Gå til innhold

Slår alarm om stort sikkerhetshull

OHJohansen

Av OHJohansen
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

MatseMats

MatseMats

Skrevet
Skrevet

Jeg er ikke forbauset. Men slike saker blir garantert et problem når media skyter det opp slik at alle og envær finner ut av problemet. Dermed så er det en større mulighet for at lumske folk tar i bruk sikkerhetshullet FØR det er fikset. Ikke at det var kritisk fra før, men slikt oppdages som regel kun når skikkelig hacking skjer. AT det skjer forteller oss at det finnes uansett, så dette blir dermed en litt hemma sak p.g.a media. Ikke at publiseringene av slike nyheter er ille. Folk som kan fikse problemer får jo da fyr under ræva som man sier! :)

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
tommyb

tommyb

Skrevet
Skrevet

Jeg er ikke forbauset. Men slike saker blir garantert et problem når media skyter det opp slik at alle og envær finner ut av problemet. Dermed så er det en større mulighet for at lumske folk tar i bruk sikkerhetshullet FØR det er fikset. Ikke at det var kritisk fra før, men slikt oppdages som regel kun når skikkelig hacking skjer. AT det skjer forteller oss at det finnes uansett, så dette blir dermed en litt hemma sak p.g.a media. Ikke at publiseringene av slike nyheter er ille. Folk som kan fikse problemer får jo da fyr under ræva som man sier! :)

 

Det var mange som hadde patchene klare til annonseringen i dag - det som er ekstra uheldig er at disse patchene ikke holdt vann, og man nå jobber med nye patcher ETTER annonseringstidspunktet.

Lenke til kommentar
Clas M.

Clas M.

Skrevet
Skrevet (endret)

I henhold til artikkelen - en ting er å ha ting oppdatert. Men for en del ting blir et spørsmål også hvorvidt ting uansett bør stå direkte eksponert mot nettet, kjente sikkerhetshull eller ei.

 

Naturligvis er CSRF en mulighet for å nå enheter på innsiden av nettverket også.

 

Naturligvis, når det er en del enheter som direkte er tjenere blir det en annen sak.

Endret av Clas-40TVV43E
Lenke til kommentar
fa2001

fa2001

Skrevet
Skrevet (endret)

Du trenger ikke tilgang til bash. Du trenger heller ikke finne et CGI-script som mangler validering på et input-felt. Det du trenger er for eksempel å kjøre en ondsinnet GET-kommando på en server som har CGI påslått. Eller en ondsinnet MIME-type-definisjon. Eller noe annet enn CGI, jeg har sett OpenSSL bli nevnt. Og jeg har sett OpenSSH nevnt. Jeg tror OpenSSL er feil og OpenSSH riktig.

Takk for rettelsen. Ser nå, ingen input trengs på kommandolinjen ved CGI, bare at CGI scriptet kaller bash(evt indirekte), noe som er veldig vanlig. Jeg husket ikke at parametere ble til environment variable i CGI. Alvorligheten er da sikkert riktig -- mange små servere bruker CGI. (og det kommer sikkert andre steder som bash kalles)

Endret av fa2001
Lenke til kommentar
efikkan

efikkan

Skrevet
Skrevet

Dette er altså en feil i et program (Bash) som i seg selv ikke skulle være så farlig, men som blir straks mer farlig siden dette kan utnyttes i kombinasjon med CGI hvor dette kan utnyttes til å utføre kommandoer og/eller starte et shell som samme bruker som webserveren. Hvis administrator har gjort grandtabben med å kjøre Apache som root blir det riktig ille, men dette er en amatørfeil fra administrator, ikke noen svakhet i operativsystemet.

 

Hvis ikke det oppdages andre alvorlige angrepsformer enn CGI så er det ikke grunn til å bekymre seg for alle enheter som kjører Bash. Det er langt fra alle webservere som har CGI aktivert, og det samme gjelder for PCer og mindre enheter. En rekke enheter bruker også alternativer til Bash.

 

Jeg vil likevel stille spørsmål med hvorfor akkurat denne feilen og akkurat Heartbleed fortjener så ekstremt med oppmerksomhet? Begge feilene er feil som systemadministratorer skal gjøre tiltak mot, brukere skal ikke trenge å gjøre noe med unntak ved oppfordring til å bytte passord. Hvert eneste år er det da mengder av like alvorlige eller verre feil i Apache, PHP, OpenSSL osv. Det skjer så ofte at jeg føler det hele tiden er en eller annen feil som kan brukes til å kjøre kode på servere. Dette er selvsagt alvorlig og utbedre umiddelbart, men nok en gang er det ikke noe mannen i gata trenger å bry seg om eller skrike gatelangs.

 

 

Det hadde vært en fordel om artikkelforfatter i det minste forsøkte å få med seg hva saken faktisk handler om.

Grunnen er at det nye såbarheten, som er funnet i Linux-programvaren i form av kommandolinjen «Bash», kan gi hackere mulighet til å ta full kontroll over maskiner som er koblet til nettet. Ergo kan angripere i teorien ta over maskinen din og boltre seg fritt i sensitiv informasjon.

Dette er så feil det kan bli. Bash har ingen ting med Linux å gjøre, det er et GNU-produkt som kjøres på de aller fleste plattformer inkl. Windows. Som nevnt over kan bare maskinen bli "tatt over" dersom du først har vært dum nok til å konfigurere en webserver og cgi som root, og er du så dum kunne du like gjerne postet passordet ditt på Facebook.

 

Dermed kan utallige maskiner som kjører operativsystemet Linux være i faresonen, et system som brukes i alt fra enkelte mobiltelefoner til biler

Nok en gang, dette har ingenting med Linux å gjøre. Det er ingenting som tyder på at PCer, mobiltelefoner, tablets, biler eller andre duppeditter er utsatt for noen som helst fare.

 

Ifølge sikkerhetsekspert Robert Graham ligger svakheten i måten Bash ser etter ekstrainformasjon på.

 

Graham trekker frem et eksempel hvor Bash brukes til kommandoer som «slå av» eller «slå På» mot en «smart» lyspære. Samtidig som du slår pæren av eller på, ser Bash etter tilleggsinformasjon som eksempelvis hvilken nettleser eller enhet du bruker for å gi kommandoene.

Sikkerhets-"eksperten" Graham vet ikke hva Bash er en gang. FAIL

 

Slår alarm om stort sikkerhetshull i Linux

 

Kan ta over alt fra telefoner til Macer.

Av slikt begynner jeg å lure, sover dere i timen eller skriver dere bevisst misledende?

 

Til Redaktør Skard:

Dette føyer seg inn i rekken av skandaløst dårlige artikler fra HW/Tek-nettverket hvor det er total mangel på forståelse av saken. Det er på tide dere hever dere over tabloid-pressen og kommer med seriøse nyhetsartikler som viser teknisk kyndighet og journalistisk kritikk. Måten dere håndterte Heartbleed-saken er forkastelig.

 

 

Og fremdeles er det noen som lar seg lure til å tro at enkelte OS er helt trygge...

Du har tydeligvis bare lest overskriften før du setter i gang med å slenge med leppa. Det er ingen operativsystemer som er kompromittert.

 

I likhet med andre tidligere hendelser ser vi nok et eksempel på at Linux sine SELinux- og AppArmor-mekanismer er med på å begrense skadene av sårbarheter i tredjepartsprogrammer.

  • Liker 9
Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

Flere versjoner av denne artikkelen babler om at dette ikke er patchet og lignende.

Tror faktisk bash patchen for denne feilen kom inn for 2-3 dager siden til min Arch box for eksempel, litt tregere på Ubuntu serveren men fortsatt ganske raskt.

 

Er dog ikke bekymret, var jo for en tid tilbake en alvorlig feil med 16 bit på AMD64 som kunne gjøre minnelesing svært enkelt, dessverre var den midlertidige workarounden katastrofal for brukere av eldre Windows software under Wine.

Lenke til kommentar
Raymond Brun

Raymond Brun

Skrevet
Skrevet

Det var da voldsomt så oppblåst dette hørtes ut da. Hvis man får sneket inn noe kode via bash så er det på ingen måte gitt at man har full kontroll over maskinen. Bash kjører ikke i kernel mode, og kan naturlig nok ikke gjøre hva enn det vil.

 

Det er da vitterlig almenn praksis å ha minimalt av rettigheter satt på brukerne som kjører applikasjoner koblet til nett også.

 

Dette er på ingen måte sammenlignbart med heartbleed så vidt jeg kan forstå.

 

Bash er forøvrig ikke en del av linux heller.

 

Nei men bash brukes vel på mange linux system, potato tomato.

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet (endret)

Flere versjoner av denne artikkelen babler om at dette ikke er patchet og lignende.

Tror faktisk bash patchen for denne feilen kom inn for 2-3 dager siden til min Arch box for eksempel, litt tregere på Ubuntu serveren men fortsatt ganske raskt.

 

Er dog ikke bekymret, var jo for en tid tilbake en alvorlig feil med 16 bit på AMD64 som kunne gjøre minnelesing svært enkelt, dessverre var den midlertidige workarounden katastrofal for brukere av eldre Windows software under Wine.

