Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu

Diskuse k článku

V Linuxu a OS X našli extrémně nebezpečnou chybu. Je 20 let stará

V UNIXových operačních systémech nejsou chyby objevovány zdaleka tak často jako ve Windows, ale když už, tak to stojí za to. Kritická chyba v procesoru „Bash“ se týká většiny linuxových distribucí i systémů od Applu. V ohrožení jsou notebooky, servery, routery a spousta elektroniky.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J74a98n 69M23i13c11h86á96l93e84k 3360885513385

V archu stačí aktualizovat balíček s bashem, což bysem stejně dřív nebo pozdějc udělal. O servry se stará odborník a ten tohle má pod palcem.

0/0
29.9.2014 10:54

P95a40v25e16l 21O11d32r46a56z25i70l 6934809267230

Super, napsalo to

"vulnerable

this is a test"

a ne

"Vulnerable"

tož to su klidný

+1/−1
26.9.2014 20:51

J23a93n 65P28o12s21p10í66š55i27l 5811219818419

Docela by mě zajímalo, kolik lidí si nainstalovalo binární patch z nějakého nedůvěryhodného zdroje. Na tom webu shellshocker.net se alespoň korektně odkazují na patche z gnu.org, ale kolik lidí si asi "opravilo" systém nainstalováním nějaké "spící bestie"?

0/0
26.9.2014 14:01

P27a13v25e36l 55K84r30e23j53č80í12ř 2982371523546

Záplatu stahujte ze Slunečnice ;-D

+2/0
26.9.2014 16:42

F52r19a30n70t83a 79P89r70e69i49s27s 5954734697884

Dneska mi vyskočil 2x update Bashe na notebooku s Linuxem (Mint - na Ubuntu 14 tuším). A jsem čistej

+1/0
26.9.2014 17:54

V38a89c49l15a38v 21M55e66d35e40k 5911102495835

totéž na Suse ... takže pokud se windowsáci radují, že konečně došlo s problémy i na linux, tak tady vidí, jak se problémy řeší. Netrvá to měsíc, jako u Microsoftu.

+4/0
26.9.2014 23:25

F26r13a83n57t22a 13P18r61e50i97s60s 5364424547854

A už to proběhlo na všechny mé server, většinou debian, ubuntu... Windows server taky chce aktualizace, ale tam mám k tlačítku "Instalovat" respekt :-D

+2/0
27.9.2014 0:28

V38a88c56l52a64v 51M21e58d31e23k 5421952515935

ale hlavně na Windows server se záplaty dělají jedno úterý v měsíci, a ne do druhého dne, a je vyžadován restart

+1/0
27.9.2014 1:11

M39i90c78h50a85l 52P46i43n47d60j66a79k 5763494517537

8-o8-o8-o

0/0
27.9.2014 11:09

T12o78m10a80s 96H51a45c57e83k 6424157535617

No doufam ze mate padny duvod pro beh bashe na Windows. Ja bych to nedelal pokud bych nebyl donucen nasilim :-)

0/0
27.9.2014 9:14

T44o78m16a66s 66H20a16c81e84k 6564127495937

Takto kriticke chyby mesic netrvaji. Prvni utery jsou bezne zaplaty. Kriticke se vydavaji mimo toto nacasovani.

0/0
27.9.2014 9:12

M50i94c85h84a73l 71C17h77a20l63u95p69a 6968860559313

Holt Microsoft to víc testuje. Linuxáci to asi commitnou a hned vydají, jestli se kvůli tomu někomu podělá systém se tam tolik neřeší.

0/−1
27.9.2014 19:40

R66a52d47i91m 81Z13a81t59o22p20e38k 9442715272327

Uzivatele Linuxu na desktopu, ci ntb jsou 3 skupiny. 1. Ma presne prehled o tom, co se v systemu deje. Sice maji schopnosti k tomu, aby si nainstalovali patch svepomoci, ale rozhodne by neudelali takovou kravinu, ze by po rootem spustili cokoliv z neovereneho zdroje.   2. Nemaji vubec tucha, co se v systemu deje a vubec je to netrapi. Jedine co vi, ze kdyz jim na liste zablika, ze jsou nove aktualizace, tak zadaji sve heslo a pockaji, nez se aktualizace dokonci. Pripadne jim OS spravuje nekdo ve firme, nebo vzdalene. 3. takovi ti "poweruseri" kteri si mysli, jak maj Linux zmaknuty, ale pritom jsou schopni spustit po rootem stylem copy&paste script z nejakeho diskusniho fora, aniz by meli poneti o tom, co vlastne dela.  Prvnim dvoum skupinam vlastne nic nehrozi a ti z 3. skupiny si o prusery primo koleduji a zaslouzi si je :)

0/−1
27.9.2014 8:53

P96a40v12e10l 49M70o98r67a42v46e82c 3332259202958

Nezlobte se, ale o problému ShellShocku nic nevíte. Tam stačí mít na webserveru (neběžícím pod rootem) jeden ze dvou běžných modulů, nebo jen pitomý CGI skript, nebo mít DHCP server, vše zabezpečeno, v normálním provozu, a útočník bez znalosti jakéhokoliv hesla mohl provést jakýkoliv příkaz (spuštěný pod uživatelem jenž spouští ten webserver či DHCP server).

