Schlimmer als Heartbleed? Lernen Sie ShellShock kennen - eine neue Sicherheitsbedrohung für OS X und Linux
Es wurde ein schwerwiegendes Sicherheitsproblem mit der Bash-Shell festgestellt - einer Hauptkomponente der beiden UNIX-ähnlichen Betriebssysteme -, die weltweit erhebliche Auswirkungen auf die Computersicherheit haben.
Das Problem ist in allen Versionen der Bash-Skriptsprache bis zur Version 4.3 vorhanden, die einen Großteil der Linux-Maschinen und die Gesamtheit der Computer mit OS X betrifft. Ein Angreifer kann dieses Problem zum Ausführen seines eigenen Codes nutzen.
Neugierig, wie es funktioniert und wie Sie sich schützen können? Lesen Sie weiter für weitere Informationen.
Was ist Bash??
Bash (steht für Bourne Again Shell) ist der Standard-Befehlszeileninterpreter, der neben OS X bei den meisten Linux- und BSD-Distributionen verwendet wird. Er wird als Methode zum Starten von Programmen, zur Verwendung von Systemdienstprogrammen und zum Interagieren mit dem zugrunde liegenden Betriebssystem beim Start verwendet Befehle.
Darüber hinaus ermöglichen Bash (und die meisten Unix-Shells) die Skripterstellung von UNIX-Funktionen in kleinen Skripts. Ähnlich wie bei den meisten Programmiersprachen - wie Python, JavaScript und CoffeeScript. CoffeeScript ist JavaScript ohne Kopfschmerzen. CoffeeScript ist JavaScript ohne Kopfschmerzen. Ich habe JavaScript noch nie so gern gemacht. Seit dem Tag, an dem ich meine erste Zeile damit geschrieben habe, habe ich mich immer darüber geärgert, dass das, was ich darin schreibe, immer wie ein Jackson aussieht… Lesen Sie weiter - Bash unterstützt Funktionen, die in den meisten Programmiersprachen üblich sind, z. B. Funktionen, Variablen und Gültigkeitsbereich.
Bash ist nahezu allgegenwärtig. Viele Benutzer verwenden den Begriff "Bash", um auf alle Befehlszeilenschnittstellen zu verweisen, unabhängig davon, ob sie tatsächlich die Bash-Shell verwenden. Und wenn Sie jemals WordPress oder Ghost über die Befehlszeile installiert haben? Melden Sie sich für SSH-only Web Hosting an. Machen Sie sich keine Sorgen - installieren Sie einfach alle Web-Software, die für das reine SSH-Webhosting angemeldet ist. Machen Sie sich keine Sorgen - Installieren Sie einfach jede Web-Software. Sie wissen nicht, was Linux über seine leistungsstarke Befehlszeile ausübt? Mach dir keine Sorgen mehr. Lesen Sie mehr oder tunneln Sie Ihren Webdatenverkehr über SSH. So tunneln Sie Webdatenverkehr mit SSH Secure Shell. Tunneln Sie Webdatenverkehr mit SSH Secure Shell. Lesen Sie mehr. Möglicherweise haben Sie Bash verwendet.
Es ist überall. Umso besorgniserregender ist diese Sicherheitsanfälligkeit.
Den Angriff zergliedern
Die Sicherheitslücke - entdeckt vom französischen Sicherheitsforscher Stéphane Chazleas - hat weltweit zu großer Panik bei Linux- und Mac-Benutzern geführt und in der Technologiepresse auf sich aufmerksam gemacht. Und das aus gutem Grund, da Shellshock Angreifer möglicherweise Zugang zu privilegierten Systemen erhalten und eigenen Schadcode ausführen kann. Es ist fies.
Aber wie funktioniert das? Auf der niedrigsten möglichen Ebene wird die Funktionsweise von Umgebungsvariablen ausgenutzt. Diese werden sowohl von UNIX-ähnlichen Systemen als auch von Windows verwendet. Was sind Umgebungsvariablen und wie kann ich sie verwenden? [Windows] Was sind Umgebungsvariablen und wie kann ich sie verwenden? [Windows] Von Zeit zu Zeit lerne ich einen kleinen Tipp, der mich zum Nachdenken bringt: "Wenn ich wüsste, dass es vor einem Jahr gewesen wäre, hätte es mir Stunden gespart". Ich erinnere mich lebhaft daran, wie ich… Lesen Sie mehr, um Werte zu speichern, die für den ordnungsgemäßen Betrieb des Computers erforderlich sind. Diese sind im gesamten System global verfügbar und können entweder einen einzelnen Wert speichern, z. B. den Speicherort eines Ordners oder einer Nummer, oder eine Funktion.
Funktionen sind ein Konzept, das in der Softwareentwicklung zu finden ist. Aber was machen sie? Vereinfacht gesagt, bündeln sie einen Satz von Anweisungen (dargestellt durch Codezeilen), die später von einem anderen Programm oder einem Benutzer ausgeführt werden können.
Das Problem mit dem Bash-Interpreter besteht darin, wie er das Speichern von Funktionen als Umgebungsvariablen handhabt. In Bash wird der in Funktionen gefundene Code zwischen geschweiften Klammern gespeichert. Wenn ein Angreifer jedoch einen Bash-Code außerhalb der geschweiften Klammer hinterlässt, wird er vom System ausgeführt. Dadurch bleibt das System für eine Familie von Angriffen, die als Code-Injection-Angriffe bekannt sind, weit offen.
