مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
مشکل امنیتی جدیدی در پکیج Bash که در همه نسخه های لینوکسی وجود دارد گزارش شده است. که می توان از طریق این مشکل امنیتی دستورات و کامندهای لینوکسی را از راه دور بر روی سرور دیگران اجرا نمایید که در گزارش دریافتی درجه اهمیت این باگ از نوع critical (حیاتی) می باشد و باید هرچه زودتر نسبت به ایمن سازی این package اقدام نمود.
چه ورژنهایی از لینوکس دارای این مشکل امنیتی خطرناک هستند ؟
تمامی نسخه های که بر پایه RedHat نوشته شده اند که می توان سیستم عامل های CentOS , CloudLinux را نام برد و در مجموعه تمامی محصولات RedHat را می توان به ترتیب زیر نام برد.
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 4 (ELS)
چگونه از آسیب پذیر بودن سرور خود اطمینان حاصل کنیم ؟
برای این که متوجه شوید که آیا سرور شما آسیب پذیر است یا خیر دستور زیر را از طریق SSH در سرور اجرا کنید.
کد:
env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
در صورتی که سرور شما نسبت به این مشکل امنیتی خطرناک آسیب پذیر باشد. با خروجی زیر مواجه می شوید.
vulnerable#SecureHost.ir
this is a test
و در صورتی که این مشکل بر روی سرور شما برطرف شده باشد و یا وجود نداشته باشد . خروجی دستور ذکر شده به شرح ذیل می باشد.
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
حال در صورت آسیب پذیر بودن چگونه این مشکل امینی خطرناک را برطرف نماییم.
شما به جهت برطرف نمودن این مشکل امنیتی کافی است یک تیکت به بخش امنیت ارسال نمایید تا این مشکل امینی خطرناک را برای شما برطرف نمایند. و یا می توانید
دستور زیر را در سرور خود اجرا نمایید.
آیا پس از اعمال تغییرات نیاز به راه اندازی دوباره سرور است ؟
خیر پس از اعمال تغییرات نیاز به reboot سرور نیست.
جزییات بیشتر :
http://buy.securehost.ir/knowledgeba...article&id=653
https://securityblog.redhat.com/2014...ection-attack/
https://access.redhat.com/solutions/1207723
https://news.ycombinator.com/item?id=8362171
[CentOS-announce] CESA-2014:1293 Critical CentOS 6 bash Security Update
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
با سلام
ان شاء الله که با انجام بروز رسانی مشکل دوستان حل میشود .
این آسیب پذیری جدای از خطرناک بودن گستردگی بیشتری نسبت به Heartbleed دارد .
برای اطلاع بیشتر
همیشه موفق باشید
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
از دیروز حدود ساعت ۶ بعد از ظهر تا کنون در حال ایمن سازی و بروز رسانی این مشکل امنیتی در سرور های خود و دیگران مشتریان هستیم.
تمامی مشتریانی که از ما سرویس سرور مجازی مدیریت شده داشته اند
و یا
مشتریانی که پکیج مدیریت سرور ما را خریداری کرده اند نسبت به این آسیب پذیری patch شده اند. و جای هیچ نگرانی در این مورد برای مشتریان وجود ندارد.
باتشکر
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
هرچی سرور داشتیم باین باگ داشت :| اپدیت کردیم درست شد جدیدا" خیلی باگ های خطرناکی از لینوکس داره کشف میشه مشکوک هست
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
نقل قول:
نوشته اصلی توسط
pc-narmak
هرچی سرور داشتیم باین باگ داشت :| اپدیت کردیم درست شد جدیدا" خیلی باگ های خطرناکی از لینوکس داره کشف میشه مشکوک هست
این که کشف میشه مشکوک هست ؟؟؟؟؟ یا باید از لینوکس به خاطر آپدیت بودن تشکر کرد ؟؟؟
پس ویندوز خوبه ؟؟؟ که اگه کشف میشه هم کسی پچ نمیکنه ؟؟ :-|
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
متشکرم از شما
سرور بنده هم داست
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
دوستان که Redhat دارند یا سرورشان جایی است که دسترسی مستقیم به اینترنت ندارد میتونند به روش زیر باگ خود را Fix کنند.
باگ امنیتی جدید در Bash سرور های لینوکسی (CVE-2014-6271) « Linux-Tech
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
ممنون از اطلاع رسانی
من کد رو زدم و باگ نداشت
هر وقت یکبار yum update اجرا بشه آپدیت میشن همه چی و نیاز به نگرانی نیست
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
نه منظورم اینه این همه باگ خطرناک تو یک سال خیلی عجیبه
نقل قول:
نوشته اصلی توسط
OPENFIRE
این که کشف میشه مشکوک هست ؟؟؟؟؟ یا باید از لینوکس به خاطر آپدیت بودن تشکر کرد ؟؟؟
پس ویندوز خوبه ؟؟؟ که اگه کشف میشه هم کسی پچ نمیکنه ؟؟ :-|
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
نقل قول:
برای این که متوجه شوید که آیا سرور شما آسیب پذیر است یا خیر دستور زیر را از طریق SSH در سرور اجرا کنید.
کد:
env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
در صورتی که سرور شما نسبت به این مشکل امنیتی خطرناک آسیب پذیر باشد. با خروجی زیر مواجه می شوید.
vulnerable#SecureHost.ir
this is a test
و در صورتی که این مشکل بر روی سرور شما برطرف شده باشد و یا وجود نداشته باشد . خروجی دستور ذکر شده به شرح ذیل می باشد.
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
روی اوبونتو تست کردم متاسفانه سرور بنده هم مشکل داره
کد:
root@ubuntu:~# env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
vulnerable#SecureHost.ir
this is a test
root@ubuntu:~#
چطوری روی اوبونتو پچ کنیم این باگ رو ؟
دستورهای apt-get update
apt-get install bash
مشکل رو حل نکرد متاسفانه
- - - Updated - - -
نقل قول:
برای این که متوجه شوید که آیا سرور شما آسیب پذیر است یا خیر دستور زیر را از طریق SSH در سرور اجرا کنید.
کد:
env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
در صورتی که سرور شما نسبت به این مشکل امنیتی خطرناک آسیب پذیر باشد. با خروجی زیر مواجه می شوید.
vulnerable#SecureHost.ir
this is a test
و در صورتی که این مشکل بر روی سرور شما برطرف شده باشد و یا وجود نداشته باشد . خروجی دستور ذکر شده به شرح ذیل می باشد.
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
روی اوبونتو تست کردم متاسفانه سرور بنده هم مشکل داره
کد:
root@ubuntu:~# env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
vulnerable#SecureHost.ir
this is a test
root@ubuntu:~#
چطوری روی اوبونتو پچ کنیم این باگ رو ؟
دستورهای apt-get update
apt-get install bash
مشکل رو حل نکرد متاسفانه