Shellshock - Критические уязвимости в BASH

02 Октября 2014

Уважаемые клиенты.

Начиная с 24 сентября 2014 года исследователи безопасности публикуют информацию о критических уязвимостях в командной оболочке Bash. Уязвимости Shellshock подвержены все системы использующие bash в качестве shell. Проблема наблюдается во всех версиях, начиная с Bash - 1.14.

Суть проблемы

В переменные окружения возможно передать функцию, в результате эта функция выполнится. Особо критичным является, что все cgi скрипты запускаются из bash окружения, и в http заголовках можно без проблем передать bash скрипт. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни — смартфоны и планшеты, домашние маршрутизаторы, ноутбуки. Уязвимости присвоен максимальный уровень угрозы. А так как для использования Bash с cgi скриптами не требует аутентификации, то последствия взлома могут быть фатальны.

Чем грозит уязвимость?

Злоумышленник может получить доступ к внутренним данным, перенастройке окружения, распространению вирусов… В общем, возможности зловредительства практически не ограничены. Именно поэтому мы рекомендуем всем пользователям услуги VPS (VDS) хостинга срочно обновить Bash до последней версии.

Уязвим ли ваш сервер?

Это легко проверить командой:
env X="() { :;} ; echo busted" bash -c "echo hello" Если версия bash установленная на сервер уязвима, ответ будет:
busted
hello
Если не подвержена уязвимости:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello
Либо просто:
hello

Для исправления уязвимости shellshock CVE-2014-6271 и CVE-2014-7169 в bash необходимого его обновить до последней версии. Для каждой ОС делается по своему:

Debian 6

Отредактируйте /etc/apt/sources.list и добавьте в него следующую строку:
deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib После этого необходимо обновить информацию о пакетах:
apt-get update И обновить сам bash:
apt-get install bash Версия без уязвимости
Debian 6 - bash 4.1-3+deb6u2

Debian 7

На текущей версии Debian обновление проходит без редактирования sources.list. Просто выполняем сперва:
apt-get update затем обновляем bash
apt-get install bash Версия без уязвимости:
Debian 7 - bash 4.2+dfsg-0.1+deb7u3

Centos (все версии)

Обновляется через пакетный менеджер yum:
yum update bash Версии без уязвимости: CentOS 5 - bash-3.2-33.el5.1 (fixes CVE-2014-6271 only) and bash-3.2-33.el5_10.4 (fixes all CVEs)
CentOS 6 - bash-4.1.2-15.el6_5.1 (fixes CVE-2014-6172 only) and bash-4.1.2-15.el6_5.2 (fixes all CVEs)
CentOS 7 - bash-4.2.45-5.el7_0.2 (fixes CVE-2014-6271 only) and bash-4.2.45-5.el7_0.4 (fixes all CVEs)

FreeBSD

Данная уязвимость касается FreeBSD лишь косвенно, по настройкам по умолчанию используется csh в качестве shell, поэтому 99% серверов не подвержены данной уязвимости и можно не обновлять bash, если же вы все же используете нестандартные настройки и bash у вас установлен в системе как основной shell, то мы подготовили для вас бинарные файлы для замены.

Для 64х битных ОС:
cd / && fetch http://92.63.107.78/FreeBSD_8.4_bash-4.3.27.tar && tar xvf FreeBSD_8.4_bash-4.3.27.tar
cd / && fetch http://92.63.107.78/FreeBSD_9.1_bash-4.3.27.tar && tar xvf FreeBSD_9.1_bash-4.3.27.tar
Данные архивы содержат бинарный файл bash, rbash и bashbug, если их распаковать в корень сервера, они заменят файлы на исправленные (без уязвимости).

Версия без уязвимости
FreeBSD 8/9 - bash-4.3.27

02.10.2014г.
Всегда Ваш, Тубит.


ISPmanager

Новости о хостинге

14 марта 2015: Сегодня снижены цены на виртуальные серверы. Подробнее...

02 октября 2014: Критические уязвимости в BASH. Начиная с 24 сентября 2014 года исследователи безопасности публикуют информацию о критических уязвимостях в командной оболочке Bash. Подробнее...

19 ноября 2013: Изменились цены на сертификаты SSL Rapida, теперь они ниже, а значит более доступны для наших пользователей.

14 августа 2013: Сервера для услуги "Виртуальный хостинг" теперь подключаются к гигабитному каналу (1 Гбит/сек), делая 200 Мбит/сек гарантированной полосой пропускания, доступной для сервера. Подробности...