0/−1
27.9.2014 12:13

R68a32d60i59m 28Z13a64t56o22p47e23k 9362715632437

Zato vy jste evidentne odbornik, kdyz se ani nepodivate, na co jsem reagoval, ale hned je vam jasne, ze o shellshocku nic nevim :)

+1/0
27.9.2014 14:32
Foto

K71a15r92e41l 97T38o94m85á15š59e66k 7844159547979

Konečně se LINUX a APPLE dočkaly, že si jich někdo začal všímat. A ten profesor, který tu chybu objevil těn operačním systémům pořádně zatopil. Než se to zaplátuje, budou mít hackeři žně.

0/−8
26.9.2014 13:48

P78a65v48e26l 51M15o82r21a97v28e42c 3832889622368

"než se to záplatuje" - četl jste ten článek pořádně?;-)

0/0
26.9.2014 14:24

L44u36d13v98í74k 77G40a82j22d67o72š45í55k 2105603274582

No jo Karle. Ale ono už je to "zaplátované" :-)

+4/0
27.9.2014 0:29

T11o24m67a56s 86H55a22c37e87k 6934937225647

Pri vsi ucte tak na spoustu veci zaplaty jeste zdaleka nejsou. Linuxove jadro bezi v mnoha vecech. Jen u nas je mnoho set zarizeni ktere bude nutne patchnout. Krome serveru jsou to routery, call mangery, DC switche, load balancery, firewally, ... Je toho moc. Bude trvat nejakou dobu nez se podari vse "zazaplatovat".

0/0
27.9.2014 9:10

M54a16r33e78k 25H40r80u16b79y 6307482811368

Jenze maloco z toho pouziva bash. Embedded linux typicky pouziva nejakou variantu busyboxu, ktera ma sh. A pokud nekdo pouziva bash pro v CGI skriptech, tak si nejspis nic lepsiho nezaslouzi :-P

0/0
28.9.2014 21:39

T58o77m68a37s 21H47a11c83e81k 6734947785567

Opravdu? Snad jedine na co jsme narazili co pouziva busybox je VMWare ESX. Jinak vse ostatni, od Cisca (krome stareho IOS) az po Checkpoint je zranitelne. A evidentne se bash pouziva i v CGI skriptech.

0/0
29.9.2014 0:22

M80a90r70e85k 82H46r70u57b22y 6657222761838

U vetsich boxu je samozrejme pravdepodobnost vyssi, zvlaste, kdyz pouzivaji vcelku standardni distribuce. Ty ale obvykle disponuji patchem a casto i nejakym adminem ;-) V tehle souvislosti casto zminovane SOHO firewally, IP kamery, routery, NASy apod. ktere nejspis nemaji ani jedno zase bash tak casto nepouzivaji.

A pro CGI skripty jsou vhodnejsi shelly, pouziti bashe zavani lamerstvim;-)

0/0
29.9.2014 10:56

T30o46m52a31s 93H29a73c60e96k 6434687595817

No ale zpatky tedy k tomu co jsem rikal. Na spoustu tech zarizeni (v dobe puvodniho prispevku) aktualizace jeste nebyla. Admin sice muze byt, ale pokud je jeden admin an nekolik set zarizeni podobneho typu ktera jsou napadnutelna, pak se ma co ohanet. Navic ve vetsich firmach se jede podle ITIL, takze taky ne jenom kovbojsky nainstalovat prvni co mi prijde pod ruku. 

Co se pouziva na webstranky a CGI je mi celkem cizi to neni muj obor, ale vzhledem k tomu ze je to uvadeno jako jeden z hlavnich vektoru napadeni tak jich asi par bude.

