-
September 25th, 2014, 03:08
#1
عضو انجمن
مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
مشکل امنیتی جدیدی در پکیج Bash که در همه نسخه های لینوکسی وجود دارد گزارش شده است. که می توان از طریق این مشکل امنیتی دستورات و کامندهای لینوکسی را از راه دور بر روی سرور دیگران اجرا نمایید که در گزارش دریافتی درجه اهمیت این باگ از نوع critical (حیاتی) می باشد و باید هرچه زودتر نسبت به ایمن سازی این package اقدام نمود.
چه ورژنهایی از لینوکس دارای این مشکل امنیتی خطرناک هستند ؟
تمامی نسخه های که بر پایه RedHat نوشته شده اند که می توان سیستم عامل های CentOS , CloudLinux را نام برد و در مجموعه تمامی محصولات RedHat را می توان به ترتیب زیر نام برد.
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 4 (ELS)
چگونه از آسیب پذیر بودن سرور خود اطمینان حاصل کنیم ؟
برای این که متوجه شوید که آیا سرور شما آسیب پذیر است یا خیر دستور زیر را از طریق SSH در سرور اجرا کنید.
کد:
env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
در صورتی که سرور شما نسبت به این مشکل امنیتی خطرناک آسیب پذیر باشد. با خروجی زیر مواجه می شوید.
vulnerable#SecureHost.ir
this is a test
و در صورتی که این مشکل بر روی سرور شما برطرف شده باشد و یا وجود نداشته باشد . خروجی دستور ذکر شده به شرح ذیل می باشد.
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
حال در صورت آسیب پذیر بودن چگونه این مشکل امینی خطرناک را برطرف نماییم.
شما به جهت برطرف نمودن این مشکل امنیتی کافی است یک تیکت به بخش امنیت ارسال نمایید تا این مشکل امینی خطرناک را برای شما برطرف نمایند. و یا می توانید
دستور زیر را در سرور خود اجرا نمایید.
آیا پس از اعمال تغییرات نیاز به راه اندازی دوباره سرور است ؟
خیر پس از اعمال تغییرات نیاز به reboot سرور نیست.
جزییات بیشتر :
http://buy.securehost.ir/knowledgeba...article&id=653
https://securityblog.redhat.com/2014...ection-attack/
https://access.redhat.com/solutions/1207723
https://news.ycombinator.com/item?id=8362171
[CentOS-announce] CESA-2014:1293 Critical CentOS 6 bash Security Update
ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
My
Crime Is My
Advisory .
Hacking Is The Best But Security Is The First
The Best Secure Hosting in Iran
http://SecureHost.ir
جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host
-
تعداد تشکر ها ازsecure_host به دلیل پست مفید
Abolijoon, afshinh, asdadsdxz, AvalinHost, downloaddl, InterServer.ir, iran-developers, love_hunter, moalax, MOHAMMAD MOHSEN, morteza1200, NarvanData, omid3963, OmidX, Parti_Baz, phoneix, rezaonline.net, SainaServer, sharbazi, taha_2011, takpar7, TN Projects, Yas-Host
-
September 25th, 2014 03:08
# ADS
-
September 25th, 2014, 03:41
#2
عضو جدید
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
با سلام
ان شاء الله که با انجام بروز رسانی مشکل دوستان حل میشود .
این آسیب پذیری جدای از خطرناک بودن گستردگی بیشتری نسبت به Heartbleed دارد .
برای اطلاع بیشتر
همیشه موفق باشید
ویرایش توسط moalax : September 25th, 2014 در ساعت 03:48
-
-
September 25th, 2014, 10:47
#3
عضو انجمن
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
از دیروز حدود ساعت ۶ بعد از ظهر تا کنون در حال ایمن سازی و بروز رسانی این مشکل امنیتی در سرور های خود و دیگران مشتریان هستیم.
تمامی مشتریانی که از ما سرویس سرور مجازی مدیریت شده داشته اند
و یا
مشتریانی که پکیج مدیریت سرور ما را خریداری کرده اند نسبت به این آسیب پذیری patch شده اند. و جای هیچ نگرانی در این مورد برای مشتریان وجود ندارد.
باتشکر
ویرایش توسط secure_host : September 25th, 2014 در ساعت 10:50
ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
My
Crime Is My
Advisory .