Die Forscher haben bereits potenzielle Angriffsvektoren gefunden, indem sie ausbauten, wie Software wie der Apache-Webserver in 3 einfachen Schritten einen Apache-Webserver aufbaut. Wie man einen Apache-Webserver in 3 einfachen Schritten aufbaut Punkt will einen Webserver zum Laufen bringen. Unabhängig davon, ob Sie sich einen Remote-Zugriff auf bestimmte Seiten oder Dienste verschaffen möchten, möchten Sie eine Community… Weiterlesen und gängige UNIX-Dienstprogramme wie WGET Mastering Wget & Lernen einige nette Download-Tricks Beherrschen von Wget & Lernen einige nette Download-Tricks Manchmal ist es einfach so nicht genug, um eine Website lokal in Ihrem Browser zu speichern. Manchmal brauchst du etwas mehr Kraft. Dafür gibt es ein nettes kleines Befehlszeilentool namens Wget. Wget is… Read More interagiert mit der Shell und verwendet Umgebungsvariablen.
Dieser bash-Fehler ist schlecht (https://t.co/60kPlziiVv). Erhalten Sie eine Reverse-Shell auf einer verwundbaren Website http://t.co/7JDCvZVU3S von @ortegaalfredo
- Chris Williams (@diodesign) 24. September 2014
CVE-2014-6271: wget -U "() test;; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test
- Hernan Ochoa (@hernano) 24. September 2014
Wie testest du es??
Neugierig, ob Ihr System anfällig ist? Das herauszufinden ist einfach. Öffnen Sie einfach ein Terminal und geben Sie Folgendes ein:
env x = "() :;; Echo verwundbares" bash -c "Echo Dies ist ein Test”
Wenn Ihr System anfällig ist, wird Folgendes ausgegeben:
verwundbar das ist ein Test
Während ein nicht betroffenes System Folgendes ausgibt:
env x = "() :;; Echo anfällig" bash -c "echo Dies ist ein Test" bash: warning: x: Ignorieren des Funktionsdefinitionsversuchs bash: Fehler beim Importieren der Funktionsdefinition für 'x'. Dies ist ein Test
Wie beheben Sie es??
Zum Zeitpunkt der Veröffentlichung sollte der am 24. September 2014 entdeckte Fehler behoben und behoben worden sein. Sie müssen lediglich Ihr System aktualisieren. Während Ubuntu und Ubuntu-Varianten Dash als Haupt-Shell verwenden, wird Bash noch für einige Systemfunktionen verwendet. Daher sind Sie gut beraten, es zu aktualisieren. Geben Sie dazu Folgendes ein:
Sudo Apt-Get Update Sudo Apt-Get Upgrade
Geben Sie bei Fedora und anderen Red Hat-Varianten Folgendes ein:
Sudo Yum Update
Apple hat dazu noch ein Sicherheitsupdate veröffentlicht. Wenn dies der Fall ist, wird es über den App Store veröffentlicht. Stellen Sie sicher, dass Sie regelmäßig nach Sicherheitsupdates suchen.
Chromebooks - die Linux als Grundlage verwenden und die meisten Distributionen ohne viel Aufwand ausführen können Linux auf einem Chromebook installieren Linux auf einem Chromebook installieren Benötigen Sie Skype auf Ihrem Chromebook? Vermisst du keinen Zugriff auf Spiele über Steam? Möchten Sie den VLC Media Player verwenden? Dann starten Sie Linux auf Ihrem Chromebook. Read More - Verwenden Sie Bash für bestimmte Systemfunktionen und Dash als Hauptshell. Google sollte zu gegebener Saison aktualisieren.
Was ist zu tun, wenn Ihre Distribution Bash noch nicht behoben hat?
Wenn Ihre Distribution noch keine Korrektur für Bash veröffentlicht, sollten Sie entweder die Verteilung ändern oder eine andere Shell installieren.
Ich würde Anfängern empfehlen, Fish Shell zu besuchen. Dies beinhaltet eine Reihe von Funktionen, die derzeit in Bash nicht verfügbar sind und die Arbeit mit Linux noch angenehmer machen. Dazu gehören Autosuggestions, dynamische VGA-Farben und die Möglichkeit, diese über eine Webschnittstelle zu konfigurieren.
Fellow MakeUseOf-Autor Andrew Bolster empfiehlt Ihnen außerdem, sich zSH anzuschauen, das mit der engen Integration in das Git-Versionskontrollsystem sowie mit Autovervollständigung ausgestattet ist.
@matthewhughes zsh, weil bessere Autovervollständigung und Git-Integration
- Andrew Bolster (@Bolster) 25. September 2014
Die gruseligste Linux-Sicherheitslücke?
Shellshock wurde bereits bewaffnet. Innerhalb eines Tages, nachdem die Schwachstelle der Welt bekannt gemacht worden war, wurde sie bereits in der Wildnis verwendet, um Systeme zu gefährden. Beunruhigender ist, dass nicht nur Heimanwender und Unternehmen anfällig sind. Sicherheitsexperten sagen voraus, dass der Fehler auch die Militär- und Regierungssysteme gefährden wird. Es ist fast so albtraumhaft, wie es Heartbleed war.
Heilige Kuh, es gibt viele .mil- und .gov-Websites, die im Besitz von CVE-2014-6271 werden.
- Kenn White (@kennwhite) 24. September 2014
Also bitte. Aktualisieren Sie Ihre Systeme, okay? Lass mich wissen, wie es dir geht, und wie du zu diesem Stück denkst. Kommentarfeld ist unten.
Bildnachweis: zanaca (IMG_3772.JPG)
Erfahren Sie mehr über: Online-Sicherheit.