0/0
29.9.2014 12:51

M55a21r80e72k 42D37v98o68ř58á88č44e93k 2461121215773

Ony jsou ty chyby vlastně dvě. Ta o které se zde píše je už opravena, ale zde se píše ještě o jedné: http://www.antiviryzdarma.cz/stable/20-let-stara-chyba-bashe-ohrozuje-nejen-macy

A ta je stále útočníkům k dispozici… Alespoň u mně

+1/0
26.9.2014 11:18

P45a22v55e60l 37M27o63r40a59v78e75c 3142949832568

Ta už je taky opravena, pokud myslíte CVE-2014-7169. Aspoň v různých Linuxových distribucích ano. Jak jsou na tom jablíčka to nevím, vím jen že jsou zde dosti laxnější v opravě.

+2/0
26.9.2014 13:15

L12u35d10v89í58k 76G48a33j83d76o25š70í56k 2185373574272

Tak koukám, že Apple právě vydal update s opravou...

+1/0
26.9.2014 10:05

M62a81r60e31k 22D98v54o38ř56á49č22e62k 2611931725743

jo? já to tady teda nevidím: http://support.apple.com/kb/HT1222

Nejnovější bezpečnostní update je z 17.září…

0/0
26.9.2014 11:24

V41a42c67l45a21v 61M11e95d87e70k 5821212555175

Suse už včera

0/−1
26.9.2014 23:22

J31i32ř31í 58G51a23l32a35m89b36o55š 8608126363362

Extrémně nebezpečná chyba, o které 20 let nikdo nevěděl.;-D;-D;-D

Vidím v tom spíše extrémní blábol laika.

+3/−9
26.9.2014 9:09

P69a32v82e52l 94M24o75r68a22v15e10c 3802649422508

To že o ní 20 let nikdo nevěděl v článku není.

+1/−1
26.9.2014 9:42

L25u42d81v49í27k 88G41a13j51d59o51š16í52k 2405893604592

V článku je, že nikdo neprokázal, že by o ní 20 let někdo věděl. To je skoro totéž. :-)

+1/−1
26.9.2014 9:49

P74a69v28e48l 10M68o59r91a55v62e19c 3532509422678

A vy snad víte o někom kdo by prokázal, že o té chybě někdo věděl?

Je možné že o ní někdo věděl, a že ji i zneužil. Problém ale je že ten člověk to sám do světa vytrubovat nebude, a že jeho zneužití není možné nijak prokázat. Leda že byste měl záznamy síťové komunikace (tcpdump) a ty celkem detailně procházel..

+1/−1
26.9.2014 9:52

L91u48d20v22í77k 61G18a46j38d29o40š92í53k 2175323374312

To je zbytečná debata. Kdyby byla chyba někdy nějak zneužita, tak by se o ní dávno vědělo. Málokterý správce heknutého serveru se spokojí s tím, že NEVÍ jak se to útočníkovi povedlo. :-)

+1/−1
26.9.2014 10:03

P54a50v15e93l 24M12o25r73a32v57e71c 3362329592118

1) Správce serveru "hacknutého" ShellShockem ani nemusí zjistit že k nějakému útoku došlo.

2) I kdyby zjistil že došlo k útoku, bez tcpdumpu (který skoro nikdo permanentně nesnímá) by nezjistil že došlo k exploitu ShellShocku.

Jako používáte hezký selský rozum, ale na oblast kde on jaksi nefunguje.. To je jako zkusit selským rozumem dokázat, že neutrony neexistují protože je nevidíte :)

+2/0
26.9.2014 10:11
Foto

K26a83r24e13l 30H76r81u97š66k32a 2881291688757

Co je proboha tohle za blábol? Jednak není nikde napsáno CO lze s programy přes bash takto provádět (navýšení práv aplikace? sestřelení programu?) a ani není napsáno, jakým způsobem by musel být vedený útok.

Jinými slovy - pokud nejsem lama a mám solidně ošetřené SSH (případně VNC apod., ochrana proti vzdálenému útoku) a k počítači nepouštím nepovolané osoby (ochrana proti lokálnímu útoku) nebo si neinstaluji neprověřené balíčky (z jiných zdrojů nežli jsou oficiální repozitáře distribuce), nemám se čeho bát.

Aneb zase jednou zbytečná poplašná zpráva...

+2/−3
26.9.2014 8:47
Foto

K16a83r33e34l 86H98r98u36š72k76a 2461931488557

Jinak Debian Wheezy - dnes opraveno.

A pro zajímavost pro ty, kteří přímo zkopírovali příkaz ze článku:

http://www.abclinuxu.cz/zpravicky/pozor-na-kopirovani-prikazu-z-webovych-stranek

To také může být forma útoku ;-D

+1/0
26.9.2014 8:54

P13a46v20e15l 68M39o75r68a92v29e17c 3542719522488

Polovina Internetu běží na Apache webserveru. A skoro každý takový webserver takto zranitelný je.