Hacking Is The Best But Security Is The First
The Best Secure Hosting in Iran
http://SecureHost.ir
جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host
-
تعداد تشکر ها ازsecure_host به دلیل پست مفید
-
September 25th, 2014, 13:04
#4
عضو انجمن
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
هرچی سرور داشتیم باین باگ داشت :| اپدیت کردیم درست شد جدیدا" خیلی باگ های خطرناکی از لینوکس داره کشف میشه مشکوک هست
-
-
September 25th, 2014, 13:46
#5
عضو انجمن
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
نوشته اصلی توسط
pc-narmak
هرچی سرور داشتیم باین باگ داشت :| اپدیت کردیم درست شد جدیدا" خیلی باگ های خطرناکی از لینوکس داره کشف میشه مشکوک هست
این که کشف میشه مشکوک هست ؟؟؟؟؟ یا باید از لینوکس به خاطر آپدیت بودن تشکر کرد ؟؟؟
پس ویندوز خوبه ؟؟؟ که اگه کشف میشه هم کسی پچ نمیکنه ؟؟ 
دایرکت وب:: شرکت داده پرداز اَبر زاگرس :: شماره ثبت 5708 
ارایه دهنده ی سرور مجازی و اختصاصی ایران / خدمات حرفه ای کانفیگ سرور + مانیتتورینگ .
-
تعداد تشکر ها ازOPENFIRE به دلیل پست مفید
-
September 25th, 2014, 13:54
#6
عضو جدید
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
متشکرم از شما
سرور بنده هم داست
-
-
September 25th, 2014, 13:59
#7
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
دوستان که Redhat دارند یا سرورشان جایی است که دسترسی مستقیم به اینترنت ندارد میتونند به روش زیر باگ خود را Fix کنند.
باگ امنیتی جدید در Bash سرور های لینوکسی (CVE-2014-6271) « Linux-Tech
-
-
September 25th, 2014, 23:07
#8
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
ممنون از اطلاع رسانی
من کد رو زدم و باگ نداشت
هر وقت یکبار yum update اجرا بشه آپدیت میشن همه چی و نیاز به نگرانی نیست
-
-
September 26th, 2014, 00:44
#9
عضو انجمن
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
نه منظورم اینه این همه باگ خطرناک تو یک سال خیلی عجیبه
نوشته اصلی توسط
OPENFIRE
این که کشف میشه مشکوک هست ؟؟؟؟؟ یا باید از لینوکس به خاطر آپدیت بودن تشکر کرد ؟؟؟
پس ویندوز خوبه ؟؟؟ که اگه کشف میشه هم کسی پچ نمیکنه ؟؟
-
-
September 26th, 2014, 02:15
#10
عضو انجمن
پاسخ : مشکل امنیتی بسیارخطرناک در Bash - تمامی سیستم عامل های لینوکس
برای این که متوجه شوید که آیا سرور شما آسیب پذیر است یا خیر دستور زیر را از طریق SSH در سرور اجرا کنید.
کد:
env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
در صورتی که سرور شما نسبت به این مشکل امنیتی خطرناک آسیب پذیر باشد. با خروجی زیر مواجه می شوید.
vulnerable#SecureHost.ir
this is a test
و در صورتی که این مشکل بر روی سرور شما برطرف شده باشد و یا وجود نداشته باشد . خروجی دستور ذکر شده به شرح ذیل می باشد.
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
روی اوبونتو تست کردم متاسفانه سرور بنده هم مشکل داره
کد:
root@ubuntu:~# env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
vulnerable#SecureHost.ir
this is a test
root@ubuntu:~#
چطوری روی اوبونتو پچ کنیم این باگ رو ؟
دستورهای apt-get update
apt-get install bash
مشکل رو حل نکرد متاسفانه
- - - Updated - - -
برای این که متوجه شوید که آیا سرور شما آسیب پذیر است یا خیر دستور زیر را از طریق SSH در سرور اجرا کنید.
کد:
env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
در صورتی که سرور شما نسبت به این مشکل امنیتی خطرناک آسیب پذیر باشد. با خروجی زیر مواجه می شوید.
vulnerable#SecureHost.ir
this is a test
و در صورتی که این مشکل بر روی سرور شما برطرف شده باشد و یا وجود نداشته باشد . خروجی دستور ذکر شده به شرح ذیل می باشد.
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
روی اوبونتو تست کردم متاسفانه سرور بنده هم مشکل داره
کد:
root@ubuntu:~# env x='() { :;}; echo vulnerable#SecureHost.ir' bash -c "echo this is a test"
vulnerable#SecureHost.ir
this is a test
root@ubuntu:~#
چطوری روی اوبونتو پچ کنیم این باگ رو ؟
دستورهای apt-get update
apt-get install bash
مشکل رو حل نکرد متاسفانه
-
