Alvorlig sikkerhedsfejl i Bash rammer i omegnen af 500 mill computere / servere

Jeg modtog en rettelse i min Manjaro allerede i dag. Jeg har læst mig til, at mange andre distributioner også allerede har patchet sikkerhedsbristen. :)

Jeg har også lavet en opdatering der retter fejlen på min Mint 17. Jeg ved ikke præcis hvornår jeg modtog den, da jeg først åbnede min bærbare da jeg skrev nyheden.



I øvrigt undrer det mig at der i changeloggen kun stod "medium" om fejlens betydning!



En fyr på denne blog har lavet scanningsværktøjet massscan som han har benyttet til at scanne internettet for udbredelsen af sårbarheden. Han påstår at hans værktøj kan scanne hele internettet på 6 minutter, det synes jeg lyder urealistisk! Men jeg tjekkede et par af mine produktionsservere, og ganske rigtigt har han været forbi der også. Søg efter hans IP 209.126.230.72 i access-loggen for at se om han har været der.

#2:

I øvrigt undrer det mig at der i changeloggen kun stod "medium" om fejlens betydning!



Clement Lefebvre og co. kan godt være lidt uklare mht. sikkerhed efter min mening. :-)



kan scanne hele internettet på 6 minutter



massscan må bruge en særlig matematisk algoritme. Gad godt kende den formel. Hvis Einstein eller Bohr, eller for den sags skyld Dennis Ritchie R.I.P., eller Mr. Torvalds, ville falde ned ad stolen af den, hvad så med en matematisk, talblind fyr som jeg? :-D

Hver opmærksom på at den patch der kom i går er incomplete! I hvert fald på RHEL, om man bør derfor være ekstra opmærksom på en ekstra patch.



https://access.redhat.com/node/1200223

http://www.theregister.co.uk/2014/09/25/shellshock_bash_worm_type_fears/



Jeg ved nu ikke om den er værre en heartbleed. Denne kræver at man benytter sig af miljø variabler, feks i cgi's eller som

nævnt apache. Jeg ved dog ikke om det kan udnyttes nogen form for "indgang" uden CGI.

#0: Hvis en af disse kommandoer giver outputtet "Busted" er man i princippet i fare:

Hos mig giver begge outputtet



/bin/sh: warning: X: ignoring function definition attempt

/bin/sh: error importing function definition for `X'

completed



GNU bash, version 4.2.48(2)-release (x86_64-mageia-linux-gnu)

#5: Hos mig giver begge outputtet



Så er din Bash allerede opdateret!

#4: Jeg ved nu ikke om den er værre en heartbleed.



Den er værre fordi den tillader at eksekvere vilkår kode på ramte servere. Heartbleed gjorde det muligt at fiske stumper af rammen frem, heriblandt kodeord, men det var tilfældigt hvad man fik ud af Heartbleed. Man kunne ikke bare sige "Stik mig alle kodeordene". Selvfølgelig er det alvorligt at der kan lækkes kodeord, men jeg mener det andet er mere grelt.

Hvis man som mig sidder ved en gammel linux-install (i dette tilfælde debian Lenny), udgives der ikke længere security fixes.

Du må derfor selv patche bash, hvilket nedenstående script kan gøre. Det kan nemt modificeres til din version af bash.





#!/bin/sh



# prerequisites

sudo apt-get install bison



# get bash 3.2 source

mkdir src && cd src

wget http://ftp.gnu.org/gnu/bash/bash-3.2.tar.gz

tar zxvf bash-3.2.tar.gz

cd bash-3.2



# get the gpg keyring for verification

wget -nv ftp://ftp.gnu.org/gnu/gnu-keyring.gpg



# download and apply all patches, including the latest one that patches CVE-2014-6271

for i in $(seq -f "%03g" 1 52); do



wget -nv https://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-$i

wget -nv https://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-$i.sig



if gpg --verify --keyring ./gnu-keyring.gpg bash32-$i.sig; then

patch -p0 < bash32-$i

else

echo "patch bash32-${i} has a bad signature!"

exit 1

fi



done



# compile and install to /usr/local/bin/bash

./configure && make

make install



# point /bin/bash to the new binary

mv /bin/bash /bin/bash.old

ln -s /usr/local/bin/bash /bin/bash



# test by comparing the output of the following

env x='() { :;}; echo vulnerable' /bin/bash.old -c echo

env x='() { :;}; echo vulnerable' bash -c echo



#7. Problemet med heartbleed Er også man kan få fisket privatekeyn, hvilket er katastrofalt. Men ja, denne bug er også super kritisk, men den kræver alligevel nogen forudsætninger før den er brugbar. :)



Der er nu kommet en patch til den incomplete patch, her i går. Patch igen. :)

#8: Hvis man som mig sidder ved en gammel linux-install (i dette tilfælde debian Lenny), udgives der ikke længere security fixes.

Du må derfor selv patche bash, hvilket nedenstående script kan gøre. Det kan nemt modificeres til din version af bash.



Tak, jeg har samme problem med en Lenny server!



#9: Der er nu kommet en patch til den incomplete patch, her i går. Patch igen. :)



Ja, har lige opdateret.

http://www.computerworld.dk/art/232020/derfor-er-bash-saarbarheden-krit…



Ja da, der kan altså også komme virus i Linux!



Selv om det hedder sig, at man til Linux ikke behøver et sikkerhedsfirma, til at passe på computeren!



I det Linux materiale jeg har modtaget, står der at der til dato kun findes 3 kendte Linux vira - og de har oven i købet en meget begrænset skadelig effekt - pga. den måde som Linux er opbygget på!



Det er en af de store glæder man har ved Linux - man slipper for al den slags besvær!



Men altså ikke helt alligevel - vel?

#11:

Ja da, der kan altså også komme virus i Linux



Der kan/bliver lavet malware til alle platforme. Der er bare ufatteligt lidt eksisterende til Linux og BSD*



Selv om det hedder sig, at man til Linux ikke behøver et sikkerhedsfirma, til at passe på computeren!



Det kan være en god idé, men slet slet ikke så nødvendigt, som i Windows og Mac OS X.



I det Linux materiale jeg har modtaget, står der at der til dato kun findes 3 kendte Linux vira - og de har oven i købet en meget begrænset skadelig effekt - pga. den måde som Linux er opbygget på!



Virus hører under kategorien malware, som består af virus, orme, trojanske heste, rootkits, bagdøre, spyware, adware, ransomware og exploits.



Der findes meget lidt malware til Linux/Unix generelt. Det meste foregår enten ved hjælp af social engineering, som vil sige, at snyde brugeren til, at installere truslen, eller ved, at udnytte sårbarheder i systemerne, som brugeren(ne) ikke har opdateret. I Linux foregår opdatering meget nemt og sikkert og lige så snart, der er en sårbarhed, vil der ikke gå længe, før der kommer en rettelse, der retter sårbarheden. Så længe du huske at holde systemet opdateret, og bruger din sunde fornuft på internettet, er du meget sikker i Linux, og chancen for infektion meget meget lille. Især hvis du kun installerer software fra dit lokale software center i din Linux distribution og holder dig fra, at installere software fra browseren, kun besøger legitime sider, og ikke åbner mistænkelig mail.



Det er en af de store glæder man har ved Linux - man slipper for al den slags besvær!



Det er chancen meget større for, at du slipper for i Linux, ja. :-)



Men altså ikke helt alligevel - vel?



Du kan kun være 100% sikker, når du hiver netværkskablet ud af computeren, eller på anden måde afbryder forbindelsen, men jeg synes det er rart, og betryggende, at vide, at du i Linux er meget mere sikker, end du er på næsten nogen anden platform.



Så vær du helt rolig, Poul. :)

men en opdatering fjernede busted.



joe@pc:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo completed"

completed

joe@pc:~$ env X="() { :;} ; echo busted" `which bash` -c "echo completed"

busted

completed

joe@pc:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo completed"

completed

joe@pc:~$ env X="() { :;} ; echo busted" `which bash` -c "echo completed"

completed

joe@pc:~$

Tak for info Marlar med flere.



Linux er nu i orden for mit vedkommende, men til OSX brugerene eksisterer problemt stadig. Man kan også på OSX allerede nu patche bash, men det vil jeg ikke anbefale, på grund at potentiel risiko for, at det knækker noget.



I stedet er det formentlig klogere at vente på en officiel opdatering fra Apple.



Med mindre man bruger en webserver, eller SSL (jeg gør ikke) på OSX, så er risikoen formentlig meget lille.

#11: Ja da, der kan altså også komme virus i Linux!



Jo som der nævnes, så eksistere det fejlfri system ikke, men det er ikke et problem som du kender det fra Windows.



Kun en gang har jeg været ude for virus på Linux, og det var en Windows virus på et program der hedder Wine. Wine gør det muligt at køre visse Windows programmer på Linux. Denne virus var ikke i stand til at gøre skade på Linux.



Jeg har en gang oplevet virus på en Mac computer. Det var noget adware, som lidt ligner sådan noget, man altid finder på Windows maskiner. Man regner med at ca 2 millioner vira er aktive på Windows, mens tilsvarende på Linux og Mac kan tælles på en hånd.



Som du kan se af tråden Poul, så findes det ikke noget mere sikkert end Linux. Problemet er løst efter få dage efter opdagelsen af fejlen.

Det er fint information om Shellshock men jeg mener nu alligevel at truslen er en storm i et glas vand da langt langt de fleste standardinstallationer af PHP slet ikke burde tillade adgang til bash, hvilket de så heller ikke gør. Det er med dette som så mange gange ofte før at systemet fejler faktisk ikke noget men så er der en eller anden tosse der konfigurerer systemet forkert og åbner en masse bagdøre. Men dette beviser jo bare at fællesskabet tager sikkerhedstrusler SUPER seriøst og faktisk var fejlen allerede lappet næsten samme dag den blev offentliggjort. Dejligt at se i modsætning til de store kommercielle firmaer som Apple og Microsoft, her bliver man ladt i stikken i flere uger, ja enda nogle gange måneder når noget opdages.



Det er noget af det jeg holder rigtig meget af i Linux og noget af det der gør at man med sindsro kan sætte sig ned og sige "jeg bruger Linux bla. fordi det er noget af det mest sikre". Når der opdages noget - for selvfølgelig bliver Linux også ramt af menneskelige fejl ind i mellem - så bliver det lappet PRONTO. ikke noget med måneder og uger det bliver lappet i dag eller i morgen eller også er det allerede blevet lappet inden sårbarheden overhovedet blev offentliggjort. Det kan jeg lide at se. Godt og solidt arbejde, noget de store kunne lære RIGTIG menegt af.

#16:



Helt enig i det hele!