Page d'accueil Linux Pire Que Heartbleed? Découvrez ShellShock une nouvelle menace pour la sécurité sous OS X et Linux

Pire Que Heartbleed? Découvrez ShellShock une nouvelle menace pour la sécurité sous OS X et Linux

  • Edmund Richardson
  • 0
  • 3318
  • 975
Publicité

Un grave problème de sécurité avec le shell Bash - un composant majeur de la plupart des systèmes d'exploitation de type UNIX - a été découvert, avec des implications importantes pour la sécurité informatique dans le monde..

Le problème est présent dans toutes les versions du langage de script Bash jusqu'à la version 4.3, qui concerne la majorité des machines Linux, ainsi que dans leur intégralité les ordinateurs exécutant OS X. Un attaquant peut exploiter ce problème pour lancer son propre code..

Curieux de savoir comment cela fonctionne et comment vous protéger? Lisez la suite pour plus d'informations.

Qu'est-ce que Bash??

Bash (pour Bourne Again Shell) est l'interpréteur de ligne de commande par défaut utilisé sur la plupart des distributions Linux et BSD, en plus de OS X. Il est utilisé comme méthode de lancement de programmes, d'utilisation d'utilitaires système et d'interaction avec le système d'exploitation sous-jacent en lançant commandes.

De plus, Bash (et la plupart des shells Unix) permettent la création de scripts pour les fonctions UNIX dans de petits scripts. De la même manière que la plupart des langages de programmation - tels que Python, JavaScript et CoffeeScript. CoffeeScript est JavaScript sans les maux de tête. CoffeeScript est JavaScript sans les maux de tête. Je n'ai jamais vraiment aimé écrire JavaScript. Depuis le jour où j'ai écrit ma première ligne en l'utilisant, j'ai toujours regretté que tout ce que j'écrive apparaisse toujours comme un Jackson… - Bash prend en charge des fonctionnalités communes à la plupart des langages de programmation, telles que les fonctions, les variables et la portée..

Bash est presque omniprésent, beaucoup de personnes utilisant le terme «Bash» pour désigner toutes les interfaces de ligne de commande, qu’elles utilisent ou non le shell Bash. Et si vous avez déjà installé WordPress ou Ghost via la ligne de commande Signed Up for SSH only Web Hosting? Ne vous inquiétez pas - installez facilement n'importe quel logiciel Web ayant souscrit un hébergement Web réservé à SSH? Ne vous inquiétez pas - installez facilement n'importe quel logiciel Web Vous ne savez pas tout du tout comment utiliser Linux via sa puissante ligne de commande? Ne vous inquiétez plus. , ou tunnelisé votre trafic Web via SSH Comment créer un tunnel de trafic Web avec SSH Secure Shell.

Il y en a partout. Ce qui rend cette vulnérabilité d'autant plus inquiétante.

Disséquer l'attaque

La vulnérabilité - découverte par le chercheur en sécurité français Stéphane Chazleas - a provoqué beaucoup de panique chez les utilisateurs de Linux et de Mac dans le monde entier, ainsi que dans la presse spécialisée. Et pour cause, Shellshock pourrait potentiellement voir des pirates accéder à des systèmes privilégiés et exécuter leur propre code malveillant. C'est dégueulasse.

Mais comment ça marche? Au niveau le plus bas possible, il exploite le fonctionnement des variables d’environnement. Celles-ci sont utilisées à la fois par les systèmes UNIX et Windows. Que sont les variables d'environnement et comment les utiliser? [Windows] Que sont les variables d'environnement et comment puis-je les utiliser? [Windows] De temps en temps, j'apprendrai un petit conseil qui me fait penser "bon, si je le savais il y a un an, cela m'aurait fait gagner des heures". Je me souviens très bien d'avoir appris à… stocker les valeurs nécessaires au bon fonctionnement de l'ordinateur. Celles-ci sont disponibles globalement sur l'ensemble du système et peuvent soit stocker une valeur unique, telle que l'emplacement d'un dossier ou d'un numéro, ou une fonction..

Les fonctions sont un concept que l'on retrouve dans le développement logiciel. Mais que font ils? En termes simples, ils regroupent un ensemble d'instructions (représentées par des lignes de code), qui peuvent ensuite être exécutées par un autre programme ou par un utilisateur..

Le problème avec l'interpréteur Bash réside dans la façon dont il gère le stockage des fonctions en tant que variables d'environnement. Dans Bash, le code trouvé dans les fonctions est stocké entre deux accolades. Cependant, si un attaquant laisse du code Bash en dehors de l'accolade, il sera alors exécuté par le système. Cela laisse le système largement ouvert pour une famille d'attaques connues sous le nom d'attaques par injection de code..

