Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ)

[Tsene]

Ενημέρωση μέσω email από την QNAP:

QNAP Encourages Users to Take Actions to Protect their Turbo NAS from Potential Bash Code Injection

Spoiler:

Taipei, Taiwan, September 26, 2014 – QNAP® Systems, Inc. has been looking into the recent concerns over potential Bash code injection (CVE-2014-6271) that can lead to security vulnerabilities on the Turbo NAS and other Unix/Linux-based systems. A partial solution for CVE-2014-6271 exists but may result in another security vulnerability (CVE-2014-7169). QNAP is actively working on a solution for this issue, but in the meantime encourages all Turbo NAS users to take the following immediate actions to avoid any possible exploitation of their system.

As a temporary measure until a solution is released for this issue, please ensure that the following services of the Turbo NAS are disconnected from the Internet:

Web administration
Web server
WebDAV
Photo Station, Music Station, File Station, and any other NAS app that uses a web-based interface

Normally the local network is not accessible from the Internet easily, users can still use their Turbo NAS safely. If users still worry about the security of their local network, they can follow the steps to disable the QTS web UI completely, and only turn it on when necessary:

Login to QTS and disable the Web Server in Applications
Login to QTS and disable the secure connection (SSL) in General Settings
Disable NAS web administration using a SSH utility (such as putty):
Connect to the Turbo NAS with admin username and password
Type the following command and hit the "Enter" key:
/etc/init.d/thttpd.sh stop

Note: The NAS web administration will become unavailable after taking the above steps. To restore it:

Restart the Turbo NAS, or
Manually start the web administration via SSH by typing the following command:
/etc/init.d/thttpd.sh start

QNAP will keep users updated with the latest information as addressing this issue. If users would like further assistance, please contact QNAP Technical Support at http://helpdesk.qnap.com.



About QNAP

QNAP Systems, Inc., as its brand promise "Quality Network Appliance Provider" , aims to deliver comprehensive offerings of cutting edge network attached storage (NAS) and network video recorder (NVR) solutions featured with ease-of-use, robust operation, large storage capacity, and trustworthy reliability. QNAP integrates technologies and designs to bring forth quality products that effectively improve business efficiency on file sharing, virtualization applications, storage management and surveillance in the business environments, as well as enrich entertainment life for home users with the offering of a fun multimedia center experience. Headquartered in Taipei, QNAP delivers its solutions to the global market with nonstop innovation and passion.

Media Contacts

marketing@qnap.com
Tel: +886-2-2641-2000

[GoofyX]

Για Debian Wheezy είδα ότι έχει βγει αναβάθμιση. Για το 6 (Squeeze) δεν έχει βγει κάτι και είναι vulnerable. Δε θα βγάλουν;

[Tsene]

Fix for Squeeze (Deb6)

Spoiler:

Update to Wheezy repos to get latest bash that fixes this issue.

1) Edit by hand or automatically updated the /etc/apt/sources.list file

2) Automatically change it like this or do it manually like below

#cd /etc/apt

#cp sources.list sources.list.old

#sed -i -e 's/squeeze/wheezy/g' sources.list

#[MANUALLY Sample Sources list if you dont want to do like above three steps]

deb http://ftp.us.debian.org/debian/ wheezy main non-free contrib

deb-src http://ftp.us.debian.org/debian/ wheezy main non-free contrib

deb http://security.debian.org/ wheezy/updates main contrib non-free

deb-src http://security.debian.org/ wheezy/updates main contrib non-free

# wheezy-updates, previously known as 'volatile'

deb http://ftp.us.debian.org/debian/ wheezy-updates main contrib non-free

deb-src http://ftp.us.debian.org/debian/ wheezy-updates main contrib non-free

3) Run below

#apt-get update

#apt-get install --only-upgrade bash

4) Revert back from wheezy to squeeze in /etc/apt/sources.list. Automatically change back like below, or do it by hand, change back wheezy to squeeze everywhere in that /etc/apt.sources.list file. This step is to put your original squeeze repos back in.

#sed -i -e 's/wheezy/squeeze/g' /etc/apt/sources.list

#apt-get update

5) Rerun Test!, you should not be vulnerable anymore. Your bash version should also be higher than that specified above in the MUST READ section.

Από εδώ http://highsecurity.blogspot.co.uk/2...or-debian.html

[stel_0]

Χίλια μπράβο στη σελίδα εδώ για την άψογη και άμεση ενημερωσή τους ειδικά σε θέματα ασφαλείας.

Ως χρήστης αλλά και admin σε OSX δίκτυα οφείλω να δηλώσω απογοητευμένος από την Apple που ακόμη και τώρα δεν έχει βγάλει τπτ. Ψάχνει μάλλον το iShoe τώρα ή μπρασελέδες για τα ρολόγια της.

