Bash bug a.k.a Shellshock

Tråden skapades och har fått 20 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • Göteborg
  • 2014-09-25 10:07

En bug i Bash drabbar alla *nix-system. Enligt Arstechnica och The Verge även OSX. Men bara en säkerhetsrisk om man har igång en webserver eller åtkomst via SSH.
Hur stort är detta?

Verkar vara stort och större än heartbleed.
Alla stora linux-distributioner (och troligen mindre också) har redan skickat ut uppdateringar till Bash som täpper till hålet.

Får se hur snabba Apple är, förhoppningsvis snabba.

  • Medlem
  • Göteborg
  • 2014-09-25 11:11

Troligtvis ingen panik alls för genomsnittsanvändaren. Patch till OSX kommer, och alla kommer då tycka att Apple dröjt alldeles för länge

Det stora problemet som jag förstår det är att det är oöverblickbart och förekommande i så många applikationer och apparater som aldrig kommer uppdateras. Detta är framförallt en sårbarhet för "Internet of things". Den där gamla webkameran, routern, glödlampan, när tänker du på att uppdatera den, om det över huvud taget går att uppdatera?

En bra genomgång: Troy Hunt: Everything you need to know about the Shellshock Bash bug

  • Medlem
  • Malmö
  • 2014-09-25 13:08

Om jag kör :

Citat:

env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"

Så får jag endast :

Citat:

env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"
busted
stuff

Då är det väl safe, antar jag. Frågan är hur det ligger till med Synology-nasen.

Ursprungligen av zinned:

Då är det väl safe, antar jag.

Absolut inte. Bash evaluerade miljövariabeln som du gav den och skrev ut busted, vilket den inte alls skulle ha gjort.

  • Medlem
  • Göteborg
  • 2014-09-25 13:22
Ursprungligen av zinned:

Då är det väl safe, antar jag. Frågan är hur det ligger till med Synology-nasen.

Nej. Du skulle fått enbart svaret stuff om du inte var drabbad. Nu fick du både busted och stuff.

Ett annat exempel är

Citat:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Jag får svaret

Citat:

vulnerable
this is a test

Om jag inte var drabbad så skulle jag bara fått svaret "this is a test".

Men saken är att alla som har en standardinstallation av OSX är "drabbade", tills man patchat sin Bash, och där rekommenderar jag att man väntar tills Apple släpper en uppdatering, om man inte har igång känsliga server-applikationer som man vill skydda och vet vad man gör.

Mer intressant än om man är "drabbad" är om det finns någon öppen ingång som kan attackeras och utnyttja Bash. Det är väldigt svårt att veta. Om du bara använder macen till vanliga vardagsgöromål så är risken liten. Men det kan ju ligga något gammalt program som använder SSH eller cgi-script som du inte ens använder eller tänker på längre. I bästa fall slutar de fungera när väl Bash patchas.

Ursprungligen av IngoX:

Troligtvis ingen panik alls för genomsnittsanvändaren. Patch till OSX kommer, och alla kommer då tycka att Apple dröjt alldeles för länge

Med tanke på att problemet nu är vida känt samt att patch finns tillgänglig upstream så är all tid för lång tid. De stora GNU/Linux-distributionerna samt Cygwin m.fl. hade uppdateringar ute redan igår, vissa så sent som idag. Om man kör någon form av servermiljö och det tar mer än 24 timmar att få en uppdatering så ska man installera en egen bash, längre tid än så är inte acceptabelt.

  • Medlem
  • Malmö
  • 2014-09-25 13:56
Ursprungligen av IngoX:

Nej. Du skulle fått enbart svaret stuff om du inte var drabbad. Nu fick du både busted och stuff.

Ett annat exempel ärJag får svaretOm jag inte var drabbad så skulle jag bara fått svaret "this is a test".

Men saken är att alla som har en standardinstallation av OSX är "drabbade", tills man patchat sin Bash, och där rekommenderar jag att man väntar tills Apple släpper en uppdatering, om man inte har igång känsliga server-applikationer som man vill skydda och vet vad man gör.

Mer intressant än om man är "drabbad" är om det finns någon öppen ingång som kan attackeras och utnyttja Bash. Det är väldigt svårt att veta. Om du bara använder macen till vanliga vardagsgöromål så är risken liten. Men det kan ju ligga något gammalt program som använder SSH eller cgi-script som du inte ens använder eller tänker på längre. I bästa fall slutar de fungera när väl Bash patchas.

Det jag använder är SSH in mot min Mac från annan Mac över internet för att tunnla fjärrstyrning via Skärmdelning.

Kasta in Xcode från App Store och kör följande i terminal så är det ju lugnt sedan.

mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/ba... | tar zxf -
cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-pat... | patch -p0
cd ..
xcodebuild
sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
build/Release/bash --version # GNU bash, version 3.2.52(1)-release
build/Release/sh --version # GNU bash, version 3.2.52(1)-release
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin
sudo chmod a-x /bin/bash.old /bin/sh.old

Då ligger senaste versionen av bash i OS X och buggen är historia.