Les chercheurs ont déjà découvert des vecteurs d’attaque potentiels en exploitant des logiciels tels que le serveur Web Apache. Comment configurer un serveur Web Apache en 3 étapes simples Comment configurer un serveur Web Apache en 3 étapes simples Quelle que soit la raison, vous pouvez Point veulent obtenir un serveur Web en cours. Que vous souhaitiez vous donner un accès à distance à certaines pages ou à certains services, vous souhaitez créer une communauté… et des utilitaires UNIX courants tels que WGET Maîtriser Wget & Learning Quelques astuces de téléchargement astucieuses Maîtriser Wget & Learning Quelques astuces de téléchargement astucieuses Parfois, ce n'est tout simplement pas suffisant enregistrer un site Web localement à partir de votre navigateur. Parfois, vous avez besoin d'un peu plus de puissance. Pour cela, il existe un petit outil en ligne de commande appelé Wget. Wget, c'est… interagir avec le shell et utiliser des variables d'environnement.

Ce bogue est mauvais (https://t.co/60kPlziiVv) Obtenez un shell inverse sur un site Web vulnérable http://t.co/7JDCvZVU3S par @ortegaalfredo

- Chris Williams (@diodesign) le 24 septembre 2014

CVE-2014-6271: wget -U "() test;; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) le 24 septembre 2014

Comment le testez-vous??

Curieux de voir si votre système est vulnérable? Découvrir est facile. Ouvrez simplement un terminal et tapez:

env x = "() :;; echo vulnérable" bash -c "echo ceci est un test”

Si votre système est vulnérable, il générera alors:

vulnérable c'est un test

Alors qu'un système non affecté produira:

env x = "() :;; écho vulnérable" bash -c "écho ceci est un test" bash: avertissement: x: tentative de définition de fonction ignorée bash: erreur lors de l'importation de la définition de fonction pour 'x' ceci est un test

Comment y remédier?

Au moment de la publication, le bogue - découvert le 24 septembre 2014 - aurait dû être corrigé et corrigé. Vous devez simplement mettre à jour votre système. Alors que les variantes Ubuntu et Ubuntu utilisent Dash comme shell principal, Bash est toujours utilisé pour certaines fonctionnalités du système. En conséquence, vous seriez bien avisé de le mettre à jour. Pour ce faire, tapez:

sudo apt-get update sudo apt-get upgrade

Sur Fedora et d’autres variantes de Red Hat, tapez:

sudo yum update

Apple n'a pas encore publié de correctif de sécurité pour ce problème, mais si c'est le cas, ils le publieront via l'App Store. Assurez-vous de vérifier régulièrement les mises à jour de sécurité..

Les Chromebooks - qui utilisent Linux comme base, et peuvent exécuter la plupart des distributions facilement. Comment installer Linux sur un Chromebook Comment installer Linux sur un Chromebook Avez-vous besoin de Skype sur votre Chromebook? Ne manquez-vous pas d’avoir accès aux jeux via Steam? Souhaitez-vous utiliser VLC Media Player? Ensuite, commencez à utiliser Linux sur votre Chromebook. - Utilisez Bash pour certaines fonctions du système et Dash comme shell principal. Google devrait mettre à jour en saison.

Que faire si votre distro n'a pas encore résolu Bash

Si votre distribution n'a pas encore publié de correctif pour Bash, vous pouvez envisager de modifier les distributions ou d'installer un shell différent..

Je recommande aux débutants de vérifier Fish Shell. Cela vient avec un certain nombre de fonctionnalités qui ne sont pas actuellement disponibles dans Bash et rendent encore plus agréable le travail avec Linux. Ceux-ci incluent des suggestions automatiques, des couleurs VGA éclatantes et la possibilité de le configurer à partir d'une interface Web..

Andrew Bolster, un autre auteur de MakeUseOf, vous recommande également de jeter un œil à zSH, qui offre une intégration étroite avec le système de contrôle de version Git, ainsi que la fonction de saisie semi-automatique..

@matthewhughes zsh, car une meilleure intégration autocomplète et git

- Andrew Bolster (@Bolster) 25 septembre 2014

La vulnérabilité de Linux la plus effrayante à ce jour?

Shellshock a déjà été transformé en arme. Un jour après que la vulnérabilité ait été révélée au monde, elle avait déjà été utilisée à l'état sauvage pour compromettre des systèmes. Plus troublant encore, ce ne sont pas seulement les utilisateurs à domicile et les entreprises qui sont vulnérables. Les experts en sécurité prédisent que le virus laissera également en danger les systèmes militaires et gouvernementaux. C'est presque aussi cauchemardesque que Heartbleed.

Bon sang, il y a beaucoup de sites .mil et .gov qui vont devenir la propriété de CVE-2014-6271.

- Kenn White (@kennwhite) le 24 septembre 2014

Donc s'il vous plait. Mettez à jour vos systèmes, d'accord? Faites-moi savoir comment vous vous en sortez et commentez-vous cette pièce. La boîte à commentaires est ci-dessous.

Crédit photo: zanaca (IMG_3772.JPG)




Personne n'a encore commenté ce post.

Facebook Lite Est-ce un remplacement utile de Facebook?
Des médias sociaux
Penser en dehors du conseil - Comment utiliser Pinterest de façon créative
Des médias sociaux
Moments La nouvelle façon dont Facebook partage ses photos avec ses amis
Des médias sociaux
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.