Article ID: 123006, created on Sep 26, 2014, last review on Nov 20, 2014

  • Applies to:
  • Operations Automation
  • Plesk for Linux/Unix
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo hypervisor

Информация

GNU Bash до версии 4.3 обрабатывает конечные строки после определений функций в значениях переменных окружения, что позволяет злоумышленникам удаленно исполнять любой код через специально созданное окружение, как было продемонстрировано векторами, включающими функцию ForceCommand в OpenSSH sshd, модули the mod_cgi и mod_cgid в HTTP-сервере Apache, скрипты, исполняемые неизвестными DHCP-клиентами, и другие ситуациями, в которых установка окружения происходит по ту сторону границы привилегий от исполнения Bash ("ShellShock").

Примечание. Опубликованное ранее исправление не работало; уязвимость, которая остается после применения этого неправильного исправления, получила идентификатор CVE-2014-7169.

Симптомы

Пожалуйста, воспользуйтесь автоматическим скриптом, чтобы выяснить, уязвима ли установленная версия Bash: BashCheck

Примечание. В последних версиях Bash 4.3 [Ubuntu 14.x, Debian Jessie] происходит ложное срабатывание при проверке CVE-2014-7186 (redir_stack bug) с помощью ранее опубликованного скрипта.

Примеры:

Уязвимый компьютер:

$ sh bashcheck
Vulnerable to CVE-2014-6271 (original shellshock)
Vulnerable to CVE-2014-7169 (taviso bug)
./bashcheck: line 18:  6671 Segmentation fault: 11  bash -c "true $(printf '< /dev/null
Vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser still active, likely vulnerable to yet unknown parser bugs like CVE-2014-6277 (lcamtuf bug)

Обновленный компьютер:

$ sh bashcheck
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs

Решение

Команда безопасности Redhat устранила уязвимость shellshock за несколько шагов, и каждому шагу назначен свой CVE: CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187.

Информация о последствиях для безопасности и направлениях атак опубликована в блоге Redhat.

Производители операционных систем уже выпустили исправленные версии bash:

Хотя эта уязвимость отсутствует в самих продуктах Parallels, мы настоятельно рекомендуем установить обновление, так как система может быть взломана по сети.

Вот список статей с рекомендациями по отдельным продуктам:

e0aff7830fa22f92062ee4db78133079 caea8340e2d186a540518d08602aa065 198398b282069eaf2d94a6af87dcb3ff 614fd0b754f34d5efe9627f2057b8642 5356b422f65bdad1c3e9edca5d74a1ae 400e18f6ede9f8be5575a475d2d6b0a6 a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c 29d1e90fd304f01e6420fbe60f66f838 a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article
Save as PDF