forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Bash выявлено ещё четыре уязвимости, эксплуатируемые через..."
Отправлено opennews, 29-Сен-14 10:11

В дополнение к изначальной выявленной уязвимости (https://www.opennet.ru/opennews/art.shtml?num=40667) в Bash (CVE-2014-6271) и обходному методу (https://www.opennet.ru/opennews/art.shtml?num=40670) атаки (CVE-2014-7169) исследователи безопасности выявили (http://lcamtuf.blogspot.ru/2014/09/bash-bug-apply-unofficial...) ещё три уязвимости, вызванные ошибками в реализации кода разбора функций. Так как разбор функций производится в Bash для всех переменных окружения, данные уязвимости также могут быть легко эксплуатированы через формирование специального содержимого, попадающего в переменные окружения. Уязвимости в bash последние дни появляются достаточно интенсивно и многие эксперты прогнозируют (http://arstechnica.com/security/2014/09/still-more-vulnerabi.../), что не все проблемы устранены. Для комплексной проверки систем на подверженность атакам Shellshock подготовлен (https://github.com/hannob/bashcheck) универсальный скрипт.
Проблемы CVE-2014-7186 и CVE-2014-7187 (http://www.openwall.com/lists/oss-security/2014/09/25/32) обнаружены (https://securityblog.redhat.com/2014/09/26/frequently-asked-.../) Флорианом Ваймером (Florian Weimer) из компании Red Hat, который сразу подготовил патч (http://www.openwall.com/lists/oss-security/2014/09/25/32) с исправлением. Проблемы вызваны некорректной обработкой операций с памятью при разборе выражений и позволяют обойти внесённые прошлыми патчами ограничения для организации выполнения кода. Кроме непосредственного устранения уязвимости патч включает и превентивную меру - вводит в обиход специальных префикс "BASH_FUNC_" при котором, в сочетании с наличием имени суффикса "()", допускается разбор функций в переменных окружения. В связи с этим дистрибутивы выпустили (http://www.ubuntu.com/usn/usn-2364-1/) третью волну обновлений Bash, в том числе включающую привязку к именам "BASH_FUNC_имя()".

Протестировать наличие проблем CVE-2014-7186 и CVE-2014-7187 можно при помощи выражений:

<font color="#461b7e">
   bash -c "true $(printf '<<EOF %.0s' {1..79})" 2>/dev/null
   if [ $? != 0 ]; then
      echo -e "Vulnerable to CVE-2014-7186"
   fi
   bash -c "`for i in {1..200}; do echo -n "for x$i in; do :;"; done; for i in {1..200}; do echo -n "done;";done`" 2>/dev/null
   if [ $? != 0 ]; then
      echo -e "Vulnerable to CVE-2014-7187"
   fi
</font>
Интересно, что проблем удалось избежать в NetBSD и FreeBSD, так как после первой уязвимости сопровождающие порт с Bash отключили (https://svnweb.freebsd.org/ports?view=revision&revision=369341) поддержку передачи функций через переменные окружения, посчитав, что, в данном случае, безопасность важнее обратной совместимости.

Что касается пятой и шестой уязвимостей CVE-2014-6277 и CVE-2014-6278, то их выявил (http://lcamtuf.blogspot.de/2014/09/bash-bug-apply-unofficial...)  Михаил Залевский (Michal Zalewski), известный польский эксперт в области компьютерной безопасности, работающий в Google. Информация о проблеме пока не придана огласке (ожидается включение исправлений в bash). Общий прогноз пока достаточно пессимистичен, так как при разборе кода функций в bash применяется достаточно большой универсальный пласт кода, который потенциально может предоставлять множество различных векторов для атак, так как данный код написан без оглядки на обработку данных, поступающих извне. Для решения проблемы рекомендовано использовать вышепредставленный патч с ограничением имён переменных, содержащих функции.

