Co je to chyba ShellShock nebo Bash a jak ji opravit

Obsah:

Video: Co je to chyba ShellShock nebo Bash a jak ji opravit

Video: Co je to chyba ShellShock nebo Bash a jak ji opravit
Video: Top Productivity App #10 | Evernote App | Top ToDo, Note taking App | App Reviews | Technology Apps 2024, Březen
Co je to chyba ShellShock nebo Bash a jak ji opravit
Co je to chyba ShellShock nebo Bash a jak ji opravit
Anonim

Bash je základní shell systému UNIX, který je používán na mnoha platformách: od různých webhostingových serverů až po modemy, hračky atd. Pokud jste uživatel Windows, nemusíte se obávat zranitelnosti ShellShock, protože šance na to, nula. Ale pokud jste navštívili webové stránky, které se nacházejí na serverech UNIX nebo používají zboží, které používá UNIX pro fungování, můžete se stát obětí malwaru nebo něčeho podobného, který by vám mohl nějakým způsobem poškodit. Tento článek se snaží vysvětlit Bash Chyba zabezpečení nebo ShellShock jak se tomu říká, podle laikova pojetí.

Image
Image

Co je BASH

UNIX je v podstatě operační systém příkazového řádku. Přestože existuje mnoho variant, které nabízejí grafické uživatelské rozhraní (GUI), základem takových rozhraní je rozhraní UNIX (Command Line Interface). A UNIX je všude od webových serverů po "věci" v Internetu věcí. Existují objekty, jako je například připojená mikrovlnná trouba, která komunikuje v systému UNIX, nikoli pomocí jiného operačního systému, protože UNIX je jednodušší k instalaci a považuje se za bezpečnější (tj. Do doby, než se objeví bezpečnostní chyba Bash).

UNIX je také lehký operační systém a má doslova stovky příkazů, s nimiž se zabývá, a produkuje správný výstup - ať už pracuje přímo na rozhraní příkazového řádku nebo na grafickém rozhraní založeném na rozhraní příkazového řádku.

Přijíždějící do BASH je neoddělitelnou součástí systému UNIX: Je to shell systému UNIX. Chci říct, že je to část systému UNIX, která přijímá příkazy a zpracovává je, aby vám poskytla požadovaný výstup bez ohledu na to, zda byl daný příkaz dán přímo uživatelem, nebo byl odeslán do shellu pomocí nějakého grafického rozhraní.

Chyba ShellShock nebo Bash

Tato část se zabývá tím, co přesně je zranitelnost v systému UNIX, která má průmysl ohrožen. Obvykle je na příkazovém řádku mnoho věcí. Například jsou předávány hodnoty různých parametrů, které jsou zpracovány počítačem bez kontroly zdroje hodnot. Každý příkaz má jméno příkazu, přepínače a příkazové parametry. Jako například v příkazu MS DOS Type, máte příkaz syntaxe jako:

Type filename.txt /p [>textfile.txt|print]

Zde jsou názvy souboru.txt a textfile.txt parametry, které definují soubor, který chcete zobrazit nebo vytisknout. Nebo ukládat výstup do souboru textfile.txt. Příkazy jsou podobné v systému UNIX tak, že mají také parametry a UNIX se nestará o to, odkud pocházejí parametry, pokud je správná syntaxe. Totéž platí pro všechny programy rozhraní rozhraní příkazového řádku a operační systémy.

Nyní přicházejí do zranitelnosti, uživatelé se zlými úmysly mohou předávat nebezpečné parametry do libovolného příkazu UNIX s úmyslem využít tuto slabost operačního systému příkazového řádku. Uživatelé se zlými úmysly mohou předávat zničující věci jako příkazy nebo příkazové parametry bez UNIXu, protože vědí, že se chystá zničit počítač, na kterém pracuje.

Někteří odborníci tvrdí, že hodnoty environmentálních proměnných mohou ovlivnit také počítače. Proměnné prostředí jsou hodnoty, které operační systém používá k provádění konkrétních úkolů, stejně jako příkazy, ale hodnoty zde jsou globální a nejsou specifické pro příkaz.

Jako součást samotného shellu je tato zranitelnost také známá jako Shellshock a je těžké vypořádat se. Nejsem si jist, jak by různé společnosti používající systém UNIX měly řešit tuto zranitelnost, protože jsou založeny na obrovské slabosti. Bude to hodně myslet a pravděpodobně skenovat každý příkaz (který by mohl zpomalit systémy).

ShellShock Vulnerability Scanner

Spusťte tento skener na požádání od společnosti TrendMicro v systémech Linux, abyste zjistili, zda je malware BashLite rezidentní. Vyzkoušejte své webové stránky a zjistěte, zda je ohrožena chybou ShellShock nebo Bash.

Záplaty pro chybu zabezpečení

V Národní databázi pro zranitelnosti jsou uvedeny některé záplaty, které by mohly uživatelům UNIXu pomoci do jisté míry, ale předpokládám, že to nevyřeší všechny problémy spojené s chybou zabezpečení Bash. To musí pracovat odborníci v oblasti programování UNIX a může trvat nějaký čas, než bude vydána patřičná oprava, která by navždy opravila tuto zranitelnost. Do té doby budou počítače a automatizovaná zařízení používající systém UNIX stále ohrožena a mohou představovat riziko pro ostatní zařízení a počítače, které jsou k nim připojeny.

Doporučuje: