Серьезная проблема с Bash — срочно обновиться!

Вот так нежданно-негаданно в мире Open Source вылезла еще одна масштабная проблема. Мир еще не успел оправиться от дырок в OpenSSL (все помнят Heartbleed), а тут на тебе — оказывается «фундамент тоже сыроват»! На этот раз свинью подложил Bash! А ведь он основной shell почти во всех дистрибутивах Linux и часто активно юзается админами *BSD! Уловили масштаб трагедии??? Можно подумать, ну баш и баш — что такого то? Проблема в том что он так или иначе связан с серьезными системными сервисами, например sshd, apache, git, некоторыми ftp и тд. Не говоря уже о том что ленивые админы и программисты не желая разбираться в хитроумных встроенных библиотеках python, perl и прочих языков в том или ином виде юзают «башизмы в CGI скриптах (сам такой, реализация find в perl выедает мне моск), которые выставлены в Интернет на всеобщее обозрение и легко могут быть использованы со злым умыслом 🙂 Сама суть проблемы в том что злоумышленник может через тот же ssh или apache подменить переменные ENV, что позволит ему удаленно выполнять произвольный код на системе жертвы без какойлибо авторизации! Заманчиво? Глядите на простейшую реализацию хака … простота неописуемая! Но идем дальше …

Проверить подвержена ли система данной багу проще простого, в shell своего сервера выполните такую команду:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Если выполнение завершается строчками:

vulnerable
this is a test

Значит bash необходимо обновить, все другие вариации — гуд!
Итак, решения проблемы тривиальное — обновиться! Debian отреагировал, наверное, быстрее всех и вчера выпустил сначала одно обновление bash, а затем и второе. FreeBSD тоже не подкачала, Ubuntu — тоже … короче мир проникся проблемой и это радует 🙂 Я регулярно обновляюсь, чего и Вам желаю!

P.S. К сожалению зная что в сети Интернет есть огромнейшее количество серверов-заваляшек (сервера которые годами никто не обновляет и не следит за ними) предчувствую новую волну botnet-ов грандиозного масштаба 🙁 И это только вопрос времени прикрутить к этой баге еще и local root … короче это только начало, такчто, запасаемся попкорном 🙂

  1. Комментов пока нет

  1. Трэкбэков пока нет.

Why ask?