To že se to - pravděpodobně, ale ne určitě - netýká vašeho notebooku ještě neznamená, že nejde o průšvih jako hrom.

+3/−1
26.9.2014 8:54
Foto

K71a34r81e56l 96H25r72u48š11k44a 2601111898207

A vy snad pouštíte ke svému serveru s Apachem cizí lidi a necháte si je s ním hrát, nebo máte nastavená slabá hesla pro vzdálený přístup? Pokud ano, pak si o podobný útok vyloženě říkáte bez ohledu na nainstalovaný OS a software ;-D

0/−2
26.9.2014 8:56

P47a66v35e38l 35M93o30r22a82v59e39c 3102479902138

Víte, ono stačí mít na svém webovém serveru jediný blbý CGI skript a jste v háji.

Zkuste si nějdříve něco zjistit jak je možné chybu využít, a pak zde mudrujte, ano? Zatím je vidět že o problému víte velké kulové.

+4/−1
26.9.2014 8:58
Foto

K27a42r36e56l 86H11r51u63š47k50a 2401391978197

Pak již jde ale o kombinaci několika chyb, nikoliv o chybu bashe, že...

0/−2
26.9.2014 9:00

P70a18v37e84l 58M54o62r80a25v45e58c 3282599502328

Prosím, přestaňte sem už radši psát než ze sebe uděláte úplného IT analfabeta :)

A fakt si o tom něco zjištěte.

CGI skripty jsou celkem běžné, normální, bezpečné. Tedy pokud by nebyl ShellShock, že :)

+5/−1
26.9.2014 9:02

M26i96r77o81s44l83a12v 33T54i12š19e94r 4129879864942

On je velky profik, ma prece na svem notebooku Linux!!!! To neni tadna lama s Windows!!! ;-):-D

+1/0
26.9.2014 9:38

P63a31v12e22l 50M12o24r87a45v50e45c 3262899972688

:D A je pokročilým uživatelem. Dokázal si vygooglit co je to bash.

+1/−1
26.9.2014 9:41
Foto

K51a10r40e31l 53H61r57u62š35k67a 2841821818497

Jeden se nestačí divit, co všechno jste schopni zjistit z několika komentářů 8-o

+1/−1
26.9.2014 10:33

P58a59v92e38l 49M93o95r56a38v81e24c 3812889452928

To víte, přes ShellShock jsme vám hackli počítač a potají vše sledujeme :)

P.S.: smajlíky napoví vážnost naších příspěvků.;-)

0/−1
26.9.2014 10:38

T47o85m42a56s 43H66a94c70e66k 6434427165687

No o Vasich partnerskych preferencich treba nic, ale to ze se v IT nevyznate (resp vyznate maximalne jako domaci kutil) se da zjistit opravdu jen podle par vet.

0/0
27.9.2014 8:40

M76i54r65o29s42l48a85v 89D52a87n50e13k 1710945718

Mno trosku prehanite - Aby byla zranitelnost dostupna pres apache, tak se musi jednat o CGI skript napsany v BASH. Vetsina lidi pise CGI v pl nebo py. 

2. Znacna cast webserveru bezi pod mod_php nebo mod_fcgid a tech se chyba nijak netyka.

0/0
26.9.2014 14:15

P58a16v71e72l 21M68o86r80a51v35e48c 3812639882368

Jo, v tomto máte pravdu, afaik 2 mod_* jsou relevantní.

Na druhou stranu, celkový rozsah problému není znám (aneb, jaký je seznam procesů/programů které spouští bash?). Ví se, že např. DHCP servery (tedy klidně i domácí routery) můžou být zranitelné apod.

0/0
26.9.2014 14:23

O93n17d87ř37e78j 82S25t94a49r49o58c13h 5940973912524

Ano. Všichni Linuxovi vývojáři a správci na světě z firem jako je Oracle, Apache i Apple, kteří přiznávají veliký problém jsou hlupáci a všechny Linuxové servery jen vydávají poplašné zprávy.

Jenom jediný Hruška ví, že to vlastně nic není.

Ještě že vás máme.

+1/0
26.9.2014 10:50

J71o33s21e59f 70K69a93r98l88i73a23k 4926923662325

jukni na root.cz, tam to Ondra Caletka vysvetluje:

http://www.root.cz/clanky/dira-v-bashi-ktere-si-20-let-nikdo-nevsiml/

0/0
27.9.2014 7:24





Najdete na iDNES.cz



mobilní verze
© 1999–2016 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je součástí koncernu AGROFERT ovládaného Ing. Andrejem Babišem.