Varnost

Kaj je ranljivost ShellShock ali Bash?

Kaj je ranljivost ShellShock ali Bash?

Bash je osnovna lupina UNIX-a, jezika, ki se uporablja na številnih platformah: od različnih strežnikov za spletno gostovanje do modemov, igrač itd. Če uporabljate Windows, se vam ni treba bati ranljivosti ShellShock, saj je verjetnost, da boste prizadeti, skoraj nič. Če pa ste obiskali spletna mesta, ki se gostijo na strežnikih UNIX, ali uporabljate blago, ki za delovanje uporablja UNIX, boste morda postali žrtev zlonamerne programske opreme ali česa podobnega, kar bi vam lahko na nek način škodovalo. Ta članek poskuša razložiti Bash ranljivost ali ShellShock kot se temu reče v laičnih izrazih.

Kaj je BASH

UNIX je v bistvu operacijski sistem ukazne vrstice. Čeprav obstaja veliko različic, ki ponujajo GUI (grafični uporabniški vmesnik), je osnova takšnih vmesnikov vmesnik ukazne vrstice (CLI) UNIX. In UNIX je povsod, od strežnikov za spletno gostovanje do "stvari" na internetu stvari. Obstajajo predmeti, kot je povezana mikrovalovna pečica, ki v sistemu UNIX komunicira namesto z uporabo katerega koli drugega operacijskega sistema, saj je UNIX lažje namestiti in velja za varnejšega (torej do pojava ranljivosti Bash).

UNIX je tudi lahek operacijski sistem in ima dobesedno na stotine ukazov, s katerimi se ukvarja, da ustvari ustrezen izhod - ne glede na to, ali deluje neposredno na vmesniku ukazne vrstice ali na GUI, ki temelji na vmesniku ukazne vrstice.

Prihaja v BASH in je neločljiv del UNIX-a: je lupina UNIX-a. Hočem reči, da je tisti del UNIX-a, ki sprejme ukaze in jih obdela, da vam zagotovi želeni izhod, ne glede na to, ali je ta ukaz dal uporabnik neposredno ali je bil v lupino poslan z nekakšnim GUI.

Ranljivost ShellShock ali Bash

Ta odsek govori o tem, kaj natančno je ranljivost v sistemu UNIX, zaradi katere se industrija počuti ogroženo. Običajno se v ukazni vrstici zgodi veliko stvari. Na primer, posredujejo se vrednosti različnih parametrov, ki jih računalnik obdela brez preverjanja vira vrednosti. Vsak ukaz ima ime ukaza, stikala in parametre ukaza. Tako kot na primer v ukazu MS DOS Type imate sintakso ukaza kot:

Vnesite ime datoteke.txt / p [> besedilna datoteka.txt | natisni]

Tukaj je ime datoteke.txt in besedilna datoteka.txt so parametri, ki določajo, katero datoteko si želite ogledati ali natisniti. Ali shraniti izhod v besedilno datoteko.txt. Ukazi so v UNIXu podobni na način, da imajo tudi oni parametre in UNIX ne zanima, od kod prihajajo parametri, če je sintaksa pravilna. Enako velja za vse programe in operacijske sisteme ukazne vrstice.

Zdaj, ko pridejo do ranljivosti, lahko zlonamerni uporabniki posredujejo zlonamerne parametre kateremu koli ukazu UNIX z namenom izkoristiti to slabost operacijskega sistema ukazne vrstice. Zlonamerni uporabniki lahko uničujoče stvari oddajo kot ukaze ali kot ukazne parametre, ne da bi UNIX vedel, da bo kmalu uničil računalnik, na katerem dela.

Nekateri strokovnjaki pravijo, da lahko vrednosti okoljskih spremenljivk vplivajo tudi na računalnike. Okoljske spremenljivke so vrednosti, ki jih operacijski sistem uporablja za izvajanje določenih nalog, podobno kot ukazi, vendar so vrednosti tukaj globalne in niso specifične za ukaz.

Ker je ranljivost del same lupine, je znana tudi kot Shellshock in jo je težko rešiti. Nisem prepričan, kako različna podjetja, ki uporabljajo UNIX, rešujejo to ranljivost, saj temelji na veliki šibkosti. Potrebno bo veliko razmišljanja in verjetno skeniranje vsakega ukaza (kar lahko upočasni sisteme).

Skener ranljivosti ShellShock

Zaženite ta skener na zahtevo podjetja TrendMicro v svojih sistemih Linux, da ugotovite, ali je zlonamerna programska oprema BashLite rezidenčna. Skenirajte svoje spletno mesto, da ocenite, ali je ranljivo za ranljivost ShellShock ali Bash.

Popravki za ranljivost Bash

V nacionalni zbirki podatkov o ranljivosti je naštetih nekaj popravkov, ki bi lahko v določeni meri pomagali uporabnikom UNIX-a, vendar mislim, da to ne odpravi vseh težav, povezanih z ranljivostjo Bash. Na tem se bodo morali potruditi strokovnjaki s področja programiranja UNIX in morda bo trajalo nekaj časa, preden bo izdan ustrezen popravek, da se ranljivost za vedno popravi. Do takrat bodo računalniki in avtomatizirane naprave, ki uporabljajo UNIX, še vedno ogrožene in lahko predstavljajo tveganje za druge naprave in računalnike, povezane z njimi.

Igre 5 najboljših arkadnih iger za Linux
5 najboljših arkadnih iger za Linux
Dandanes so računalniki resni stroji, ki se uporabljajo za igre na srečo. Če ne boste mogli dobiti novega visokega rezultata, boste vedeli, kaj mislim...
Igre Bitka za Wesnoth 1.13.6 Razvoj izdan
Bitka za Wesnoth 1.13.6 Razvoj izdan
Bitka za Wesnoth 1.13.6, ki je izšel prejšnji mesec, je šesta razvojna izdaja v 1.13.x series in prinaša številne izboljšave, predvsem uporabniški vme...
Igre Kako namestiti League Of Legends na Ubuntu 14.04
Kako namestiti League Of Legends na Ubuntu 14.04
Če ste ljubitelj League of Legends, je to priložnost, da preizkusite League of Legends. Upoštevajte, da LOL podpira PlayOnLinux, če uporabljate Linux....