विज्ञापन
ए गंभीर सुरक्षा मुद्दा बैश शेल के साथ - दुनिया भर में कंप्यूटर सुरक्षा के लिए महत्वपूर्ण प्रभाव के साथ, दोनों सबसे अधिक यूनिक्स जैसे ऑपरेटिंग सिस्टम का एक प्रमुख घटक खोजा गया है।
समस्या संस्करण 4.3 तक बैश स्क्रिप्टिंग भाषा के सभी संस्करणों में मौजूद है, जो अधिकांश लिनक्स मशीनों और ओएस एक्स को चलाने वाले कंप्यूटरों की संपूर्णता को प्रभावित करती है। और अपने कोड को लॉन्च करने के लिए इस मुद्दे का शोषण करने वाले एक हमलावर को देख सकते हैं।
इस बारे में उत्सुक कि यह कैसे काम करता है और अपने आप को कैसे सुरक्षित रखें? अधिक जानकारी के लिए आगे पढ़िए।
बैश क्या है?
बैश (बॉर्न अगेन शेल के लिए खड़ा) ओएस एक्स के अलावा, अधिकांश लिनक्स और बीएसडी वितरण पर उपयोग की जाने वाली डिफ़ॉल्ट कमांड लाइन दुभाषिया है। इसका उपयोग प्रोग्राम लॉन्च करने के तरीके के रूप में किया जाता है, सिस्टम उपयोगिताओं का उपयोग करके और कमांड लॉन्च करके अंतर्निहित ऑपरेटिंग सिस्टम के साथ बातचीत करना।
इसके अलावा, बैश (और सबसे यूनिक्स गोले) छोटी स्क्रिप्ट में यूनिक्स कार्यों की स्क्रिप्टिंग की अनुमति देते हैं। इसी तरह अधिकांश प्रोग्रामिंग भाषाओं में - जैसे कि पायथन, जावास्क्रिप्ट
और कॉफ़ीस्क्रिप्ट CoffeeScript सिरदर्द के बिना जावास्क्रिप्ट हैमैं वास्तव में जावास्क्रिप्ट इतना सब लिखना पसंद नहीं किया है। जिस दिन से मैंने इसका उपयोग करते हुए अपनी पहली पंक्ति लिखी है, मैंने हमेशा इस बात पर नाराजगी जताई है कि जो कुछ भी मैं इसमें लिखता हूं वह हमेशा जैक्सन की तरह खत्म होता है ... अधिक पढ़ें - बैश अधिकांश प्रोग्रामिंग भाषाओं, जैसे फ़ंक्शंस, चर और गुंजाइश के साथ सामान्य का समर्थन करता है।बैश सर्वव्यापी के पास है, कई लोग 'बश' शब्द का उपयोग सभी कमांड लाइन इंटरफेस का उल्लेख करने के लिए करते हैं, चाहे वे वास्तव में बैश शेल का उपयोग कर रहे हों। और अगर आपने वर्डप्रेस या घोस्ट को कमांड लाइन के माध्यम से स्थापित किया है SSH- केवल वेब होस्टिंग के लिए साइन अप किया गया? चिंता मत करो - आसानी से किसी भी वेब सॉफ्टवेयर स्थापित करेंअपने शक्तिशाली कमांड लाइन के माध्यम से लिनक्स के संचालन के बारे में पहली बात नहीं जानते हैं? चिंता और नहीं। अधिक पढ़ें , या SSH के माध्यम से अपने वेब ट्रैफ़िक को टनल करें SSH सिक्योर शेल के साथ टनल वेब ट्रैफिक कैसे अधिक पढ़ें , आपने संभवतः बैश का उपयोग किया है।
यह सर्वत्र है। जो इस भेद्यता को और अधिक चिंताजनक बनाता है।
हमला करना
भेद्यता - फ्रांसीसी सुरक्षा शोधकर्ता द्वारा खोजी गई स्टीफन चेज़लस - दुनिया भर में लिनक्स और मैक उपयोगकर्ताओं में घबराहट का एक बड़ा कारण है, साथ ही प्रौद्योगिकी प्रेस में ध्यान आकर्षित किया है। और अच्छे कारण के लिए भी, क्योंकि शेलशॉक संभावित रूप से हमलावरों को विशेषाधिकार प्राप्त प्रणालियों तक पहुंच प्राप्त करने और अपने स्वयं के दुर्भावनापूर्ण कोड को निष्पादित करने में देख सकता था। वो बहुत बेकार है।
लेकिन ये कैसे काम करता है? न्यूनतम संभव स्तर पर, यह शोषण करता है कि कैसे पर्यावरण चर काम। ये दोनों UNIX जैसे सिस्टम द्वारा उपयोग किए जाते हैं और विंडोज पर्यावरण चर क्या हैं और मैं उनका उपयोग कैसे कर सकता हूं? [खिड़कियाँ]हर अब और फिर मैं एक छोटी सी टिप सीखूंगा, जो मुझे लगता है कि "अच्छी तरह से, अगर मुझे पता है कि एक साल पहले तो यह मुझे समय के घंटे बचा लेता था"। मुझे विशद रूप से सीखने की याद है ... अधिक पढ़ें उन मानों को संग्रहीत करने के लिए जो कंप्यूटर के ठीक से काम करने के लिए आवश्यक हैं। ये पूरे सिस्टम में विश्व स्तर पर उपलब्ध हैं और या तो एक मान को स्टोर कर सकते हैं - जैसे कि फ़ोल्डर या नंबर का स्थान - या फ़ंक्शन।
कार्य एक अवधारणा है जो सॉफ्टवेयर विकास में पाई जाती है। लेकिन वे क्या करते हैं? सीधे शब्दों में कहें, तो वे निर्देशों का एक समूह (कोड की पंक्तियों द्वारा दर्शाया गया) का बंडल बनाते हैं, जिसे बाद में किसी अन्य प्रोग्राम या उपयोगकर्ता द्वारा निष्पादित किया जा सकता है।
बैश दुभाषिया के साथ मुद्दा यह है कि यह पर्यावरण चर के रूप में भंडारण कार्यों को कैसे संभालता है। बैश में, फ़ंक्शन में पाया गया कोड घुंघराले ब्रेसिज़ की एक जोड़ी के बीच संग्रहीत किया जाता है। हालांकि, अगर कोई हमलावर कर्ली ब्रेस के बाहर कुछ बैश कोड छोड़ देता है, तो उसे सिस्टम द्वारा निष्पादित किया जाएगा। यह कोड-इंजेक्शन हमलों के रूप में जाना जाने वाले हमलों के एक परिवार के लिए सिस्टम को चौड़ा-खुला छोड़ देता है।
शोधकर्ताओं ने पहले से ही संभावित आक्रमणकारी वैक्टर का शोषण करके पाया है कि कैसे सॉफ्टवेयर जैसे अपाचे वेब सर्वर 3 आसान चरणों में एक अपाचे वेब सर्वर कैसे सेट करेंजो भी कारण है, आप किसी बिंदु पर एक वेब सर्वर प्राप्त करना चाहते हो सकता है। आप अपने आप को कुछ पृष्ठों या सेवाओं के लिए दूरस्थ पहुँच देना चाहते हैं, आप एक समुदाय प्राप्त करना चाहते हैं ... अधिक पढ़ें , और आम UNIX उपयोगिताओं जैसे WGET मास्टरिंग विंग और लर्निंग कुछ नीट डाउनलोडिंग ट्रिक्सकभी-कभी किसी वेबसाइट को अपने ब्राउज़र से स्थानीय रूप से सहेजना पर्याप्त नहीं होता है। कभी-कभी आपको थोड़ी अधिक शक्ति की आवश्यकता होती है। इसके लिए, एक छोटा सा कमांड लाइन टूल है जिसे Wget के रूप में जाना जाता है। Wget है ... अधिक पढ़ें शेल के साथ सहभागिता करें और पर्यावरण चर का उपयोग करें।
यह बैश बग खराब है ( https://t.co/60kPlziiVv ) एक कमजोर वेबसाइट पर एक रिवर्स शेल प्राप्त करें http://t.co/7JDCvZVU3S द्वारा @ortegaalfredo
- क्रिस विलियम्स (@diodesign) 24 सितंबर 2014
CVE-2014-6271: wget -U "() {test?}; / Usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test
- हरनान ओचोआ (@ हर्नानो) 24 सितंबर 2014
आप इसके लिए कैसे परीक्षण करते हैं?
यह देखने के लिए उत्सुक है कि क्या आपका सिस्टम कमजोर है? पता लगाना आसान है। बस एक टर्मिनल खोलें, और टाइप करें:
env x = '() {:;}; इको कमजोर 'बैश-सी "इको यह एक परीक्षण है"
यदि आपका सिस्टम कमजोर है, तो यह आउटपुट होगा:
कमजोर यह एक परीक्षा है
जबकि एक अप्रभावित प्रणाली उत्पादन करेगी:
env x = '() {:;}; प्रतिध्वनि कमजोर 'बैश-सी' 'गूंज यह एक परीक्षण है "बैश: चेतावनी: x: कार्य परिभाषा को अनदेखा करना प्रयास बैश:' x 'के लिए फ़ंक्शन परिभाषा आयात करने में त्रुटि यह एक परीक्षण है
इसे ठीक कैसे कर सकते हैं?
