Peter Holmes
0 
4165
97
Her iki UNIX benzeri işletim sisteminin de önemli bir bileşeni olan Bash kabuğu ile ilgili ciddi bir güvenlik sorunu, bilgisayar güvenliği için dünya çapında önemli etkileri olan keşfedildi..
Sorun, Bash komut dosyası dilinin 4.3 sürümüne kadar olan ve Linux makinelerinin çoğunu ve OS X çalıştıran bilgisayarların tamamını etkileyen tüm sürümlerinde mevcuttur ve bu sorunu kendi kodunu çalıştırmak için kullanan bir saldırgan görebilir..
Nasıl çalıştığını ve kendini nasıl koruyacağını merak ediyor musun? Daha fazla bilgi için okumaya devam edin.
Bash Nedir?
Bash (Bourne Again Shell için geçerli olan) OS X'e ek olarak çoğu Linux ve BSD dağıtımında kullanılan varsayılan komut satırı tercümanıdır. Programları başlatmak, sistem araçlarını kullanmak ve altta yatan işletim sistemiyle etkileşime geçmek için kullanılır. komutlar.
Ek olarak, Bash (ve çoğu Unix kabuğu), UNIX işlevlerinin küçük komut dosyalarındaki komut dosyalarına izin verir. Python, JavaScript ve CoffeeScript gibi çoğu programlama diline benzer şekilde CoffeeScript CoffeeScript Baş Ağrısı Olmadan JavaScript Olduğunu CoffeeScript Baş Ağrısı olmadan JavaScript Olduğunu Bu kadar JavaScript yazmayı hiç sevmedim. İlk satırımı kullanarak yazdığım günden beri, her zaman içine yazdığımın her zaman bir Jackson gibi görünmekle sonuçlanacağına inanıyorum… - Bash, fonksiyonlar, değişkenler ve kapsam gibi çoğu programlama diliyle ortak olan özellikleri destekliyor..
Bash, her yerde olduğu gibi, aslında Bash kabuğunu kullanıp kullanmadıklarına bakılmaksızın, tüm komut satırı arayüzlerine atıfta bulunmak için 'Bash' terimini kullanan birçok kişi ile birlikte. Ve eğer hiç WordPress veya Ghost kurduysanız komut satırı aracılığıyla SSH'ye Sadece Web Hosting için mi Kaydolun? Endişelenmeyin - Kolayca Herhangi Bir Web Yazılımını Yükleyin Sadece SSH Web Hosting için Kayıtlı Mısınız? Endişelenmeyin - Kolayca Herhangi Bir Web Yazılımını Kurun Linux'u güçlü komut satırından çalıştırmakla ilgili ilk şeyi bilmiyor musunuz? Daha fazla endişelenme. , ya da web trafiğinizi SSH aracılığıyla tünelledi SSH Secure Shell ile Web Trafik Tünel Nasıl SSH Secure Shell ile Web Trafik Tünel, oldukça büyük olasılıkla Bash kullandınız.
O heryerde. Bu da bu güvenlik açığını daha da endişelendiriyor.
Saldırıyı Kesme
Fransız güvenlik araştırmacısı Stéphane Chazleas tarafından keşfedilen güvenlik açığı, dünya çapındaki Linux ve Mac kullanıcılarında büyük bir paniğe ve teknoloji basında dikkat çekti. Ve ayrıca, Shellshock potansiyel olarak ayrıcalıklı sistemlere erişip saldırganların kendi kötü niyetli kodlarını çalıştırdıklarını görebilir. O iğrenç.
Ama nasıl çalışır? Mümkün olan en düşük seviyede, ortam değişkenlerinin nasıl çalıştığını kullanır. Bunlar hem UNIX benzeri sistemler hem de Windows tarafından kullanılıyor. Ortam Değişkenleri Nedir ve Nasıl Kullanabilirim? [Windows] Ortam Değişkenleri Nedir ve Nasıl Kullanabilirim? [Windows] Her şimdi ve sonra "bana, bir yıl önce bilseydim beni saatlerce kurtaracağını" düşünmemi sağlayan küçük bir ipucu öğreneceğim. Bilgisayarın düzgün çalışması için gerekli olan değerlerin nasıl saklanacağını ... canlı olarak hatırlıyorum. Bunlar sistem genelinde küresel olarak mevcuttur ve bir klasörün konumu veya bir sayı gibi tek bir değer veya bir işlev saklayabilir.
İşlevler, yazılım geliştirmede bulunan bir kavramdır. Ama ne yaparlar? Basitçe söylemek gerekirse, daha sonra başka bir program veya kullanıcı tarafından yürütülebilen bir dizi talimatı (kod satırlarıyla gösterilir) bir araya getirirler..
Bash yorumlayıcısındaki sorun, ortam değişkenleri olarak fonksiyonları kaydetme biçiminde yatıyor. Bash'te, işlevlerde bulunan kod bir çift kıvrımlı ayraç arasında depolanır. Ancak, bir saldırgan bazı Bash kodunu küme ayracının dışında bırakırsa, sistem tarafından yürütülür. Bu, sistemi kod enjeksiyon saldırıları olarak bilinen bir saldırılar ailesi için tamamen açık bırakır.
