[SOLVED] Критическая уязвимость в bash. (удаленный запуск команд)

[little Jon]

В командном интерпретаторе Bash выявлена опасная уязвимость (CVE-2014-6271), позволяющая организовать выполнение кода в контексте другого сеанса bash. Проблема вызвана недоработкой в организации экспорта переменных окружения и shell-функций в другие экземпляры bash, что приводит к выполнению блоков кода из специально оформленных переменных окружения, полученных от других процессов.
Для проверки системы на наличие уязвимости можно выполнить команду:

Код: Выделить всё

env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"

В случае с OpenSSH атака может быть проведена через подстановку переменной окружения SSH_ORIGINAL_COMMAND:

Код: Выделить всё

   ssh -o 'rsaauthentication yes' 0 '() { ignored; }; /usr/bin/id'

В качестве обходного временного пути защиты может быть применена блокировка по маске через iptables:

Код: Выделить всё

   iptables using -m string --hex-string '|28 29 20 7B|'

На русском языке информацию по устранению уязвимости можно посмотреть здесь

О попытке массового сканирования серверов на предмет наличия уязвимости в Bash можно прочитать (english) здесь

[azsx]

а что делать если я в iptables не очень?

[little Jon]

а что делать если я в iptables не очень?

Сильно не расстраиваться. А если серьезно, то эта новость предназначена для тех кто имеет свои сервера , или VPS. Если у Вас их нет, то мониторим новости, и, по появлению исправлений, проводим штатное обновление системы.
Если же так случилось и у Вас сервер или VPS, то в консоле от имени root делаем следующее (на примере ubuntu):
делаем резервную копию iptables

Код: Выделить всё

 sudo iptables-save > tmp_iptables_bacup

попробуйте ввести команду :

Код: Выделить всё

sudo iptables -I  FORWARD 1 -m string --algo bm --hex-string '|28 29 20 7B| ' -j DROP

потом проверить результат дать команду

Код: Выделить всё

 sudo iptables -L -n

результат должен содержать такую строку:

Код: Выделить всё

Chain FORWARD
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0            STRING match  "() { " ALGO name bm TO 65535

если что то пошло не так то восстановить первоначальную конфигурацию можно так

Код: Выделить всё

less  tmp_iptables_bacup

sudo iptables-restory tmp_iptables_bacup

[chitatel]

Debian & Ubuntu исправили bash.

До обновления:

chitatel@biblioteka:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

После:

chitatel@biblioteka:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

[neol]

Debian & Ubuntu исправили bash.

В этом исправлении уже новую дырку нашли.
http://www.opennet.ru/opennews/art.shtml?num=40670

Для дебианообразных строка проверки будет выглядеть так

Код: Выделить всё

env X='() { (a)=>\' bash -c "echo date"; cat echo

т. к. там sh - это не bash.

[Bizdelnick]

Чтобы воспользоваться уязвимостью по ssh, надо контролировать окружение, из которого некто подключается по ssh к серверу. Так что сильно пугаться не стоит.
Да, в Wheezy ещё вчера обновление с фиксом прилетело. А вот в Squeeze что-то фиксить не торопятся.

[chitatel]

env X='() { (a)=>\' bash -c "echo date"; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
Чтв Сен 25 21:02:58 YAKT 2014

wheezy

P.S.
Всё пропало! Всё пропало!

[drBatty]

В командном интерпретаторе Bash выявлена опасная уязвимость (CVE-2014-6271),

расходимся, поцаны.

Код: Выделить всё

Date: Wed, 24 Sep 2014 16:37:00 -0700 (PDT)
From: Slackware Security Team <security@slackware.com>
To: slackware-security@slackware.com
Subject: [slackware-security]  bash (SSA:2014-267-01)
User-Agent: Alpine 2.02 (LNX 1266 2009-07-14)


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

[slackware-security]  bash (SSA:2014-267-01)

А если серьезно, то эта новость предназначена для тех кто имеет свои сервера

…на которых работает код, который запускает bash-скрипты с окружением злоумышленника.

[chitatel]

Сегодня с утреца приплыло очередное обновление bash. ;-|

env X='() { (a)=>\' bash -c "echo date"; cat echo
date
Чтв Сен 25 21:02:58 YAKT 2014

Корабль стал тонуть.
Все растерялись, закричали, заплакали, но я быстро придумал, что делать. Даже не снимая штанов, я сел прямо в дыру и заткнул ее своею заднею частью.
Течь прекратилась.
Корабль был спасен.

[Dmitry Shurupov]

Ars Technica сообщает, что обнаруженная вчера уязвимость в Bash, возможно, уже эксплуатируется для атаки на веб-серверы и создания ботнетов. Обнаруженная в Bash уязвимость (CVE-2014-6271) может иметь достаточно глубокие последствия. Вчера стало известно о том, что в популярной командной оболочке была найдена уязвимость, которая получила имя «Shellshock». Ошибка связана с особенностью обработки переменных окружения в системе или скриптах. Если Bash используется в системе по умолчанию, то это позволяет злоумышленникам осуществить атаку на веб-серверы или другие устройства в сети, используя веб-запросы. Уязвимость затрагивает версии Bash от 1.14 до 4.3. Разработчики немедленно отреагировали и выпустили заплатку, однако по последним данным, уязвимость сохраняется. Исследователь безопасности из Errata Security Роберт Грэхэм (Robert Graham) сообщает, что уже наблюдаются признаки использования массового сканера для обнаружения уязвимых серверов. При поверхностном исследовании ему удалось обнаружить свыше 3000 серверов, подверженных уязвимости «Shellshock». Грэхэм отмечает: «Есть вещи, например, CGI-скрипты, которые подвержены уязвимости и глубоко интегрированы в сайт (в частности, файл /cgi-sys/defaultwebpage.cgi от CPanel). Получение доступа к корневой странице уже является уязвимостью, а при более детальном исследовании известных CGI-скриптов можно получить как минимум в 10 раз больший результат». Системный администратор под псевдонимом @yinettesys обнаружил рабочий эксплоит, который использует уязвимость «Shellshock» в Bash для запуска эксплоита ядра Linux с подключением к командному центру (CnC). Атака использует GET-запрос с информацией User Agent — ".Thanks-Rob". Сейчас эксплоит отправляет только строку «PING» и ожидает получения ответа «PONG».

оригинал на www.nixp.ru

[Bizdelnick]

chitatel

Чтв Сен 25 21:02:58 YAKT 2014

Чтв Сен 25 21:02:58 YAKT 2014

rm echo

[chitatel]

rm echo

Уже.

С утреца в пятницу дата вчерашняя - т.е.второй патч работает.

[azsx]

чо то я обновил дебиан wheze а у меня без ошибок выводит

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

это плохо?
зы
ааааааааааа, помогите спасите. При обновлении второго сервера дебиан вывел мне такое сообщение:

mysql-server-5.5 ships with the upstream mysql_install_db script which
creates a database "test" and sets up permissions that allow anonymous
access, without a password, from localhost to the "test" database and
any databases starting with "test_" that users might have created
after installing mysql-server.

During the migration of mysql-5.1 to mysql-5.5 in Debian the patches
to drop these permissions and the creation of the test databases were
not applied. This update resolves this issue for new installations of
mysql-server-5.5.

If you are updating from a previous version of mysql-5.5 it is
recommended to check your installation and to drop these privileges
and databases manually.

Further information can be found at the MySQL 5.5 Reference Manual[1].

как я понимаю мне надо проверить пустого пользователя mysql, верно? А как его проверить и чо делать вообще?

[chitatel]

чо то я обновил дебиан wheze а у меня без ошибок выводит

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

это плохо?

Нормально. Жить будете.

[azsx]

chitatel скажите еще про mysql пожалуйста, а то я волноваюсь...
зы
со мной никто не разговаривает, меня никто не любит, жизнь прожита зря, ээх...

[serzh-z]

azsx
"show grants;" покажет список привилегий на все базы данных. Если когда-то делалось обновление 5.1 на 5.5, то там будут какие-то лишние привилегии, которые не дропнулись при предыдущем обновлении.

[azsx]

show grants;
+----------------------------------------------------------------------------------------------------------------------------------------+
| Grants for root@localhost |
+----------------------------------------------------------------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED BY PASSWORD '*тут типа md5' WITH GRANT OPTION |
| GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION |
+----------------------------------------------------------------------------------------------------------------------------------------+
********************
SELECT VERSION();
+------------------+
| VERSION() |
+------------------+
| 5.5.38-0+wheezy1 |
+------------------+
1. У меня значительно больше юзеров на самом деле
2. я не помню делал я на том сервере обновление mysql или не делал.
зы
вот сейчас при обновлении, я в том числе обновил mysql

[drBatty]

1. У меня значительно больше юзеров на самом деле

ну дык и удалите всех, кроме root@localhost и тех, которые нужны (скорее всего тоже *@localhost).
Тем юзерам, которые останутся, назначьте привилегии пожоще.

И вообще, откройте отдельную тему.

[little Jon]

Для разработчиков и системных администраторов. Коллекцию тестов по уязвимости можно посмотреть по ссылке https://github.com/mubix/shellshocker-pocs.

Тема закрыта. Спасибо всем участникам обсуждения.