Shellshock, la fel de important ca Heartbleed

De 2 zile a fost descoperita o noua bresa (code injection vulnerability) in lumea linux, de data asta in BASH shell.
Toate versiunile de Bash sunt afectate iar impactul este 'Critical', cum il catalogheaza RedHat in Bugzilla (detalii: CVE-2014-6271).
Partea nasoala e ca fixul din prima zi de la 'maintenarii' bash de la gnu.org (patch-ul bash31-018 pt. v3.1 sau bash32-052 pt. v3.2, s.a.m.d.) nu rezolva complet problema (bash-shell e tot vulnerabil), dupa cum au descoperit mai multi developeri, ceea ce a degenerat in CVE-2014-7169 si a impus luarea de masuri, fara a mai astepta dupa cei de la gnu.org.
Astfel, RedHat de exemplu, a scos 'errata' RHSA-2014-1306 prin care anunta update-uri de versiuni bash pentru toate branch-urile lor (5, 6, 7):

Quote

Developerii altor distro-uri au scos la randul lor versiuni patch-uite de bash, de ex. Slackware a publicat in SSA:2014-268-01 update-uri pentru versiunile 13.0, 13.1, 13.37, 14.0, 14.1 si 'current'

Sunt disponibile pe net si metode de testare a versiunii instalate de BASH, de catre fiecare, pentru a detecta daca e vulnerabila sau nu...
rulati in consola bash c-da:
env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"
iar daca aveti in output cuvantul 'vulnerable' (ca mai jos), atunci trebuie sa actualizati versiunea de bash:

vulnerable
bash: BASH_FUNC_x(): line 0: syntax error near unexpected token `)'
bash: BASH_FUNC_x(): line 0: `BASH_FUNC_x() () { :;}; echo vulnerable'
bash: error importing function definition for `BASH_FUNC_x'
test

Versiunea initiala de fix (CVE-2014-6271) de la gnu.org returneaza ceva de genul:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
bash: error importing function definition for `BASH_FUNC_x()'
test

insa versiunile revizuite de developerii distro-urilor care au luat astazi masuri (conform cu CVE-2014-7169) returneaza ceva de genul:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `BASH_FUNC_x'
test

Mai puteti testa daca versiunea de bash pe care-o aveti instalata rezolva CVE-2014-6271, dar este inca vulnerabila (sau nu) la CVE-2014-7169, prin apelarea unei functii bash care in versiunea buggy poate sa creeze un fisier temporar, dar nu si in versiunea full-patched:

cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo

Practic se incearca scrierea datei (si orei) curente intr-un fisier temporar (numit 'echo') dintr-un folder cu full-permissions (/tmp), dupa care se afiseaza continutul fisierului; daca vedeti data curenta (cam ca mai jos), inca versiunea de bash e vulnerabila:

bash: x: line 1: syntax error near unexpected token `='
bash: x: line 1: `'
bash: error importing function definition for `x'
Fri Sep 26 11:49:58 GMT 2014

in schimb daca data curenta nu e afisata si mai primiti si un mesaj ca fisierul nu exista, atunci sunteti OK:

date
cat: /tmp/echo: No such file or directory

P.S. sper sa nu aveti prea multe servere de patch-uit, ca eu de vreo 2 zile doar asta am facut

Edited by marco71, 26 September 2014 - 21:09.

marco71, on 26 septembrie 2014 - 21:00, said:

Automatizează.

Pai unde s-a putut am automatizat, de ex. la masinile RHEL inregistrate la Sattelite am aplicat errata RHSA-2014-1306 din interfata; unde am avut un user comun de ssh si acces din acelasi VLAN am mai bagat c-zi remote cu dsh ... dar problema a fost zecile de servere distribuite in diverse locatii, cu distro-uri diferite (RHEL v4, 5, 6, SLES v10, 11) si cu policy-uri de security/acces diferite (unele prin VPN, altele prin jump-host-uri publice)