Araştırmacılar zaten Apache web sunucusu gibi bir yazılımın nasıl Apache web sunucusu kurmak için 3 kolay adımda nasıl Apache web sunucusu kurmak için 3 kolay adımda nasıl olursa olsun, bazı nedenlerle olabilirsiniz nokta bir web sunucusu gidiş almak istiyorum istiyorum. Kendinize belirli sayfalara veya hizmetlere uzaktan erişim izni vermek isteseniz, bir topluluk elde etmek istersiniz… ve WGET Mastering Wget ve Öğrenme Bazı Düzgün İndirme Püf Noktaları Öğrenme Wget Mastering ve Öğrenme Bazı Düzgün İndirme Püf Noktaları Öğrenme Bazen yeterli değil Bir web sitesini yerel olarak tarayıcınızdan kaydetmek için Bazen biraz daha fazla güce ihtiyacın var. Bunun için Wget olarak bilinen düzgün bir komut satırı aracı var. Wget…… kabukla etkileşime gir ve ortam değişkenlerini kullan.
Bu bash hata kötü (https://t.co/60kPlziiVv) Güvenlik açığı bulunan bir web sitesinde ters bir kabuk alın http://t.co/7JDCvZVU3S @ortegaalfredo
- Chris Williams (@diodesign) 24 Eylül 2014
CVE-2014-6271: wget -U "() test;; / usr / bin / dokunuş / tmp / VULNERABLE" myserver / cgi-bin / test
- Hernan Ochoa (@hernano) 24 Eylül 2014
Nasıl Test Edebilirsiniz??
Sisteminizin savunmasız olup olmadığını görmek mi merak ediyorsunuz? Öğrenmek kolaydır. Sadece bir terminal açıp şunu yazın:
env x = "() :;; eko savunmasız" bash -c "eko bu bir testtir”Sisteminiz savunmasız ise, aşağıdakileri verecektir:
savunmasız bu bir testEtkilenmemiş bir sistem çıkacaktır:
env x = "() :;; eko savunmasız" bash -c "eko bu bir sınama" bash: warning: x: işlev tanımı yok sayılıyor deneme bash: 'x' için işlev tanımını içe aktarma bu bir sınamaNasıl tamir edersin?
Yayınlanma tarihinde, 24 Eylül 2014'te keşfedilen hatanın düzeltilmesi ve yaması gerekirdi. Sisteminizi güncellemeniz yeterlidir. Ubuntu ve Ubuntu varyantları Dash'i ana kabuğu olarak kullanırken, Bash hala bazı sistem fonksiyonları için kullanılıyor. Sonuç olarak, güncellemeniz önerilir. Bunu yapmak için şunu yazın:
sudo apt-get güncelleme sudo apt-get yükseltmeFedora ve diğer Red Hat modellerinde, şunu yazın:
sudo yum güncellemeApple, bunun için bir güvenlik düzeltmesi henüz yayınlamıyor, ancak yaparlarsa uygulama mağazasında yayınlayacaklar. Güvenlik güncellemelerini düzenli olarak kontrol ettiğinizden emin olun.
Chromebook'lar - Linux'u temeli olarak kullanan ve çok fazla dağınıklık olmadan en zor durumları çalıştırabilenler Chromebook'ta Linux Nasıl Kurulur Chromebook'ta Linux Nasıl Kurulur Chromebook'unuzda Skype'a ihtiyacınız var mı? Steam üzerinden oyunlara erişemiyor musunuz? VLC Media Player'ı kullanmak mı istiyorsunuz? Ardından Chromebook'unuzda Linux kullanmaya başlayın. - belirli sistem fonksiyonları için Bash'i ve ana kabukları olarak Dash'i kullanın. Google’ın son sezonda güncellenmesi gerekir.
Dağıtımınız Henüz Bash'i Düzeltmediyse Ne Yapmalı?
Dağıtımınız henüz Bash için bir düzeltme yayınlayacaksa, dağıtımları değiştirmeyi veya farklı bir kabuk yüklemeyi düşünebilirsiniz..
Yeni başlayanlara Fish Shell'i incelemelerini tavsiye ederim. Bu, şu anda Bash'te mevcut olmayan ve Linux ile çalışmayı daha da keyifli hale getiren bir dizi özelliğe sahip. Bunlara otomatik öneriler, canlı VGA renkleri ve web arayüzünden yapılandırma yeteneği dahildir.
MakeUseOf'un yazarı Andrew Bolster, Git sürüm kontrol sistemiyle sıkı bir entegrasyonla gelen zSH'yi ve otomatik tamamlamayı da kontrol etmenizi önerir..
@ matthewhughes zsh, çünkü daha iyi otomatik tamamlama ve git entegrasyonu
- Andrew Bolster (@Bolster) 25 Eylül 2014
Şimdiye Kadarki En Korkunç Linux Güvenlik Açığı?
Shellshock çoktan silahlandı. Zafiyetin dünyaya açıklanmasından bir gün sonra, sistemlerin güvenliğini tehlikeye atmak için zaten vahşi ortamda kullanılmıştı. Daha da önemlisi, sadece ev kullanıcıları ve savunmasız olan işletmeler değil. Güvenlik uzmanları, hatanın askeri ve hükümet sistemlerini risk altında bırakacağını tahmin ediyorlar. Neredeyse Heartbleed’in kabusu gibi.
Kutsal İnek, CVE-2014-6271’e ait olacak çok sayıda .mil ve .gov bölgesi var..
- Kenn White (@kennwhite) Tarafindan Çekilen Ilginç Fotograflari Görüntüle 24 Eylül 2014
Yani lütfen. Sistemlerini güncelle, tamam mı? Nasıl geçtiğinizi ve bu parça hakkındaki düşüncelerinizi bildirin. Yorumlar kutusu aşağıdadır.
Fotoğraf Kredisi: zanaca (IMG_3772.JPG)