प्रकाशन के समय तक, बग - जिसे 24 सितंबर, 2014 को खोजा गया था - को तय किया जाना चाहिए और पैच किया जाना चाहिए। आपको बस अपने सिस्टम को अपडेट करना होगा। जबकि उबंटू और उबंटू वेरिएंट डैश को अपने मुख्य शेल के रूप में उपयोग करते हैं, बैश अभी भी कुछ सिस्टम कार्यक्षमता के लिए उपयोग किया जाता है। परिणामस्वरूप, आपको इसे अपडेट करने की सलाह दी जाएगी। ऐसा करने के लिए, टाइप करें:
sudo apt-get update। sudo apt-get उन्नयन
Fedora और अन्य Red Hat वेरिएंट पर, टाइप करें:
सूदो यम अपडेट
Apple को इसके लिए एक सुरक्षा फ़िक्स जारी करना बाकी है, हालांकि यदि वे ऐसा करते हैं, तो वे ऐप स्टोर के माध्यम से इसे जारी करेंगे। सुनिश्चित करें कि आप नियमित रूप से सुरक्षा अपडेट के लिए जाँच कर रहे हैं।
Chrome बुक - जो लिनक्स को अपनी नींव के रूप में उपयोग करते हैं, और कर सकते हैं बहुत उपद्रव के बिना सबसे distros चलाते हैं Chrome बुक पर लिनक्स कैसे स्थापित करेंक्या आपको अपने Chrome बुक पर Skype की आवश्यकता है? क्या आपको स्टीम के माध्यम से गेम तक पहुंचने की याद नहीं है? क्या आप VLC Media Player का उपयोग करने के लिए तैयार हैं? फिर अपने Chrome बुक पर लिनक्स का उपयोग करना शुरू करें। अधिक पढ़ें - कुछ सिस्टम फ़ंक्शंस के लिए बैश का उपयोग करें और उनके मुख्य शेल के रूप में डैश करें। Google को नियत मौसम में अद्यतन करना चाहिए।
अगर आपका डिस्ट्रो सही बैश नहीं है तो क्या करें
यदि आपके डिस्ट्रो को बैश के लिए अभी तक कोई रिलीज़ जारी नहीं है, तो आप वितरण को बदलने या अलग शेल स्थापित करने पर विचार कर सकते हैं।
मैं शुरुआती जांच करने की सलाह देता हूं मछली का खोल। यह कई विशेषताओं के साथ आता है जो वर्तमान में बैश में उपलब्ध नहीं हैं और लिनक्स के साथ काम करने के लिए इसे और अधिक सुखद बनाते हैं। इनमें ऑटोसजेशन, जीवंत वीजीए रंग और इसे वेब इंटरफेस से कॉन्फ़िगर करने की क्षमता शामिल है।
बंदे MakeUseOf लेखक एंड्रयू बोलस्टर आपको चेक आउट करने की सलाह भी देता है ZSH, जो गिट संस्करण नियंत्रण प्रणाली, साथ ही स्वत: पूर्ण के साथ तंग एकीकरण के साथ आता है।
@matthewhughes zsh, क्योंकि बेहतर स्वत: पूर्ण और गिट एकीकरण
- एंड्रयू बोलस्टर (@ बोलेस्टर) २५ सितंबर २०१४
Scariest Linux कमजोरियाँ अभी तक?
शेलशॉक पहले ही हथियारबंद हो चुका है। अंदर भेद्यता का एक दिन दुनिया के लिए खुलासा किया जा रहा है, यह पहले से ही जंगली में समझौता प्रणालियों के लिए इस्तेमाल किया गया था। अधिक परेशान करने वाली बात यह है कि यह केवल उन घरेलू उपयोगकर्ताओं और व्यवसायों के लिए नहीं है जो असुरक्षित हैं। सुरक्षा विशेषज्ञ भविष्यवाणी कर रहे हैं कि बग सैन्य और सरकारी प्रणालियों को भी खतरे में छोड़ देगा। यह लगभग उतना ही बुरा है जितना कि हार्दिक था।
पवित्र गाय बहुत सारे .mil और .gov साइट हैं जो CVE-2014-6271 के स्वामित्व में मिलने वाली हैं।
- केएन व्हाइट (@kennwhite) 24 सितंबर 2014
तो कृपया। अपने सिस्टम को अपडेट करें, ठीक है? मुझे पता है कि तुम कैसे हो, और इस टुकड़े के बारे में अपने विचार। टिप्पणियाँ बॉक्स नीचे है।
चित्र का श्रेय देना:ज़ानाका (IMG_3772.JPG)
मैथ्यू ह्यूजस लिवरपूल, इंग्लैंड के एक सॉफ्टवेयर डेवलपर और लेखक हैं। वह शायद ही कभी अपने हाथ में मजबूत काली कॉफी के एक कप के बिना पाया जाता है और अपने मैकबुक प्रो और अपने कैमरे को पूरी तरह से निहारता है। आप उनके ब्लॉग को पढ़ सकते हैं http://www.matthewhughes.co.uk और @matthewhughes पर ट्विटर पर उसका अनुसरण करें