  • Skribent
  • Sollentuna
  • 2014-09-25 14:12
Ursprungligen av maskh:

Kasta in Xcode från App Store och kör följande i terminal så är det ju lugnt sedan.

mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/ba... | tar zxf -
cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-pat... | patch -p0
cd ..
xcodebuild
sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
build/Release/bash --version # GNU bash, version 3.2.52(1)-release
build/Release/sh --version # GNU bash, version 3.2.52(1)-release
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin
sudo chmod a-x /bin/bash.old /bin/sh.old

Då ligger senaste versionen av bash i OS X och buggen är historia.

Verkar funka bra.

$ bash --version
GNU bash, version 3.2.52(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.
$
$
$ env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"
/bin/sh: warning: X: ignoring function definition attempt
/bin/sh: error importing function definition for `X'
stuff

Dum fråga kanske men xcodebuild tycks inte vilja vara med för mig i det kommandot..

Edit: Det var jag som bomma lite när jag skrev kommandon så glöm vad jag sa.

Jag vill bara poängtera en sak innan alla börjar bygga om sin bash i vild panik. Det här är inte ett direkt problem om man bara kör sin Mac som klient med betrodda användare. Det är först när man kör någon form av server som det under vissa omständigheter kan vara helt jättefel.

Jag kör mycket att jag kopplar upp mig mot kunders datorer , samt via vpn och mot en NAS är det tillräckligt för att känna oro ?

  • Medlem
  • Malmö
  • 2014-09-25 16:53

Vad säger @ingox @maskh och @john a ?

Påverkas min SSH-användning mot OS X? Se inlägg #10.

Ursprungligen av Stefan Willard:

Jag kör mycket att jag kopplar upp mig mot kunders datorer , samt via vpn och mot en NAS är det tillräckligt för att känna oro ?

Nej, det innebär inga direkta attackvektorer för din del.

  • Medlem
  • International user
  • 2014-09-25 17:33
Ursprungligen av John A:

Med tanke på att problemet nu är vida känt samt att patch finns tillgänglig upstream så är all tid för lång tid. De stora GNU/Linux-distributionerna samt Cygwin m.fl. hade uppdateringar ute redan igår, vissa så sent som idag. Om man kör någon form av servermiljö och det tar mer än 24 timmar att få en uppdatering så ska man installera en egen bash, längre tid än så är inte acceptabelt.

Nej, den patchen som släpptes täppt inte hålet.
En ny CVE som inte är patchas finns nu, CVE-2014-7169

Och ja, detta är STORT.
På CVSS-skalan är det en 10 i alla kategorier, alltså det högsta möjliga.

Ursprungligen av zinned:

Det jag använder är SSH in mot min Mac från annan Mac över internet för att tunnla fjärrstyrning via Skärmdelning.

Det som kan ställa till det med ssh är om du har ställt in din ssh-server att t. ex. begränsa vissa användares åtkomst, till exempel vilka kommandon som får köras. Detta är vanligt förekommande bl. a. för vissa server-tjänster som använder ssh som transportprotokoll. Många git-servrar använder exempelvis detta. Ssh tillåter att man vidarebefodrar miljövariabler och har man då bash som skal så skulle man kunna använda buggen för att ta sig runt sådana begränsningar. Men det kräver fortfarande att man tillåts logga in, så det borde inte vara något direkt problem om du bara använder ssh rakt av.

Ursprungligen av zappee:

Nej, den patchen som släpptes täppt inte hålet.
En ny CVE som inte är patchas finns nu, CVE-2014-7169

Och ja, detta är STORT.
På CVSS-skalan är det en 10 i alla kategorier, alltså det högsta möjliga.

Absolut, och det är inte alls bra. Det gör det ännu viktigare att få ut en patch snabbt, hellre en för många än att dra ut på det onödigt länge.

  • Medlem
  • Malmö
  • 2014-09-25 21:08
Ursprungligen av John A:

Det som kan ställa till det med ssh är om du har ställt in din ssh-server att t. ex. begränsa vissa användares åtkomst, till exempel vilka kommandon som får köras. Detta är vanligt förekommande bl. a. för vissa server-tjänster som använder ssh som transportprotokoll. Många git-servrar använder exempelvis detta. Ssh tillåter att man vidarebefodrar miljövariabler och har man då bash som skal så skulle man kunna använda buggen för att ta sig runt sådana begränsningar. Men det kräver fortfarande att man tillåts logga in, så det borde inte vara något direkt problem om du bara använder ssh rakt av.

Ok. Jag använder ju SSH för att skapa tunneln mellan två OSX-klienter över en viss port, som sedan skärmdelningen kör över, inget annat.

Nu finns två nya patchar ute för de som vill bygga en egen bash, allt som allt:

Fortfarande ingen officiell fix från Apple.

Ursprungligen av John A:

Nu finns två nya patchar ute för de som vill bygga en egen bash, allt som allt:

Fortfarande ingen officiell fix från Apple.

Och Apples officiella fix som släpptes häromdagen täpper fortfarande inte till allt.

1
Bevaka tråden