Кроме того, можно отметить статью (http://perltricks.com/article/115/2014/9/26/Shellshock-and-Perl) разработчиков языка Perl, в которой описываются пути проявления уязвимости в perl-скриптах, запускаемых в системах, в которых bash используется как /bin/sh и $SHELL. Проблемы могут проявляться в скриптах, в которых используется вызовы system и exec без разделения аргументов или открытие потока через open с перенаправлением вывода. Проблемы не специфичны для Perl и проявляются в любых других языках, позволяющих выполнять команды с использованием командной оболочки.

Также опубликован (https://www.dfranke.us/posts/2014-09-27-shell-shock-exploita...) дополнительный анализ возможных серверных систем, в которых не исключено проведение атаки Shellshock. Кроме уже упоминавшихся атаках на DHCP-клиент, CGI-скрипты и ssh-аккаунты для Git/Subversion, в обзоре утверждается о вероятном проявлении проблемы в OpenVPN (при соединении с сервером злоумышленника), Exim, qmail (http://marc.info/?l=qmail&m=141183309314366&w=2), procmail, Mailfilter, SER,  Phusion Passenger, Radius-серверы и службы Inetd (например, tcpserver). Не подвержены проблеме  Postfix, stunnel, OpenBSD inetd и xinetd.

URL: http://lcamtuf.blogspot.ru/2014/09/bash-bug-apply-unofficial...
Новость: https://www.opennet.ru/opennews/art.shtml?num=40702

Исходное сообщение
"В Bash выявлено ещё четыре уязвимости, эксплуатируемые через..." Отправлено opennews, 29-Сен-14 10:11
В дополнение к изначальной выявленной уязвимости (https://www.opennet.ru/opennews/art.shtml?num=40667) в Bash (CVE-2014-6271) и обходному методу (https://www.opennet.ru/opennews/art.shtml?num=40670) атаки (CVE-2014-7169) исследователи безопасности выявили (http://lcamtuf.blogspot.ru/2014/09/bash-bug-apply-unofficial...) ещё три уязвимости, вызванные ошибками в реализации кода разбора функций. Так как разбор функций производится в Bash для всех переменных окружения, данные уязвимости также могут быть легко эксплуатированы через формирование специального содержимого, попадающего в переменные окружения. Уязвимости в bash последние дни появляются достаточно интенсивно и многие эксперты прогнозируют (http://arstechnica.com/security/2014/09/still-more-vulnerabi.../), что не все проблемы устранены. Для комплексной проверки систем на подверженность атакам Shellshock подготовлен (https://github.com/hannob/bashcheck) универсальный скрипт. Проблемы CVE-2014-7186 и CVE-2014-7187 (http://www.openwall.com/lists/oss-security/2014/09/25/32) обнаружены (https://securityblog.redhat.com/2014/09/26/frequently-asked-.../) Флорианом Ваймером (Florian Weimer) из компании Red Hat, который сразу подготовил патч (http://www.openwall.com/lists/oss-security/2014/09/25/32) с исправлением. Проблемы вызваны некорректной обработкой операций с памятью при разборе выражений и позволяют обойти внесённые прошлыми патчами ограничения для организации выполнения кода. Кроме непосредственного устранения уязвимости патч включает и превентивную меру - вводит в обиход специальных префикс "BASH_FUNC_" при котором, в сочетании с наличием имени суффикса "()", допускается разбор функций в переменных окружения. В связи с этим дистрибутивы выпустили (http://www.ubuntu.com/usn/usn-2364-1/) третью волну обновлений Bash, в том числе включающую привязку к именам "BASH_FUNC_имя()". Протестировать наличие проблем CVE-2014-7186 и CVE-2014-7187 можно при помощи выражений: <font color="#461b7e"> bash -c "true $(printf '<<EOF %.0s' {1..79})" 2>/dev/null if [ $? != 0 ]; then echo -e "Vulnerable to CVE-2014-7186" fi bash -c "`for i in {1..200}; do echo -n "for x$i in; do :;"; done; for i in {1..200}; do echo -n "done;";done`" 2>/dev/null if [ $? != 0 ]; then echo -e "Vulnerable to CVE-2014-7187" fi </font> Интересно, что проблем удалось избежать в NetBSD и FreeBSD, так как после первой уязвимости сопровождающие порт с Bash отключили (https://svnweb.freebsd.org/ports?view=revision&revision=369341) поддержку передачи функций через переменные окружения, посчитав, что, в данном случае, безопасность важнее обратной совместимости. Что касается пятой и шестой уязвимостей CVE-2014-6277 и CVE-2014-6278, то их выявил (http://lcamtuf.blogspot.de/2014/09/bash-bug-apply-unofficial...) Михаил Залевский (Michal Zalewski), известный польский эксперт в области компьютерной безопасности, работающий в Google. Информация о проблеме пока не придана огласке (ожидается включение исправлений в bash). Общий прогноз пока достаточно пессимистичен, так как при разборе кода функций в bash применяется достаточно большой универсальный пласт кода, который потенциально может предоставлять множество различных векторов для атак, так как данный код написан без оглядки на обработку данных, поступающих извне. Для решения проблемы рекомендовано использовать вышепредставленный патч с ограничением имён переменных, содержащих функции. Кроме того, можно отметить статью (http://perltricks.com/article/115/2014/9/26/Shellshock-and-Perl) разработчиков языка Perl, в которой описываются пути проявления уязвимости в perl-скриптах, запускаемых в системах, в которых bash используется как /bin/sh и $SHELL. Проблемы могут проявляться в скриптах, в которых используется вызовы system и exec без разделения аргументов или открытие потока через open с перенаправлением вывода. Проблемы не специфичны для Perl и проявляются в любых других языках, позволяющих выполнять команды с использованием командной оболочки. Также опубликован (https://www.dfranke.us/posts/2014-09-27-shell-shock-exploita...) дополнительный анализ возможных серверных систем, в которых не исключено проведение атаки Shellshock. Кроме уже упоминавшихся атаках на DHCP-клиент, CGI-скрипты и ssh-аккаунты для Git/Subversion, в обзоре утверждается о вероятном проявлении проблемы в OpenVPN (при соединении с сервером злоумышленника), Exim, qmail (http://marc.info/?l=qmail&m=141183309314366&w=2), procmail, Mailfilter, SER, Phusion Passenger, Radius-серверы и службы Inetd (например, tcpserver). Не подвержены проблеме Postfix, stunnel, OpenBSD inetd и xinetd. URL: http://lcamtuf.blogspot.ru/2014/09/bash-bug-apply-unofficial... Новость: https://www.opennet.ru/opennews/art.shtml?num=40702