 

Antar du snakker om DEN FØRSTE patchen (CVE-2014-6271)? Den første patchen var ufullstendig og virket derfor bare mot det første eksempel-angrepet, men beskytter såvidt jeg kan se altså ikke mot de angrepene som man begynte detektere in the wild i går (CVE-2014-7169).

 

Ser at det er en massiv motvilje mot å forstå hvorfor denne er rangert med høyeste alvorlighetsgrad. Hvis dere ikke forstår hvorfor denne blir hypa opp, ikke hopp til konklusjoner: les mer!

Endret av tommyb
Lenke til kommentar
kwrl

kwrl

Skrevet
Skrevet

 

Det var da voldsomt så oppblåst dette hørtes ut da. Hvis man får sneket inn noe kode via bash så er det på ingen måte gitt at man har full kontroll over maskinen. Bash kjører ikke i kernel mode, og kan naturlig nok ikke gjøre hva enn det vil.

 

Det er da vitterlig almenn praksis å ha minimalt av rettigheter satt på brukerne som kjører applikasjoner koblet til nett også.

 

Dette er på ingen måte sammenlignbart med heartbleed så vidt jeg kan forstå.

 

Bash er forøvrig ikke en del av linux heller.

Nei men bash brukes vel på mange linux system, potato tomato.

 

Njaaaa. Det er noe ganske annet å kunne injecte kode i kernel space, potato banana.

Lenke til kommentar
PoTski

PoTski

Skrevet
Skrevet

 

Hvis man kan starte bash har man allerede tilgang til et shell, og kan kjøre alle kommandoer som brukeren har tilgang til.

 

Det kan være et problem i noen tilfeller når en server kaller bash med bruker-input på kommandolinjen, og bare luker bort de kjente "farlige" tegnene, som ; \n < > | etc.. Det skjer, men kan ikke sammenlignes med heartbleed.

Dette er en (vanlig) misoppfatning av dette sikkerhetshullet. Dette sikkerhetshullet er vurdert til høyeste alvorlighetsgrad. Du får ikke høyeste alvorlighetsgrad dersom man må ha tilgang til bash for å angripe.

 

Du trenger ikke tilgang til bash. Du trenger heller ikke finne et CGI-script som mangler validering på et input-felt. Det du trenger er for eksempel å kjøre en ondsinnet GET-kommando på en server som har CGI påslått. Eller en ondsinnet MIME-type-definisjon. Eller noe annet enn CGI, jeg har sett OpenSSL bli nevnt. Og jeg har sett OpenSSH nevnt. Jeg tror OpenSSL er feil og OpenSSH riktig.

 

Jeg skal ikke si at denne ikke er oppblåst, men faktum er at alle som tror du trenger lokal tilgang til bash eller et usikret CGI-script, har misforstått.

Stemmer
Lenke til kommentar
efikkan

efikkan

Skrevet
Skrevet

 

Det var da voldsomt så oppblåst dette hørtes ut da. Hvis man får sneket inn noe kode via bash så er det på ingen måte gitt at man har full kontroll over maskinen. Bash kjører ikke i kernel mode, og kan naturlig nok ikke gjøre hva enn det vil.

 

Det er da vitterlig almenn praksis å ha minimalt av rettigheter satt på brukerne som kjører applikasjoner koblet til nett også.

 

Dette er på ingen måte sammenlignbart med heartbleed så vidt jeg kan forstå.

 

Bash er forøvrig ikke en del av linux heller.

Nei men bash brukes vel på mange linux system, potato tomato.

 

Bash har ingenting med Linux å gjøre, punktum. Det er et prosjekt fra en tredjepart. Det blir like idiotisk som å hevde at en feil i f.eks. Firefox eller Chrome er et hull i Linux.
Lenke til kommentar
PoTski

PoTski

Skrevet
Skrevet

Dette er altså en feil i et program (Bash) som i seg selv ikke skulle være så farlig, men som blir straks mer farlig siden dette kan utnyttes i kombinasjon med CGI hvor dette kan utnyttes til å utføre kommandoer og/eller starte et shell som samme bruker som webserveren. Hvis administrator har gjort grandtabben med å kjøre Apache som root blir det riktig ille, men dette er en amatørfeil fra administrator, ikke noen svakhet i operativsystemet.

 

Hvis ikke det oppdages andre alvorlige angrepsformer enn CGI så er det ikke grunn til å bekymre seg for alle enheter som kjører Bash. Det er langt fra alle webservere som har CGI aktivert, og det samme gjelder for PCer og mindre enheter. En rekke enheter bruker også alternativer til Bash.

