Найдена критическая уязвимость в оболочке Bourne again shell, известной просто как Bash и использующейся в большинстве дистрибутивов Linux, UNIX и Apple Mac OS X. Администраторов призывают немедленно установить патчи к их системам.

Уязвимость, успевшая получить названия Shellshock или Bashdoor, позволяет злоумышленнику удаленно записывать вредоносный исполняемый код в переменную, значение которой исполняется при вызове Bash.

«Суперпросто, и все версии Bash содержат эту уязвимость, — сказал Джош Брессерс, менеджер по безопасности продукта Red Hat. — Это крайне серьезно, но нужны очень специфичные условия, когда удаленный пользователь может устанавливать значение этой переменной окружения. К счастью, это редкий случай».

Bash повсеместно представлен в операционных системах Linux и UNIX, и напрашивается сравнение с уязвимостью Heartbleed в OpenSSL. Ошибка в Bash была обнаружена Стефаном Чазеласом, администратором UNIX- и Linux-сетей и телекоммуникаций в Akamai.

Производители популярных дистрибутивов Linux, включая Red Hat, начали выпускать патчи сразу после того, как узнали об открытии Чазеласа из его поста в рассылке OSS.

«Многие функции вызывают Bash, и я бы поставил на то, что в большинстве систем есть то, что вызывает Bash, и вы даже не знаете, что оно это делает, — заявил Брессерс из Red Hat. — Мы проанализировали все те различные продукты, которые поставляет Red Hat и которые, по нашему мнению, подвержены наибольшему риску. Это одна из тех ситуаций, когда имеется бесчисленное множество вариантов, с которыми вам нужно разобраться. К примеру, уязвимость Heartbleed было легко понять, и точно так же ей было подвержено все».

«Тут нет двух систем, уязвимых одинаково. Обновите Bash и не валяйте дурака, — сказал Брессерс. — Даже если вы думаете, что у вас все в порядке, возможно, это не так».

Брессерс заявил, что уязвимость позволяет злоумышленнику создавать переменные окружения, которые включают вредоносный код, до того, как система вызывает оболочку Bash.

«Эти переменные могут содержать код, который запускается, когда вызывается оболочка, — написал Брессерс в блоге. — Имена этих переменных не имеют значения, важно лишь содержимое».

Один из наиболее критичных случаев проявления уязвимости — это, к примеру, использование на сервере Apache скриптов mod_cgi, mod_cgid, если они написаны на Bash. Как пишет Брессерс, уязвимость также можно использовать для обхода ForceCommand в конфигурациях sshd. ForceCommand предназначен для ограничения возможности удаленного запуска кода, но эксплуатация этой уязвимости обходит защиту. Некоторые варианты Git, работающие по SSH, могут быть подвержены этому.

Red Hat добавила ссылку на процедуру диагностики, которая позволит пользователям протестировать свою систему на наличие уязвимой версии в Bash.

Как рассказал Брессерс, патч обеспечивает недопущение наличия исполняемого кода после окончания функции Bash.

«Это один пакет, и вам не нужно перезапускать систему или какие-либо сервисы, — сказал Брессерс о патче. — Как только исследователи начинают разбираться в проблеме, возникают опасения, что они найдут еще что-нибудь новое. Надеюсь, что не найдут, иначе нам придется начать сначала».

Категории: Главное, Уязвимости