Peor que heartbleed? Conoce shellshock: una nueva amenaza a la seguridad de os x y linux
Un problema de seguridad grave con el intérprete de comandos - un componente importante de ambas mayoría de los sistemas operativos tipo UNIX - se ha descubierto, con importantes implicaciones para la seguridad informática en todo el mundo.
La cuestión está presente en todas las versiones del lenguaje de scripts Bash hasta la versión 4.3, que afecta a la mayoría de las máquinas Linux, y la totalidad de los equipos que ejecutan OS X. y se puede ver a un atacante explotar este problema para poner en marcha su propio código.
Curioso acerca de cómo funciona y cómo protegerse? Siga leyendo para obtener más información.
¿Qué es Bash?
Bash (que significa Bourne Again Shell) es el intérprete de línea de comandos predeterminado que se utiliza en la mayoría de las distribuciones de Linux y BSD, además de OS X. Se utiliza como un método de poner en marcha programas, utilizando las utilidades del sistema y la interacción con el sistema operativo subyacente mediante el lanzamiento comandos.
Vídeo: Heartbleed attack!
Además, Bash (y la mayoría de los comandos Unix) permiten que las secuencias de comandos de funciones en UNIX pequeños scripts. Al igual que en la mayoría de los lenguajes de programación tales como - Pitón, javascript y CoffeeScript - Bash soporta características comunes con la mayoría de los lenguajes de programación, tales como funciones, variables y ámbito de aplicación.Es CoffeeScript javascript sin los dolores de cabezaEs CoffeeScript javascript sin los dolores de cabezaNunca me ha gustado escribir javascript todo lo que mucho. Desde el día en que escribí mi primera línea de usarlo, siempre he resentido de que todo lo que escribo en ella siempre termina pareciéndose a un Jackson ...Lee mas
Bash está cerca de todas partes, con muchas personas que utilizan el término `golpe` para referirse a todas las interfaces de línea de comandos, independientemente de si en realidad están utilizando el intérprete de comandos. Y si ¿Alguna vez has instalado WordPress o Santo a través de la línea de comandos, o tunelizado su tráfico web a través de SSH, usted ha utilizado muy posiblemente Bash.Se inscribieron para Alojamiento Web SSH-solamente? No se preocupe - Instalar fácilmente cualquier software WebSe inscribieron para Alojamiento Web SSH-solamente? No se preocupe - Instalar fácilmente cualquier software WebNo sabe nada acerca operativo Linux a través de su poderosa línea de comandos? No se preocupe más.Lee mas
Está en todas partes. Lo que hace que esta vulnerabilidad aún más preocupante.
Diseccionando El Ataque
La vulnerabilidad - descubierto por el francés Stéphane investigador de seguridad Chazleas - ha causado una gran cantidad de pánico en los usuarios de Linux y Mac en todo el mundo, así como la atención atraída por la prensa tecnología. Y por una buena razón también, como Shellshock potencialmente podía ver los atacantes tengan acceso a sistemas privilegiados y ejecutar su propio código malicioso. Es desagradable.
pero como funciona? En el nivel más bajo posible, explota cómo Variables de entorno trabajo. Éstos se utilizan tanto por los sistemas de tipo UNIX y Windows para almacenar los valores que se requieren para que el equipo funcione correctamente. Estos están disponibles en todo el mundo disponibles en todo el sistema y se pueden almacenar ya sea un único valor - tales como la ubicación de una carpeta o un número - o una función.¿Cuáles son variables de entorno & ¿Cómo puedo usarlos? [Windows]¿Cuáles son variables de entorno & ¿Cómo puedo usarlos? [Windows]De vez en cuando voy a aprender un pequeño consejo que me hace pensar "así, si yo sabido que hace un año, entonces habría que me salvó horas de tiempo". Recuerdo muy bien aprender a ...Lee mas
Las funciones son un concepto que se encuentra en el desarrollo de software. Pero, ¿qué es lo que hacen? En pocas palabras, se lían un conjunto de instrucciones (representados por líneas de código), que más tarde se pueden ejecutar por cualquiera otro programa o un usuario.
