Testaa Bourne Again SHell

bash ja tietoturva

Testaa jakelusi bash tietoturva-aukon varalta eli
tsekkaa mitä tulostaa allaoleva komento:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

a) Jos tuloste on tällainen niin potentiaalinen uhka olemassa:
> vulnerable
> this is a test

b) Päivitetty bash sitä vastoin kieltäytyy yhteistyöstä ja herjaa näin:
> bash: warning: x: ignoring function definition attempt
> bash: error importing function definition for `x'
> this is a test

Lähde: http://urly.fi/hnL

15

258

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Arch on ajan tasalla

      Kiitos tästä, mietinkin miten tuon voi testata.

      Archin bash näkyy olevan ajan tasalla. Ei siis huolta. :)

    • p+5

      command not found
      ?

      • copy pastaa tuo?

        env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

    • jpst

      No mitä sitten tehdä, jos testi kertoo että vulnerable? Odottaa päivitystä, ei kai missään ole sellaista muualta ladattavissa.

      • eqweqweqwe

        kannattaa asentaa päivitykset, mutta jos ei ole tarjolla, niin sitten vaan kiltisti odottaa :)
        eikös tuo mahdollinen uhka koskenut lähinnä palvelimia, eikä niinkään työpöytä käyttöä.

      • ........

        Käyttää jotain toista komentotulkkia, onhan noita.

    • -.,-.,-..,-.,-.,-,

      ubuntu 14.04, b)

      • lopullinen... ... ..

        tänään tuli toinen päivitys.
        dpkg -s bash | grep Version
        Version: 4.3-7ubuntu1.3

    • 6AmHXcg8

      Kun käyttää Debiania niin ei tarvitse testailla. Korjaukset tulee aina ajoissa.

      • jpst

        Omassa käytössä on Debian 6 ja tämä tieto oli hyvä:
        https://wiki.debian.org/LTS/Using
        Erikoisesti "Add squeeze-lts to your sources.list"
        Tuo bash-testi antaa tulokseksi nyt "this is a test", ei muuta, ja uskoakseni asia on kunnossa.

    • 1+1

      ubuntu 12.04 LTS b)
      12.04, päivittykset ladattu (cat /etc/issue näyttää 12.04.5, ap. 12.04 kernel 3.2)
      eli riittää että 12.04 on päivitety niin tätä aukkoa ei ole

      mutta vaikka olisikin, se vaatii ao haittaskriptin ajon esim jonkun ulkopuolisen asennuksen tekemisen netistä, mikä sisältää ko haittakoodin (ulkopuoliset asennukset voi sisältää mitä tahansa muutakin haittakoodia eli asennuksia ei pidä tehdä epämääräisiltä sivuilta vaikka tämä aukko onkin korjattu)

      luotettavaksi tunnetuilta sivuilta voi joskus tarvita asentaa jotain, mikä ei sisälly pakettivarastoon, mutta pääsääntöisesti asennukset tehdään pakettivarastosta

    • ======

      F-Sökerön höpöjuttuja.

      Palvelimissa asia on jo korjattu, ja kotikoneissa ei edes ole mitään haavoittuvuutta Debianissa ja sen johdannaisissa Ubuntu-, ja Mint-versioissa.

      https://blog.cloudflare.com/bash-vulnerability-cve-2014-6271-patched/

      "Ubuntu and other Debian-derived systems that use Dash exclusively are not at risk – Dash isn't vulnerable"

      • Windows sucks!

        Mint 17 käytössä ja kaikki OK. Onneksi on turvallinen Linux. Ei tulisi mieleenikään käyttää NSA-Windowsia tai reikäistä iOS/MacOSX:aa.

    • a)=nok | b)=ok

      Uusimman bash-päivityksen jälkeen Debian on niukkasanaisempi kuin eilen :)

      $ env x='() { :;}; echo Aukon_olemassaolo_todennettu' bash -c "echo Tämä oli testi"

      a)
      > Aukon_olemassaolo_todennettu
      > Tämä oli testi

      b)
      > Tämä oli testi

      Ps. Työasemissa tällä aukolla ei liene merkitystä, mutta palvelinkäytössä asia on jo aivan eri. Esimerkin vuoksi alla testin tulos palvelimelta, jossa käyttäjätunnuksia yli 180 ja jossa mulla(kin) on tunnari:
      ______________________________________________________________

      $ env x='() { :;}; echo Aukon_olemassaolo_todennettu' bash -c "echo Tämä oli testi"
      > Aukon_olemassaolo_todennettu
      > Tämä oli testi
      $ uname -srv
      > Linux 2.6.22.19-0.1-default #1 SMP 2008-10-14 22:17:43 0200
      $ lsb_release -d
      > Description: openSUSE 10.3 (X86-64)
      ______________________________________________________________

      • jatko-osa

        ___ edellisen jatkoa (sama palvelin kyseessä) ____________

        $ bash --version
        GNU bash, version 3.2.25(1)-release (x86_64-suse-linux-gnu)
        _________________________________________________

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Hengenvaaralliset kiihdytysajot päättyivät karmealla tavalla, kilpailija kuoli

      Onnettomuudesta on aloitettu selvitys. Tapahtuma keskeytettiin onnettomuuteen. Tapahtumaa tutkitaan paikan päällä yhtei
      Kauhava
      198
      6908

    2. Ootko rakastunut?

      Kerro pois nyt
      Ikävä
      159
      2036

    3. Onhan sulla nainen parempi mieli

      Nyt? Ainakin toivon niin.
      Ikävä
      113
      1688

    4. Ujosteletko tosissaan vai mitä oikeen

      Himmailet???? Mitä pelkäät?????
      Ikävä
      51
      1390

    5. Suureksi onneksesi on myönnettävä

      Että olen nyt sitten mennyt rakastumaan sinuun. Ei tässä mitään, olen kärsivällinen ❤️
      Ikävä
      55
      1238

    6. Möykkähulluus vaati kuolonuhrin

      Nuori elämä menettiin täysin turhaan tällä järjettömyydellä! Toivottavasti näitä ei enää koskaan nähdä Kauhavalla! 😢
      Kauhava
      50
      1098

    7. Älä mies pidä mua pettäjänä

      En petä ketään. Älä mies ajattele niin. Anteeksi että ihastuin suhun varattuna. Pettänyt en ole koskaan ketään vaikka hu
      Ikävä
      100
      1074

    8. Reeniähororeeniä

      Helvetillisen vaikeaa työskennellä hoitajana,kun ei kestä silmissään yhtään läskiä. Saati hoitaa sellaista. Mitä tehdä?
      Kouvola
      7
      996

    9. Tarvitsemme lisää maahanmuuttoa.

      Väestö eläköityy, eli tarvitsemme lisää tekeviä käsiä ja veronmaksajia. Ainut ratkaisu löytyy maahanmuutosta. Nimenomaan
      Maailman menoa
      251
      954

    10. Kävit nainen näemmä mun

      Facessa katsomassa....
      Ikävä
      41
      929
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt