Bash-bugi
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Bash-bugi
Viesti Kirjoittaja antoine »
Ainakin viimeisin Yosemite-DP näyttää olevan alttiina tälle. Aika näyttää, onko mitään todellista merkitystä.
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 7872
- Liittynyt: 15.7.2009 klo 3.11
Re: Bash-bugi
Viesti Kirjoittaja Mailia »
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Re: Bash-bugi
Viesti Kirjoittaja antoine »
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Re: Bash-bugi
Viesti Kirjoittaja antoine »
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 1574
- Liittynyt: 10.8.2007 klo 9.11
Re: Bash-bugi
Viesti Kirjoittaja jkoodari »
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Re: Bash-bugi
Viesti Kirjoittaja antoine »
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Re: Bash-bugi
Viesti Kirjoittaja antoine »
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Re: Bash-bugi
Viesti Kirjoittaja antoine »
kaivoin paikatun bashin Pacifistilla esiin ja testasin Yosemite-ympäristössä. Alkuperäinen haavoittuvuus on paikattu, mutta ns. Game Over-variaatio on edelleen voimassa.
Muokattu: korjattu omaa lukutaidottomuutta.
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 129
- Liittynyt: 9.3.2012 klo 19.29
- Paikkakunta: Pirkanmaa
Re: Bash-bugi
Viesti Kirjoittaja Omppuraakile »
-
- Viestit: 712
- Liittynyt: 28.9.2007 klo 19.39
Re: Bash-bugi
Viesti Kirjoittaja apsev »
-
- Ylläpitäjä
- Viestit: 12789
- Liittynyt: 29.6.2006 klo 11.16
- Paikkakunta: Helsinki
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Bash-bugi
Viesti Kirjoittaja securapple »
Lyhyesti : Itse juurisyytä (bugia) ei ole korjattu, vaan pelkästään helpoimmin hyväksikäytettävät hyökkäysvektorit. Eli lisää korjauksia tulossa kunnes itse juurisyy saadaan korjattua ILMAN että lukematon määrä bashia käyttäviä ohjelmia menee rikki.
Valtava määrä eri ohjelmia linuxeissa käyttää bashia johonkin tarkoitukseen, joten tämä haavoittuvuuus on todella merkittävä. Potentiaalisia hyökkäysalttiita laitteita ovat niin android-puhelinten softat, kuin xenserver -linux virtualisointialustat, macillä esim. virtualbox jossa tämän kautta voisi päästä virtualisoitavasta käyttöjärjestelmästä murtautumaan OS X:ään,lista on lähes loputon...?
Tällä hetkellä suurimmassa vaarassa ovat nettiin näkyvät linux-www serverit / muut linux serverit (dhcp,sshd,vnc,...) jotka käyttävät bashia käyttöliittymän takana. Samoin Apachen takana kaikki www-sovellukset ja varusohjelmat jotka käyttävöt bashia backend-integraatioihin.
Erityisen huolissani olen kuluttajien ADSL-purkeista ja niiden DHCP-servereistä, jotka ovat todella mehukas saalis, koska saastutetulla dhcp-serverillä voisi ko. haavoittuvuutta levittää eteenpäin bashia käyttäville dhcp-clienteille(mac?, android, linux). Tästä löytyy jo esimerkkikoodia jossa bash-bugilla päästiin dhcp-serverille, ja sieltä eteenpäin kaikki dhcp clientit murrettiin samalla bugilla.
Summarum : Näyttäisi olevan kaikkien aikojen pahin tietoturva-aukko. Korjausta ei voida tehdä juurisyylle rikkomatta monia laitteita/softia.
Seurataan miten tilanne etenee :
Jos tuo DHCP murtotekniikka etenee käytäntöön seuraa reititinvalmistajasi sivustoja ja päivitä uusi firmis asap.
Busybox -linuxin sisältävissä adsl-laitteissa ei ole bashia vaan ash joten ne eivät ole haavoittuvia.
Vaihda linux -reitittimesi shell -muuttuja bashista johonkin toiseen jos osaat, varmista että toimii ennen muutosta.
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 129
- Liittynyt: 9.3.2012 klo 19.29
- Paikkakunta: Pirkanmaa
Re: Bash-bugi
Viesti Kirjoittaja Omppuraakile »
Moni asia tässä bugista ja sen haitoista menee varmasti yli hilseen tavallisille käyttäjille - kuten minä. Muutenkin, alkaa tuntua aika hurjalta, mitä kaikkea osaamista taviskäyttäjiltä aletaan jo edellyttää tietokoneen ja verkon käytössä. Veikkaan, että moni ei edes tiedä, että hänen pitäisi seurailla aktiivisesti kaikenlaisia tietsikka- ja tietoturvakeskusteluja, jotta pysyisi kärryillä mitä missäkin on menneillään sen lisäksi, että pyrkii päivittämään suositusten mukaiset päivitykset ja toimimaan järjkevästi netissä. Tämä ei kuulu nyt enää ihan suoraan tähän topiciin, mutta liippaa mielestäni kuitenkin sen verran läheltä, että tuli sanotuksi...
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Bash-bugi
Viesti Kirjoittaja securapple »
Vielä sellainen kommentti, että pelkkä bash ei mahdollista hyväksikäyttöä jos mikään muu ohjelma ei käyttäisi sitä. Eli jos käyttäisit sitä vain itse komentotulkkina,ainoana uhkana olisi OSX:ään jo aikaisemmin, jotain muuta kautta tulleet hyökkäykset. Nämä voisivat käyttää bashin haavoittuvuutta esim. ottaaksensa Macin haltuunsa kun käytät bashia sudo -komennolla( nk. "Privilege escalation" -haavoittuvuus)
Ikävä totuus on, että vain apple tietää miten OS X :n APPLE:n tekemät eri ohjelmistot bashia käyttävät. Muista ohjelmista vastaavatkin sitten kunkin tekijät erikseen.
Tässä piilee myös korjaukset haastavuus. Koska bash on komentotulkki, tulee sen tulkita oikein erittäin suuri määrä erilaisia syötekombinaatioita. Näistä syöteyhdistelmiä pitäisi tarkastaa erittäin tarkasti ja monimutkaisesti jotta hyökkäykset eivät olisi mahdollisia. Syötetarkastuksesta eivät tietoturvakorjauksen jälkeen menisi läpi välttämättä legitiimitkään ohjelmat jos ne käyttävät bashin syntaksia "huonosti". Näin ko. tietoturvakorjaus estäisi ohjelmien toiminnan.
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 712
- Liittynyt: 28.9.2007 klo 19.39
Re: Bash-bugi
Viesti Kirjoittaja apsev »
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Bash-bugi
Viesti Kirjoittaja securapple »
Tuoreen tiedon mukaan bugia tutkittu lisää, ja nyt on löytynyt yhteensä kuusi eri hyväksikäyttötapaa.
Näistä kahteen ensimmäiseen on ollut korjauksia saatavilla. Applekin taisi päivittää tuon ensimmäisen hyväksikäyttövektorin toimimattomaksi.
Mutta edessä on loputon tie jos hoidetaan vain oireita sen mukaan kun niitä havaitaan.
Ehkä Apple on tiedostanut tämän ja työstää suurempaa remppaa jolla bash revitään irti koko OSX:stä ja IOS:sta. Tilalle voitaisiin vaihtaa esim. zsh tai muu vastaava, jonka koodin ylläpitovastuu ei ole jollain Ukrainalaisopiskelijalla
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 129
- Liittynyt: 9.3.2012 klo 19.29
- Paikkakunta: Pirkanmaa
Re: Bash-bugi
Viesti Kirjoittaja Omppuraakile »
-
- Viestit: 5366
- Liittynyt: 21.2.2004 klo 11.46
Re: Bash-bugi
Viesti Kirjoittaja pallo »
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Re: Bash-bugi
Viesti Kirjoittaja antoine »
Oletko ehkä sitä mieltä, että kaikki muukin avoimen lähdekoodin ohjelmisto pitäisi repiä irti? Tällöin ei jäisi paljoakaan jäljelle siitä vankasta unix-perustasta, joka tämänhetkisestä OS X:stä tekee niin hyvän työkalun kuin se on.
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Bash-bugi
Viesti Kirjoittaja securapple »
Toivon vilpittömästi että olisit tässä asiassa oikeassapallo kirjoitti:Mä luotan siihen, että ketju on kerännyt 16 viestiä eli kiinnostuksen tai merkityksen tälle ongelmalle voi täten laskea nollaksi. Vähintäänkin ongelma olisi nimetty Bash-gateksi, jos jotain todella merkityksellistä olisi meneillään. Varaan oikeuden olla väärässä mielipiteineni.
Skannauksia on sensoreissa havaittu netissä yllättävän vähän, katsotaan jääkö haavoittuvuuden hyväksikäyttömahdollisuudet liian laihoiksi.
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 33
- Liittynyt: 3.3.2014 klo 8.59
Re: Bash-bugi
Viesti Kirjoittaja Peltinen »
-
- Viestit: 5366
- Liittynyt: 21.2.2004 klo 11.46
Re: Bash-bugi
Viesti Kirjoittaja pallo »
securapple kirjoitti: Toivon vilpittömästi että olisit tässä asiassa oikeassa
Skannauksia on sensoreissa havaittu netissä yllättävän vähän, katsotaan jääkö haavoittuvuuden hyväksikäyttömahdollisuudet liian laihoiksi.
