US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

Shellshock - обновляйте ваш bash, джентельмены

Shellshock — обновляйте ваш bash, джентельмены

Окт 1, 2014DmitryНовости

Последнее время были отмечены несколько серьезных уязвимостей популярных операционных систем. Достаточно вспомнить Heartbleed (уязвимость OpenSSL), которая затронула большинство систем, были опубликованы описания ошибок в сетевом стэке FreeBSD и возможности эскалации привилегий в определенных версиях ядра Linux. Сравнительно недавно появилось описание ошибки в популярной, можно сказать — стандартной в большинстве случаев оболочке bash. Эта уязвимость получила название Shellshock (CVE-2014-6271, CVE-2014-7169).

Вкратце об природе уязвимости: из-за ошибки интерпретатора возможно выполнение произвольного кода, описанного после кода пользовательской функции. Опасность данной ошибки в том, что произвольный код может быть передан множеством способов — в cookie, в заголовках http-запроса, в локальных переменных и так далее. Уязвимости подвержены все версии bash от 1.14 до 4.3, а в группу риска попадают не только традиционные вэб-серверы, но и множество устройств — домашние роутеры, принтсерверы и даже смартфоны.

Проверить уязвимость можно простой командой:

Shell
1
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Если после выполнения команды будет выдан текст vulnerable, то используемая версия bash уязвима:

Shell
1
2
3
4
[root@vulnerable-server ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
[root@vulnerable-server ~]#

А в том случае, если результатом выполнения команд будет только надпись ‘this is a test’, ваша система уже обновлена и использует актуальную, исправленную версию bash:

Shell
1
2
3
[root@server ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
[root@server ~]#

Если после проверки оказалось, что на сервере используется устаревшая и уязвимая версия bash, следует ее незамедлительно обновить.

Debian, Ubuntu

Все современные версии Debian/Ubuntu могут быть легко обновлены с помощью пакетного менеджера apt-get. Выполните следующие команды для того, чтобы обновить bash:

Shell
1
2
apt-get update
apt-get install --only-upgrade bash

Если используются устаревшие версии Debian или Ubuntu, то наиболее правильным способом будет обновить систему в целом. Обычно это делается с помощью команды do-release-upgrade. Будьте внимательны и сделайте резервные копии ваших данных и настроек, предупредите пользователей о предстоящих работах, а также изучите соответствующую документацию — обновление системы и используемого программного обеспечения может потребовать коррекции конфигурационных файлов, настроек CMS и так далее.

Centos, Fedora

Обновление версии bash в операционных системах семейства Red Hat Enterprise Linux производится с помощью yum:

Shell
1
yum update bash

FreeBSD

В качестве основной оболочки в FreeBSD используется tcsh, однако иногда дополнительно устанавливается bash — например, для работы определенных скриптов. В современных версиях FreeBSD обновление bash может быть выполнено с помощью пакетного менеджера pkg:

Shell
1
pkg upgrade bash

Если используется старая версия FreeBSD, где программное обеспечение устанавливается из /usr/ports, обновите дерево ports, а затем скомпилируйте и установите обновленную версию оболочки:

Shell
1
2
3
4
cd /usr/ports/shell/bash
make BATCH=yes build
make BATCH=yes deinstall
make BATCH=yes reinstall

Дополнительно рекомендуем:

  • ShellShock Tester
  • Всё, что вы хотели знать об уязвимости Shellshock (но боялись спросить)
  • Начало активного применения Shellshock
  • Host-Tracker: Проверьте своего хостера на уязвимость Shellshock
  • What is #shellshock?
Tags: security
Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

  • Критическое обновление Vesta и новые уязвимости

  • Новая уязвимость в Vesta?

← OpenVPN на VDS за несколько минут
Свой веб-сервер на nginx. Часть 1: Настраиваем SSL на «А+». →

Recent Posts

  • Scheduled Network Maintenance Announcement — Los Angeles Datacenter
    Scheduled Network Maintenance Announcement — Los Angeles Datacenter

    We would like to inform you about an upc...

  • ITLDC’s Black Friday Extravaganza: Deals That Will Make Your Data Dance! 🎉
    ITLDC’s Black Friday Extravaganza: Deals That Will Make Your Data Dance! 🎉

    Black Friday is upon us, and at ITLDC, w...

  • ITLDC in Switzerland: Because Who Said Swiss is Only Good for Chocolate? 🍫
    ITLDC in Switzerland: Because Who Said Swiss is Only Good for Chocolate? 🍫

    Hey, cloud aficionados! While the Swiss...

  • ITLDC EU Datacenter News: We’ve Upgraded!
    ITLDC EU Datacenter News: We’ve Upgraded!

    Hello, beloved cloud enthusiasts! ITLDC...

  • Fall for Savings: Up to 40% Off + Unmetered Traffic on Our SSD VDS Hosting – Limited Time Promotion!
    Fall for Savings: Up to 40% Off + Unmetered Traffic on Our SSD VDS Hosting – Limited Time Promotion!

    Greetings, fellow tech aficionados! As s...

  • ITLDC News — December 2022
    ITLDC News — December 2022

    We did not publish updates for November...

  • Let’s start our biggest SALE!
    Let’s start our biggest SALE!

    We will not complicate and publish some...

  • ITLDC News — October 2022
    ITLDC News — October 2022

    It's time to make a brief report on what...

EU Support

ITLDC EU Team

PO Box #201
Burgas
Burgas reg. 8000
Bulgaria

+1 561 2500001

[email protected]

US/APAC Support

ITLDC NOAM Team

PO Box 800054
Aventura
FL, 33280
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.