В дополнение к изначальной выявленной уязвимости (https://www.opennet.ru/opennews/art.shtml?num=40667) в Bash (CVE-2014-6271) и обходному методу (https://www.opennet.ru/opennews/art.shtml?num=40670) атаки (CVE-2014-7169) исследователи безопасности выявили (http://lcamtuf.blogspot.ru/2014/09/bash-bug-apply-unofficial...) ещё три уязвимости, вызванные ошибками в реализации кода разбора функций. Так как разбор функций производится в Bash для всех переменных окружения, данные уязвимости также могут быть легко эксплуатированы через формирование специального содержимого, попадающего в переменные окружения. Уязвимости в bash последние дни появляются достаточно интенсивно и многие эксперты прогнозируют (http://arstechnica.com/security/2014/09/still-more-vulnerabi.../), что не все проблемы устранены. Для комплексной проверки систем на подверженность атакам Shellshock подготовлен (https://github.com/hannob/bashcheck) универсальный скрипт.Проблемы CVE-2014-7186 и CVE-2014-7187 (http://www.openwall.com/lists/oss-security/2014/09/25/32) обнаружены (https://securityblog.redhat.com/2014/09/26/frequently-asked-.../) Флорианом Ваймером (Florian Weimer) из компании Red Hat, который сразу подготовил патч (http://www.openwall.com/lists/oss-security/2014/09/25/32) с исправлением. Проблемы вызваны некорректной обработкой операций с памятью при разборе выражений и позволяют обойти внесённые прошлыми патчами ограничения для организации выполнения кода. Кроме непосредственного устранения уязвимости патч включает и превентивную меру - вводит в обиход специальных префикс "BASH_FUNC_" при котором, в сочетании с наличием имени суффикса "()", допускается разбор функций в переменных окружения. В связи с этим дистрибутивы выпустили (http://www.ubuntu.com/usn/usn-2364-1/) третью волну обновлений Bash, в том числе включающую привязку к именам "BASH_FUNC_имя()".
Протестировать наличие проблем CVE-2014-7186 и CVE-2014-7187 можно при помощи выражений:
<font color="#461b7e">
bash -c "true $(printf '<<EOF %.0s' {1..79})" 2>/dev/null
if [ $? != 0 ]; then
echo -e "Vulnerable to CVE-2014-7186"
fi
bash -c "`for i in {1..200}; do echo -n "for x$i in; do :;"; done; for i in {1..200}; do echo -n "done;";done`" 2>/dev/null
if [ $? != 0 ]; then
echo -e "Vulnerable to CVE-2014-7187"
fi
</font>
Интересно, что проблем удалось избежать в NetBSD и FreeBSD, так как после первой уязвимости сопровождающие порт с Bash отключили (https://svnweb.freebsd.org/ports?view=revision&revision=369341) поддержку передачи функций через переменные окружения, посчитав, что, в данном случае, безопасность важнее обратной совместимости.
Что касается пятой и шестой уязвимостей CVE-2014-6277 и CVE-2014-6278, то их выявил (http://lcamtuf.blogspot.de/2014/09/bash-bug-apply-unofficial...) Михаил Залевский (Michal Zalewski), известный польский эксперт в области компьютерной безопасности, работающий в Google. Информация о проблеме пока не придана огласке (ожидается включение исправлений в bash). Общий прогноз пока достаточно пессимистичен, так как при разборе кода функций в bash применяется достаточно большой универсальный пласт кода, который потенциально может предоставлять множество различных векторов для атак, так как данный код написан без оглядки на обработку данных, поступающих извне. Для решения проблемы рекомендовано использовать вышепредставленный патч с ограничением имён переменных, содержащих функции.
Кроме того, можно отметить статью (http://perltricks.com/article/115/2014/9/26/Shellshock-and-Perl) разработчиков языка Perl, в которой описываются пути проявления уязвимости в perl-скриптах, запускаемых в системах, в которых bash используется как /bin/sh и $SHELL. Проблемы могут проявляться в скриптах, в которых используется вызовы system и exec без разделения аргументов или открытие потока через open с перенаправлением вывода. Проблемы не специфичны для Perl и проявляются в любых других языках, позволяющих выполнять команды с использованием командной оболочки.
Также опубликован (https://www.dfranke.us/posts/2014-09-27-shell-shock-exploita...) дополнительный анализ возможных серверных систем, в которых не исключено проведение атаки Shellshock. Кроме уже упоминавшихся атаках на DHCP-клиент, CGI-скрипты и ssh-аккаунты для Git/Subversion, в обзоре утверждается о вероятном проявлении проблемы в OpenVPN (при соединении с сервером злоумышленника), Exim, qmail (http://marc.info/?l=qmail&m=141183309314366&w=2), procmail, Mailfilter, SER, Phusion Passenger, Radius-серверы и службы Inetd (например, tcpserver). Не подвержены проблеме Postfix, stunnel, OpenBSD inetd и xinetd.
URL: http://lcamtuf.blogspot.ru/2014/09/bash-bug-apply-unofficial...
Новость: https://www.opennet.ru/opennews/art.shtml?num=40702