Shellshock: Bash'deki önemli güvenlik açığı

[heartsmagic]

Bash, yani birçok Linux dağıtımının varsayılan olarak kullandığı kabukta önemli bir güvenlik açığı bulunmuş. Açık, kabuğun çevresel değişkenler içindeki fonksiyon tanımlarından sonra gelen dizileri işlemesi esnasında oluşuyormuş. Ayrıntıları görmek isteyenler şu bağlantıyı takip edebilirler.

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

Açık, Ubuntu'nun şu sürümlerini etkiliyor: 10.04, 12.04, 14.04
Kısacası esasında tüm sürümleri kapsıyor, desteği bitenler listede yok sadece.
Not: Konu sadece Ubuntu'yu ilgilendirmiyor tabi. Tüm Linux dağıtımları etkilenmekte (MacOS dahil).

Normal ev kullanıcılarının fazlaca endişelenmelerine gerek yok. Konu daha çok sunucu sahiplerini ve yöneticilerini ilgilendiriyor. Zira güvenlik açığı SSH ve Web üzerinden saldırı imkânı vermekte. Bu nedenle sistemlerin güncellenmesi gerekmekte.

Açığın yamalandığı güncel bash sürümleri:

Ubuntu 14.04 LTS: bash 4.3-7ubuntu1.1
Ubuntu 12.04 LTS: bash 4.2-2ubuntu2.2
Ubuntu 10.04 LTS: bash 4.1-2ubuntu3.1

Açığı denemenin bir de yolu mevcut. Uçbirimde şu komutun cevabına bakılıyor:

Kod Seç Genişlet

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Eğer açık varsa:

vulnerable
this is a test

Açık kapatıldıysa:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

cevabı alınıyor.

Kaynaklar:
http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/
http://www.ubuntu.com/usn/usn-2362-1/

[plazma]

Archlinux 64bit kapanmış gözüküyor:

Kod Seç Genişlet

[plazma@atilgan ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: uyarı: x: ignoring function definition attempt
bash: `x'nin işlev tanımının içeri aktarılmasında hata
this is a test

paylaşım için teşekkürler.

[EnziM]

Ubuntu server açık mevcut değil.

Kod Seç Genişlet

melik@UbuSer:~$ cat /etc/issue.net
Ubuntu 14.04.1 LTS
melik@UbuSer:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: uyarı: x: ignoring function definition attempt
bash: `x'nin işlev tanımının içeri aktarılmasında hata
this is a test


Paylaşım için teşekkürler.

[cool23]

Bu sabah update geldi. Büyük bir ihtimalle o update'de düzeltilmiştir. Update etmeyenler kontrol etsin bence.
Bilgilendirme için tşkler.

bash:amd64 (4.3-7ubuntu1, 4.3-7ubuntu1.1),

[furkankalkan]

Update sorunu olan ya da çok eski bir sürüm kullanan arkadaşlar da bash' ı elle derleyerek sorunu çözebilirler. Ben güncelleme sorunu olan Arch makinamda olayı böyle hallettim.

Kod Seç Genişlet


  #ayrı bir dizine bash kaynak kodlarını indir.
  cd /src
  wget http://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
  #Tüm yamaları indir.
  for i in $(seq -f "%03g" 0 25); do wget http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-$i; done
  tar zxvf bash-4.3.tar.gz
  cd bash-4.3
  #yamaları ekle
  for i in $(seq -f "%03g" 0 25);do patch -p0 < ../bash43-$i; done
  #derle ve kur
  ./configure && make && sudo make install
  #kaynak kodlara artık gerek kalmadığından ortalığı temizlemiz lazım.
  cd ..
  rm -rf src


Kaynak: HackerNews

[burak öztürk]

Teşekkür ederim

[heartsmagic]

bash'teki açık için yayımlanan yamadaki eksik düzeltme nedeniyle bir güncelleme daha geldi. Sistemleri tekrar güncellemekte fayda var.
Şu anki bash sürümü: 4.3-7ubuntu1.2 (14.04 için)
İlgili kayıt: http://www.ubuntu.com/usn/usn-2363-1/

