päinvastoin kun on kerrottu: lukemattomat ohjelmat käyttää BASH:inpalveluja. Ja joissain ominaisuuksissa BASH on ainoa joka kynnelle kykenee; ei ne voi siirtyä käyttämään toisia.


JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: shellshock
« Vastaus #14 : 27.09.14 - klo:13.06 »
Minulla on vähän semmoinen epäilys, että eiköhän kaikista unix-like käyttisten tukemista komentotulkeista joilla on pitkälle kehittyneet skriptausominaisuudet löytyne turvareikiä, kun oikein etsimään aletaan. Kun on paljon ominaisuuksia on paljon mahdollisuuksia niiden väärinkäyttöönkin.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

SuperOscar

  • Käyttäjä
  • Viestejä: 4063
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Vs: shellshock
« Vastaus #15 : 27.09.14 - klo:13.45 »
Ja joissain ominaisuuksissa BASH on ainoa joka kynnelle kykenee; ei ne voi siirtyä käyttämään toisia.

Mikähän semmoinen ominaisuus olisi, kysyy vannoutunut zsh:n käyttäjä? ;D
pöytäkone 1, NUC: openSUSE Leap 15.6, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; RPi 1: FreeBSD 14-RELEASE; RPi 2: LibreELEC 11

petteriIII

  • Käyttäjä
  • Viestejä: 693
    • Profiili
Vs: shellshock
« Vastaus #16 : 27.09.14 - klo:16.30 »
ShellShock-ominaisuus ?

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: shellshock
« Vastaus #17 : 28.09.14 - klo:18.39 »
Niin, ominaisuus, vai bugi? http://paste.lisp.org/display/143864

Tuossa kirjoittelin tällaisen ja totesin, että onko noi sitten vikoja vai ominaisuuksia, vai mitä. Been there, done that. Lopputulos voi olla hirveä sotku, jos tehdään sellaisia asioita mitä ei ollut tarkoitus alunperin edes tehdä.

Kenen vika kun tällasia tehdään? Ei kenenkään? Tällaisella ajatusproessilla helposti syntyy tuollaisia ongelmia, vaikka hommat sujuukin 'tosi kätevästi'. http://pastebin.com/v3syAmtj Jossain vaiheessa jonkun olisi pitänyt huomata jotain, sitten kun ei huomaa, niin kenen vika on? Ei kenenkään?

Sinänsä älytöntä, että mitään ulkopuolista dataa edes passataan bashin kautta, huono käytäntö. Mutta 'se vaan on niin kätevää', niin siksi sitä tehdään ja se luo myös ongelmia.

« Viimeksi muokattu: 28.09.14 - klo:18.41 kirjoittanut Sami Lehtinen »

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: shellshock
« Vastaus #18 : 29.09.14 - klo:11.03 »
Lainaus
Niin, ominaisuus, vai bugi? http://paste.lisp.org/display/143864

Sanoisin myöskin että se on ominaisuus joka on aina ollut eikä bugi ja aivan samoilla perusteilla kun katsoo historiaa.  Se että se ominaisuus halutaan tukkia tällä hetkellä on myöskin ymmärrettävää. Myöskin komentotulkin tehtävä oman näkemykseni mukaan on aina ollut olla komentotulkki ja turva on jo vuotanut muualla jos komentotulkkiin tai sen ympäristöön pääsee asiattomat käsiksi.  Komentotulkin tehtävä _on_ ajaa komentoja.
  
« Viimeksi muokattu: 29.09.14 - klo:11.52 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

kuutio

  • Vieras
Vs: shellshock
« Vastaus #19 : 29.09.14 - klo:11.53 »
Sanoisin myöskin että se on ominaisuus joka on aina ollut eikä bugi ja aivan samoilla perusteilla kun katsoo historiaa.  Se että se ominaisuus halutaan tukkia tällä hetkellä on myöskin ymmärrettävää.
  
Se, että ympäristömuuttujilla voi määrittää funktioita on ilman muuta ominaisuus (tosin se on ominaisuus, johon saattaa liittyä turvariskejä).

Mutta on hyvin vaikea uskoa, että tarkoituksella olisi luotu ominaisuus, joka suorittaa funktiomäärityksen perään ympäristömuuttujaan ympätyt komennot, koska muuten ympäristömuuttujiin asetettuja komentoja ei suoriteta. Eli tämä osa on mielestäni ihan selvästi bugi eikä "dokumentoimaton ominaisuus".

Myöskin komentotulkin tehtävä oman näkemykseni mukaan on aina ollut olla komentotulkki ja turva on jo vuotanut muualla jos siihen pääsee asiattomat käsiksi.
Tämä on siinä mielessä ongelmallinen bugi, että komentojen ajaminen ei vaadi pääsyä komentotulkkiin. Esim. dhclient vastaanottaa ympäristömuuttujia dhcp-serveriltä ja välittää ne ajamilleen bash-skipteille (jolloin ympäristömuuttujiin "funktiomääritysten perään jemmatut" komennot ajetaan...rootin oikeuksin).
« Viimeksi muokattu: 29.09.14 - klo:12.04 kirjoittanut kuutio »