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В дополнение к изначальной выявленной уязвимости (https://www.opennet.ru/opennews/art.shtml?num=40667) 
> в Bash (CVE-2014-6271) и обходному методу (https://www.opennet.ru/opennews/art.shtml?num=40670) 
> атаки (CVE-2014-7169) исследователи безопасности выявили (http://lcamtuf.blogspot.ru/2014/09/bash-bug-apply-unofficial-patch-now.html) 
> ещё три уязвимости, вызванные ошибками в реализации кода разбора функций. Так 
> как разбор функций производится в Bash для всех переменных окружения, данные 
> уязвимости также могут быть легко эксплуатированы через формирование специального содержимого, 
> попадающего в переменные окружения. Уязвимости в bash последние дни появляются достаточно 
> интенсивно и многие эксперты прогнозируют (http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole/), 
> что не все проблемы устранены. Для комплексной проверки систем на подверженность 
> атакам Shellshock подготовлен (https://github.com/hannob/bashcheck) универсальный 
> скрипт.

> Проблемы CVE-2014-7186 и CVE-2014-7187 (http://www.openwall.com/lists/oss-security/2014/09/25/32) 
> обнаружены (https://securityblog.redhat.com/2014/09/26/frequently-asked-questions-about-the-shellshock-bash-flaws/) 
> Флорианом Ваймером (Florian Weimer) из компании Red Hat, который сразу подготовил 
> патч (http://www.openwall.com/lists/oss-security/2014/09/25/32) с исправлением. 
> Проблемы вызваны некорректной обработкой операций с памятью при разборе выражений и 
> позволяют обойти внесённые прошлыми патчами ограничения для организации выполнения кода. 
> Кроме непосредственного устранения уязвимости патч включает и превентивную меру - вводит 
> в обиход специальных префикс "BASH_FUNC_" при котором, в сочетании с наличием 
> имени суффикса "()", допускается разбор функций в переменных окружения. В связи 
> с этим дистрибутивы выпустили (http://www.ubuntu.com/usn/usn-2364-1/) третью волну 
> обновлений Bash, в том числе включающую привязку к именам "BASH_FUNC_имя()".

> Протестировать наличие проблем CVE-2014-7186 и CVE-2014-7187 можно при помощи выражений:

> <font color="#461b7e"> 
>    bash -c "true $(printf '<<EOF %.0s' {1..79})" 2>/dev/null 
>    if [ $? != 0 ]; then 
>       echo -e "Vulnerable to CVE-2014-7186" 
>    fi

>    bash -c "`for i in {1..200}; do echo -n 
> "for x$i in; do :;"; done; for i in {1..200}; do 
> echo -n "done;";done`" 2>/dev/null 
>    if [ $? != 0 ]; then 
>       echo -e "Vulnerable to CVE-2014-7187" 
>    fi 
> </font>

> Интересно, что проблем удалось избежать в NetBSD и FreeBSD, так как после 
> первой уязвимости сопровождающие порт с Bash отключили (https://svnweb.freebsd.org/ports?view=revision&revision=369341) 
> поддержку передачи функций через переменные окружения, посчитав, что, в данном случае, 
> безопасность важнее обратной совместимости.

> Что касается пятой и шестой уязвимостей CVE-2014-6277 и CVE-2014-6278, то их выявил 
> (http://lcamtuf.blogspot.de/2014/09/bash-bug-apply-unofficial-patch-now.html) 
>  Михаил Залевский (Michal Zalewski), известный польский эксперт в области компьютерной 
> безопасности, работающий в Google. Информация о проблеме пока не придана огласке 
> (ожидается включение исправлений в bash). Общий прогноз пока достаточно пессимистичен, 
> так как при разборе кода функций в bash применяется достаточно большой 
> универсальный пласт кода, который потенциально может предоставлять множество различных 
> векторов для атак, так как данный код написан без оглядки на 
> обработку данных, поступающих извне. Для решения проблемы рекомендовано использовать 
> вышепредставленный патч с ограничением имён переменных, содержащих функции.

> Кроме того, можно отметить статью (http://perltricks.com/article/115/2014/9/26/Shellshock-and-Perl) 
> разработчиков языка Perl, в которой описываются пути проявления уязвимости в perl-скриптах, 
> запускаемых в системах, в которых bash используется как /bin/sh и $SHELL. 
> Проблемы могут проявляться в скриптах, в которых используется вызовы system и 
> exec без разделения аргументов или открытие потока через open с перенаправлением 
> вывода. Проблемы не специфичны для Perl и проявляются в любых других 
> языках, позволяющих выполнять команды с использованием командной оболочки.

> Также опубликован (https://www.dfranke.us/posts/2014-09-27-shell-shock-exploitation-vectors.html) 
> дополнительный анализ возможных серверных систем, в которых не исключено проведение атаки 
> Shellshock. Кроме уже упоминавшихся атаках на DHCP-клиент, CGI-скрипты и ssh-аккаунты 
> для Git/Subversion, в обзоре утверждается о вероятном проявлении проблемы в OpenVPN 
> (при соединении с сервером злоумышленника), Exim, qmail (http://marc.info/?l=qmail&m=141183309314366&w=2), 
> procmail, Mailfilter, SER,  Phusion Passenger, Radius-серверы и службы Inetd (например, 
> tcpserver). Не подвержены проблеме  Postfix, stunnel, OpenBSD inetd и xinetd.

> URL: http://lcamtuf.blogspot.ru/2014/09/bash-bug-apply-unofficial-patch-now.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=40702

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру