Pire que heartbleed? Rencontrez shellshock: une nouvelle menace de sécurité pour os x et linux

Un grave problème de sécurité avec le shell Bash - une composante majeure des deux la plupart des systèmes d`exploitation de type UNIX - a été découvert, avec des implications importantes pour la sécurité informatique dans le monde entier.

Video: Heartbleed Exploit in Action!

La question est présente dans toutes les versions du langage de script Bash jusqu`à la version 4.3, qui effectue la majorité des machines Linux, et l`ensemble des ordinateurs exécutant OS X et peut voir un attaquant d`exploiter ce problème pour lancer leur propre code.

Curieux de savoir comment il fonctionne et comment vous protéger? Lisez la suite pour plus d`informations.

Qu`est-ce que Bash?

Bash (debout pour Bourne Again Shell) est l`interpréteur de ligne de commande par défaut utilisée sur la plupart des distributions Linux et BSD, en plus d`OS X. Il est utilisé comme méthode de lancement des programmes, en utilisant des utilitaires système et d`interagir avec le système d`exploitation sous-jacent en lançant les commandes.

De plus, Bash (et la plupart des shells Unix) permettent le script de fonctions UNIX dans les petits scripts. De même pour la plupart des langages de programmation tels que - Python, javascript et CoffeeScript - Bash supporte des caractéristiques communes avec la plupart des langages de programmation, telles que les fonctions, les variables et la portée.CoffeeScript est javascript sans les problèmesCoffeeScript est javascript sans les problèmesJe ne l`ai jamais vraiment aimé écrire tout ce que beaucoup javascript. Depuis le jour où je l`ai écrit ma première ligne à l`aide, je l`ai toujours que tout ce que je en voulais écrire en elle finit toujours par ressembler à un Jackson ...Lire la suite

Shellshock-bash

Bash est proche omniprésent, avec beaucoup de gens qui utilisent le terme « Bash » pour faire référence à toutes les interfaces de ligne de commande, indépendamment du fait qu`ils utilisent effectivement le shell Bash. Et si vous avez déjà installé WordPress ou fantôme à travers la ligne de commande, ou tunneling votre trafic web via SSH, vous avez très probablement utilisé Bash.Signé pour l`hébergement Web SSH uniquement? Ne vous inquiétez pas - facilement installer un logiciel WebSigné pour l`hébergement Web SSH uniquement? Ne vous inquiétez pas - facilement installer un logiciel WebJe ne sais pas la première chose à propos d`exploitation Linux à travers sa ligne de commande puissante? Vous inquiétez pas plus.Lire la suite

Il y en a partout. Ce qui rend cette vulnérabilité d`autant plus inquiétant.

Disséquant L`attaque

La vulnérabilité - découverte par le chercheur en sécurité française Stéphane Chazleas - a provoqué une grande panique chez les utilisateurs Linux et Mac dans le monde entier, ainsi que l`attention attirée dans la presse technologique. Et pour une bonne raison aussi, comme Shellshock pourrait voir des attaquants avoir accès aux systèmes privilégiés et exécuter leur propre code malveillant. C`est dégueulasse.

Mais comment ça fonctionne? Au niveau le plus bas possible, il exploite la façon dont Variables d`environnement travail. Ceux-ci sont utilisés aussi bien par les systèmes de type UNIX et Windows pour stocker des valeurs qui sont nécessaires pour l`ordinateur de fonctionner correctement. Ces documents sont disponibles à l`échelle mondiale disponibles à travers le système et peuvent soit stocker une valeur unique - comme l`emplacement d`un dossier ou un numéro - ou une fonction.Quelles sont les variables d`environnement & Comment puis-je les utiliser? [Les fenêtres]Quelles sont les variables d`environnement & Comment puis-je les utiliser? [Les fenêtres]Chaque maintenant et puis je vais apprendre une petite astuce qui me fait penser "bien, si je su que il y a un an il me avait sauvé heures de temps". Je me souviens très bien d`apprendre à ...Lire la suite

Shellshock-env-vars

Les fonctions sont un concept qui se trouve dans le développement de logiciels. Mais que font ils? Autrement dit, ils bundle un ensemble d`instructions (représentées par des lignes de code), qui peuvent ensuite être exécutées soit par un autre programme ou un utilisateur.

Le problème avec l`interpréteur Bash réside dans la façon dont il gère le stockage des fonctions comme variables d`environnement. Dans Bash, le code trouvé dans les fonctions sont stockées entre une paire d`accolades. Cependant, si un attaquant quitte un code Bash en dehors de l`accolade, il sera alors exécuté par le système. Cela laisse le système grand ouvert pour une famille d`attaques connues sous le nom de code des attaques par injection.

Les chercheurs ont déjà trouvé des vecteurs d`attaque potentiels en exploitant la façon dont les logiciels tels que le serveur web Apache, et commune utilitaires UNIX tels que WGET interagir avec les variables shell et de l`environnement d`utilisation.Comment faire pour configurer un serveur Web Apache en 3 étapes facilesComment faire pour configurer un serveur Web Apache en 3 étapes facilesQuelle que soit la raison, vous pouvez à un moment donné veulent obtenir un toile serveur Aller. Que vous souhaitiez vous donner un accès à distance à certaines pages ou services, vous souhaitez obtenir une communauté ...Lire la suite

Comment tester pour cela?

Curieux de voir si votre système est vulnérable? Savoir est facile. Il suffit d`ouvrir un terminal et tapez:

Video: SBR , NFA ENGRAVING & NEW TOYS

env x=`() {: -} - écho vulnérable` frapper -c "echo ceci est un test »

Si votre système est vulnérable, il sera alors sortie:

vulnerablethis est un test

Alors que la sortie de la volonté du système affecté:

env x=`() {: -} - écho vulnérable` frapper -c "echo ceci est un test"frapper: Attention: X: ignorant la définition fonction attemptbash: erreur importation définition de la fonction pour `X`this est un test

Comment comptez-vous résoudre ce problème?

Au moment de la publication, le bug - qui a été découvert le 24 Septembre, 2014 - le aurait été fixé et patché. Il vous suffit de mettre à jour votre système. Alors que les variantes d`Ubuntu et Ubuntu utilisent Dash comme shell principal, Bash est encore utilisé pour certaines fonctionnalités du système. Par conséquent, vous seriez bien avisé de le mettre à jour. Pour ce faire, tapez:

Video: Lab Armitage Heartbleed new

sudo apt-obtenir updatesudo apt-obtenir la mise à niveau

Sur Fedora et d`autres variantes Red Hat, tapez:

sudo yum update

Apple est encore à libérer un correctif de sécurité pour cela, mais si elles le font, ils vont le libérer dans l`App Store. Assurez-vous vérifier régulièrement les mises à jour de sécurité.

Shellshock mise à jour

Chromebooks - qui utilisent Linux comme base, et peut exécuter la plupart des distros sans beaucoup de bruit - utilisation Bash pour certaines fonctions du système et Dash comme leur coquille principale. Google devrait devrait mettre à jour en temps voulu.Comment faire pour installer Linux sur un ChromebookComment faire pour installer Linux sur un ChromebookAvez-vous besoin Skype sur votre Chromebook? Manquez-vous de ne pas avoir accès à des jeux via Steam? Pining-vous d`utiliser VLC Media Player? Puis commencer à utiliser Linux sur votre Chromebook.Lire la suite

Que faire si votre Distro n`a pas fixé de Bash Cependant,

Si votre distro est encore publié un correctif pour Bash, vous voudrez peut-être envisager de modifier soit les distributions, ou l`installation d`un autre shell.

Je recommande aux débutants vérifier poissons Shell. Cela vient avec un certain nombre de caractéristiques qui ne sont pas actuellement disponibles dans Bash et rendent encore plus agréable de travailler avec Linux. Ceux-ci comprennent autosuggestion, les couleurs VGA vibrantes et la possibilité de le configurer à partir d`une interface Web.

auteur Fellow MakeUseOf Andrew Bolster aussi vous recommande vérifier zsh, qui est livré avec une intégration étroite avec le système de contrôle de version Git, ainsi que autocomplete.

La vulnérabilité Scariest Linux encore?

Shellshock a déjà été militarisé. À moins d`un jour de la vulnérabilité divulguée au monde, il avait déjà été utilisé dans la nature à compromettre les systèmes. Plus troublant encore, il n`y a pas que les particuliers et les entreprises qui sont vulnérables. Les experts en sécurité prédisent que le bug sera également laisser les systèmes militaires et gouvernementaux à risque. Il est presque aussi cauchemardesque était heartbleed.

Donc s`il vous plait. Mettez à jour vos systèmes, d`accord? Faites-moi savoir comment vous allez, et vos pensées sur cette pièce. zone Commentaires est ci-dessous.

Crédit photo: zanaca (IMG_3772.JPG)

Articles connexes