El problema con el intérprete Bash radica en cómo se maneja el almacenamiento de funciones como variables de entorno. En Bash, el código que se encuentra en funciones se almacena entre un par de llaves. Sin embargo, si un atacante deja algo de código Bash exterior de la llave de cierre, luego será ejecutado por el sistema. Esto deja el sistema totalmente abierto para una familia de ataques conocidos como ataques de inyección de código.
Los investigadores ya han encontrado posibles vectores de ataque mediante la explotación de cómo el software como el servidor web Apache, y comunes utilidades de UNIX, como WGET interactuar con las variables de shell y entorno de uso.Cómo configurar un servidor Web Apache en 3 sencillos pasosCómo configurar un servidor Web Apache en 3 sencillos pasosCualquiera que sea la razón, es posible que en algún momento desee obtener una web servidor yendo. Si desea darse de acceso remoto a determinadas páginas o servicios, desea obtener una comunidad ...Lee mas
¿Cómo se prueba para él?
Curiosidad por ver si el sistema es vulnerable? Averiguar es fácil. Sólo tiene que abrir un terminal y escriba:
env x=`() {: -} - eco vulnerables` intento -do "Echo Esta es una prueba”
Si su sistema es vulnerable, lo hará a continuación de salida:
vulnerablethis es una prueba
Mientras que una salida voluntad sistema afectado:
env x=`() {: -} - eco vulnerables` intento -do "echo esto es una prueba"intento: advertencia: x: haciendo caso omiso de definición de función attemptbash: Error al importar definición de función para `X`this es una prueba
¿Cómo lo arreglas?
En el momento de la publicación, el error - que fue descubierto el 24 de septiembre, 2014 - debería haber sido corregido y parcheado. Usted sólo tendrá que actualizar su sistema. Mientras Ubuntu y Ubuntu variantes utilizan Dash como su shell principal, Bash todavía se utiliza para algunas funciones del sistema. Como resultado, sería aconsejable para actualizarlo. Para ello, escriba:
sudo apt-updatesudo conseguir apto-Obtener actualización
En Fedora y otras variantes de Red Hat, escriba:
yum update sudo
Apple aún es liberar una revisión de seguridad para esto, aunque si lo hacen, se dará a conocer a través de la tienda de aplicaciones. Asegúrese de que está mirando periódicamente las actualizaciones de seguridad.
Vídeo: Lab Armitage Heartbleed new
Chromebooks - que utilizan Linux como su fundamento, y puede ejecutar la mayoría de distribuciones sin mucho alboroto - uso Bash para ciertas funciones del sistema y Dash como su shell principal. Google debería debería actualizar su debido tiempo.Cómo instalar Linux en una ChromebookCómo instalar Linux en una Chromebook¿Necesita Skype en la Chromebook? ¿No echo de menos tener acceso a juegos a través de Steam? Estás suspirando utilizar VLC Media Player? A continuación, iniciar el uso de Linux en la Chromebook.Lee mas
¿Qué hacer si su distribución no ha fijado Bash embargo
Si su distribución aún es liberar una solución para Bash, es posible que desee considerar el cambio de cualquiera de las distribuciones, o la instalación de un shell diferente.
Me gustaría recomendar principiantes echa un vistazo a Shell pescado. Esto viene con una serie de características que no están actualmente disponibles en el golpe y los hacen aún más agradable para trabajar con Linux. Estos incluyen autosugestiones, colores vibrantes VGA y la posibilidad de configurarlo desde una interfaz web.
Autor del compañero MakeUseOf Andrew Bolster También recomienda que echa un vistazo zsh, que viene con una estrecha integración con el sistema de control de versiones Git, así como autocompletar.
La vulnerabilidad Scariest Linux todavía?
Shellshock ya se ha convertido en arma. Dentro de un día de la vulnerabilidad de ser compartida con el mundo, que ya había sido utilizado en la naturaleza para comprometer los sistemas. Más preocupantemente, no son sólo los usuarios domésticos y empresas que son vulnerables. Los expertos en seguridad están prediciendo que el fallo también dejará sistemas militares y gubernamentales en riesgo. Es casi como una pesadilla que era heartbleed.
Así que por favor. Actualizar sus sistemas, de acuerdo? Déjame saber cómo te va, y sus pensamientos acerca de esta pieza. Comentarios del cuadro se encuentra por debajo.
Crédito de la imagen: zanaca (IMG_3772.JPG)