[kindly34]

bash'teki açık için yayımlanan yamadaki eksik düzeltme nedeniyle bir güncelleme daha geldi. Sistemleri tekrar güncellemekte fayda var.
Şu anki bash sürümü: 4.3-7ubuntu1.2 (14.04 için)
İlgili kayıt: http://www.ubuntu.com/usn/usn-2363-1/

Bir güncelleme daha geldi.
Şu anki bash sürümü Ubuntu 14.04 için "4.3-7ubuntu1.3" oldu.
İlgili bağlantı: http://www.ubuntu.com/usn/usn-2363-2/

[plazma]

Dün gece xubuntu 14.04.1 64 bit kurulum yaptım daha güncellemeleri yapmadan bakayım dedim :

Kod Seç Genişlet

plazma@plazma-Inspiron-N5010:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
plazma@plazma-Inspiron-N5010:~$ uname -a
Linux plazma-Inspiron-N5010 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:08 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux


açık geliyormuş

[arpia]

Açığı bulanların iddiasına göre yamaya rağmen açıktan faydalanıyorlarmış fakat neye dayanarak söylediklerini içeren bir yazı bulamadım.

[heartsmagic]

Bu ara sık sık denetlemek gerekecek demek ki sunucuları. Gerçi sınırlı sayıda SSH hesabı olan ve CGI benzeri sistemler üzerinden pek iş yapmayanların çok fazla endişelenmelerine gerek yok. Yine de temkinli olmakta fayda var tabi.
Boşu boşuna Shellshock dememişler adına. Heartbleed'den sonra ikinci büyük vaka oldu bu son zamanlardaki.

[heartsmagic]

Hemen her gün bir güncelleme gelmeye başladı. Şu an güncel sürüm:
4.3-7ubuntu1.4

Sunucu sahipleri mümkün mertebe güncellemeleri takip etmeliler. Kötü niyetli kişiler hiç vakit kaybetmiyor çünkü:

27/Sep/14 21:43:49  #8131709  critical   160  85.25.242.250    GET /index.php - Bash code injection (CVE-2014-6271) - [HTTP_USER_AGENT = () { foo;};echo;/bin/cat /etc/passwd] - www.ubuntu-tr.net

[furkankalkan]

Hemen her gün bir güncelleme gelmeye başladı. Şu an güncel sürüm:
4.3-7ubuntu1.4

Sunucu sahipleri mümkün mertebe güncellemeleri takip etmeliler. Kötü niyetli kişiler hiç vakit kaybetmiyor çünkü:

27/Sep/14 21:43:49  #8131709  critical   160  85.25.242.250    GET /index.php - Bash code injection (CVE-2014-6271) - [HTTP_USER_AGENT = () { foo;};echo;/bin/cat /etc/passwd] - www.ubuntu-tr.net

Hahhaha sitede açık mı varmış ? 0_o

[heartsmagic]

Bizde açık yok da, milletin derdi de açık olup olmadığını görmek zaten, o nedenle yokluyorlar Hedef sadece biz değiliz, muhtemelen birçok IP aralığını tarayanlardan biri denk geldi ve gelecektir de. Anlatmaya çalıştığım diğer taraf şansını deniyor, sunucu sahiplerinin gözünün açık olması lazım.

[mami96]

Benim sunucumda vardı güncellemeyle kapattım.

@heartsmagic şu:

Bash code injection (CVE-2014-6271)

Uyarısını hangi güvenlik modülü ile aldınız acaba? Sistemi yoruyor mu bir de?  1 gb ram, tek çekirdekli bir sistemim var. içinde blogum yayın yapıyor sadece. Eğer yüklü bir modül değilse bu güvenlik modülünü kurmak isterim.

[heartsmagic]

Ninja Firewall oluyor kendisi. Sunucuyu da yorduğunu gözlemlemedim şimdiye kadar.

[mami96]

Ninja Firewall oluyor kendisi. Sunucuyu da yorduğunu gözlemlemedim şimdiye kadar.

Bu sanırım WordPress için olanı. Teşekkürler.