 

Jeg vil likevel stille spørsmål med hvorfor akkurat denne feilen og akkurat Heartbleed fortjener så ekstremt med oppmerksomhet? Begge feilene er feil som systemadministratorer skal gjøre tiltak mot, brukere skal ikke trenge å gjøre noe med unntak ved oppfordring til å bytte passord. Hvert eneste år er det da mengder av like alvorlige eller verre feil i Apache, PHP, OpenSSL osv. Det skjer så ofte at jeg føler det hele tiden er en eller annen feil som kan brukes til å kjøre kode på servere. Dette er selvsagt alvorlig og utbedre umiddelbart, men nok en gang er det ikke noe mannen i gata trenger å bry seg om eller skrike gatelangs.

 

 

Det hadde vært en fordel om artikkelforfatter i det minste forsøkte å få med seg hva saken faktisk handler om.

 

Grunnen er at det nye såbarheten, som er funnet i Linux-programvaren i form av kommandolinjen «Bash», kan gi hackere mulighet til å ta full kontroll over maskiner som er koblet til nettet. Ergo kan angripere i teorien ta over maskinen din og boltre seg fritt i sensitiv informasjon.

Dette er så feil det kan bli. Bash har ingen ting med Linux å gjøre, det er et GNU-produkt som kjøres på de aller fleste plattformer inkl. Windows. Som nevnt over kan bare maskinen bli "tatt over" dersom du først har vært dum nok til å konfigurere en webserver og cgi som root, og er du så dum kunne du like gjerne postet passordet ditt på Facebook.

 

Dermed kan utallige maskiner som kjører operativsystemet Linux være i faresonen, et system som brukes i alt fra enkelte mobiltelefoner til biler

Nok en gang, dette har ingenting med Linux å gjøre. Det er ingenting som tyder på at PCer, mobiltelefoner, tablets, biler eller andre duppeditter er utsatt for noen som helst fare.

 

Ifølge sikkerhetsekspert Robert Graham ligger svakheten i måten Bash ser etter ekstrainformasjon på.

 

Graham trekker frem et eksempel hvor Bash brukes til kommandoer som «slå av» eller «slå På» mot en «smart» lyspære. Samtidig som du slår pæren av eller på, ser Bash etter tilleggsinformasjon som eksempelvis hvilken nettleser eller enhet du bruker for å gi kommandoene.

Sikkerhets-"eksperten" Graham vet ikke hva Bash er en gang. FAIL

 

Slår alarm om stort sikkerhetshull i Linux

 

Kan ta over alt fra telefoner til Macer.

Av slikt begynner jeg å lure, sover dere i timen eller skriver dere bevisst misledende?

 

Til Redaktør Skard:

Dette føyer seg inn i rekken av skandaløst dårlige artikler fra HW/Tek-nettverket hvor det er total mangel på forståelse av saken. Det er på tide dere hever dere over tabloid-pressen og kommer med seriøse nyhetsartikler som viser teknisk kyndighet og journalistisk kritikk. Måten dere håndterte Heartbleed-saken er forkastelig.

 

 

Og fremdeles er det noen som lar seg lure til å tro at enkelte OS er helt trygge...

Du har tydeligvis bare lest overskriften før du setter i gang med å slenge med leppa. Det er ingen operativsystemer som er kompromittert.

 

I likhet med andre tidligere hendelser ser vi nok et eksempel på at Linux sine SELinux- og AppArmor-mekanismer er med på å begrense skadene av sårbarheter i tredjepartsprogrammer.

hysj! :)

Lenke til kommentar
PoTski

PoTski

Skrevet
Skrevet

 

 

Det var da voldsomt så oppblåst dette hørtes ut da. Hvis man får sneket inn noe kode via bash så er det på ingen måte gitt at man har full kontroll over maskinen. Bash kjører ikke i kernel mode, og kan naturlig nok ikke gjøre hva enn det vil.

 

Det er da vitterlig almenn praksis å ha minimalt av rettigheter satt på brukerne som kjører applikasjoner koblet til nett også.

 

Dette er på ingen måte sammenlignbart med heartbleed så vidt jeg kan forstå.

 

Bash er forøvrig ikke en del av linux heller.

Nei men bash brukes vel på mange linux system, potato tomato.
Bash har ingenting med Linux å gjøre, punktum. Det er et prosjekt fra en tredjepart. Det blir like idiotisk som å hevde at en feil i f.eks. Firefox eller Chrome er et hull i Linux.

ok. plox apt-get remove --purge bash på nix'en din. ;)

Lenke til kommentar
007CD

007CD

Skrevet
Skrevet (endret)

Ikke noe problem... Da får jeg den klassiske ukjent kommando feilen. (Ikke Debian basert distro.)

Det å kjøre uten Bash er dog mulig på ett Nix OS, du har for eksempel BSD og csh for eksempel, så selv om Bash er pakket med de fleste distroer så er det fortsatt ikke en del av Linux.

Endret av 007CD
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...