-Securapple
Todellisuudehan en ymmärrä asiasta mitään. Nämmöiset ongelmat olisi oikeasti kiva pystyä avaamaan niin, jotta normitaatelintallaajakin sen voisi jotenkin ymmärtää ilman monikirjaimisia lyhennyksiä, jotka vaikuttavat olevan käytössä verkkopuolella ja vaativat jatkuvaa selvittelyä, jos niistä haluaa olla perillä. Suomennokset, englannin kieliset termit sekä juuri nämä lyhennelmät niistä eivät oikein kohtaa toisiaan.
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Bash-bugi
Viesti Kirjoittaja securapple »
Teknisen sanaston ja käsitteiden "maallistamisessa" on aina omat riskinsä kun joudutaan yleistämään liikaa. Tällöin väärinymmärrysten riski kasvaa, ja lopputuloksena voi olla tarpeetonta / asiatonta ongelman paisuttelua. Oma näkemykseni on, että normitaatelintallaajien ei tulisi joutua huolehtimaan tällaisista asioista, vaan laitetoimittajien laitteiden/softien tulisi hoitaa nämä automaattisesti erilaisten päivitysmekanismien kautta. A la google chrome.pallo kirjoitti:securapple kirjoitti: Toivon vilpittömästi että olisit tässä asiassa oikeassa
Skannauksia on sensoreissa havaittu netissä yllättävän vähän, katsotaan jääkö haavoittuvuuden hyväksikäyttömahdollisuudet liian laihoiksi.
-Securapple
Todellisuudehan en ymmärrä asiasta mitään. Nämmöiset ongelmat olisi oikeasti kiva pystyä avaamaan niin, jotta normitaatelintallaajakin sen voisi jotenkin ymmärtää ilman monikirjaimisia lyhennyksiä, jotka vaikuttavat olevan käytössä verkkopuolella ja vaativat jatkuvaa selvittelyä, jos niistä haluaa olla perillä. Suomennokset, englannin kieliset termit sekä juuri nämä lyhennelmät niistä eivät oikein kohtaa toisiaan.
Omien kokemusten mukaan täällä hompussa on kuitenkin keskimääräistä osaavampaa, tietotekniikasta kiinnostunutta lukijaa. Tämän vuoksi uskaltaudun laittamaan joskus teknisempääkin kuvausta ongelmista.
-securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Re: Bash-bugi
Viesti Kirjoittaja antoine »
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Bash-bugi
Viesti Kirjoittaja securapple »
Jaahas, tulee tietoa shellshock -haavan skannausyrityksistä. Perjantain alkoivat ja volyymi näyttää kasvavan
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
Palaa sivulle “Tietoturva ja varmuuskopiointi”
- Yleiset aiheet
- ↳ Ajankohtaista Apple-maailmasta
- ↳ Käyttöjärjestelmät
- ↳ Ohjelmat
- ↳ Yleiskeskustelu
- Mac ja oheislaitteet
- ↳ Yleiskeskustelu laitteista
- ↳ MacBook, MacBook Pro ja MacBook Air
- ↳ iMac
- ↳ Mac mini
- ↳ Mac Pro ja Mac Studio
- ↳ Ongelmia Macin kanssa?
- iPhone, iPad ja Apple Watch
- ↳ iPhone-, iPad- ja Apple Watch -laitekeskustelu
- ↳ iPhone-, iPad- ja Apple Watch -ohjelmat sekä iOS
- ↳ Ongelmia iPhonen, iPadin tai Apple Watchin kanssa?
- Huviksi ja hyödyksi
- ↳ Off-topic
- ↳ Kuva ja graafinen suunnittelu
- ↳ Audio ja musiikki
- ↳ Video, televisio ja elokuvat
- ↳ Pelit ja pelaaminen
- ↳ Ohjelmointi, skriptit ja palvelimet
- ↳ Tietoturva ja varmuuskopiointi
- ↳ Verkot, mobiilidata ja muut puhelimet
- ↳ Retronurkka
- ↳ Foorumin ylläpito
- Kauppapaikka
- ↳ Myydään Mac
- ↳ Myydään iPhone, iPad ja iPod
- ↳ Myydään muut Applen tuotteet
- ↳ Myydään muuta tietotekniikkaa
- ↳ Ostetaan Mac
- ↳ Ostetaan iPhone, iPad ja iPod
- ↳ Ostetaan muut Applen tuotteet
- ↳ Ostetaan muuta tietotekniikkaa
- ↳ Vaihdetaan, annetaan, työtä haetaan ja tarjotaan
- ↳ Kauppapaikan keskustelu ja hintavinkit