Για τα Cisco υπάρχει εδώ ενημέρωση.

[Nikiforos]

Εχει τιποτα για το Leopard Mac OS 10.5.8 ??? ή θα ριξω καντηλες? ειχα βαλει debian testing jessie αλλα λογω προβληματων με την ati radeon 9200 (ειχα χρωματα 8bit!!!) ξαναπερασα Mac Os....

[stel_0]

Για Mavericks μέχρι τώρα δεν έχει βγει update. Δλδ ap;o xtes έχουν βγει δύο updates αλλά κανένα δεν έχει patch Οπότε φαντάζομαι 10.5 ίδια και χειρότερη μοίρα.

[Nikiforos]

Για Mavericks μέχρι τώρα δεν έχει βγει update. Δλδ ap;o xtes έχουν βγει δύο updates αλλά κανένα δεν έχει patch Οπότε φαντάζομαι 10.5 ίδια και χειρότερη μοίρα.

αστα να πανε....ε τι να κανω αφου δεν παιζει σωστα ο driver της καρτας γραφικων εχει bug και δεν εχει διορθωθει ποτε....ποιος καθεται να βαζει debian σε mac mini G4 1.42? μονο εγω μαλλον.....καλο ηταν αλλα μονο για κονσολα!

http://apple.stackexchange.com/quest.../146851#146851
αυτο για να τσεκάρουμε σε Mac OS...

[malakudi]

Τι σημασία έχει αν διορθώθηκε το bash σε MacOSX; Ξεκολλάτε λίγο, διαβάστε τι ακριβώς είναι το bug. Δεν κινδυνεύετε παρά μόνο αν με κάποιο τρόπο έχετε εκτεθειμένα bash scripts σε χρήση από remote services. Που και πάλι δε κινδυνεύετε ουσιαστικά, αφού δε μπορεί να γίνει user privilege elevation. Πολύς ντόρος για το τίποτα.

Κανένα ρουτεράκι που τρέχει bash scripts από το web interface και ο mini web server του τρέχει σαν root, ναι, αυτό θα κινδυνεύει για remote exploit.

[charly130.mk2]

Κανένα ρουτεράκι που τρέχει bash scripts από το web interface και ο mini web server του τρέχει σαν root, ναι, αυτό θα κινδυνεύει για remote exploit.

Και αυτός είναι ένας ακόμα λόγος που ΠΟΤΕ δεν αφήνουμε το Web access του router προσβάσιμο από έξω. Its just asking for trouble, με πολλούς και δίαφορους τρόπους. Εάν χρειάζεται εξωτερική πρόσβαση στο router, υπάρχουν ένα κάρο workarounds που είναι πολύ πιο ασφαλή...

- - - Updated - - -

Εντάξει παιδιά όλοι ξέρουμε Linux ...

Μα όντως είχα την απορία γιατί το έκανε έτσι ο BlueChris...

[DVader]

Και αυτός είναι ένας ακόμα λόγος που ΠΟΤΕ δεν αφήνουμε το Web access του router προσβάσιμο από έξω. Its just asking for trouble, με πολλούς και δίαφορους τρόπους. Εάν χρειάζεται εξωτερική πρόσβαση στο router, υπάρχουν ένα κάρο workarounds που είναι πολύ πιο ασφαλή...

- - - Updated - - -

Ποτέ πρόσβαση από ξω..Αν απαιτείτε με VPN Only και καθάρισες !




Μα όντως είχα την απορία γιατί το έκανε έτσι ο BlueChris...

Αρα εσύ δεν ξέρεις Linux !

[mobinmob]

Κανένα ρουτεράκι που τρέχει bash scripts από το web interface και ο mini web server του τρέχει σαν root, ναι, αυτό θα κινδυνεύει για remote exploit.

Τέτοιες συσκευές συνήθως δεν έχουν bash - νομίζω το busybox ash είναι το πιο συνηθισμένο. Μου κάνει εντύπωση που η QNAP το χρησιμοποιεί στα δικά της μηχανήματα.

[DVader]

Τέτοιες συσκευές συνήθως δεν έχουν bash - νομίζω το busybox ash είναι το πιο συνηθισμένο. Μου κάνει εντύπωση που η QNAP το χρησιμοποιεί στα δικά της μηχανήματα.

Μάλλον έχουν .... Για δές http://www.unix.com/shell-programmin...-beginner.html

[stel_0]

Τι σημασία έχει αν διορθώθηκε το bash σε MacOSX; Ξεκολλάτε λίγο, διαβάστε τι ακριβώς είναι το bug. Δεν κινδυνεύετε παρά μόνο αν με κάποιο τρόπο έχετε εκτεθειμένα bash scripts σε χρήση από remote services. Που και πάλι δε κινδυνεύετε ουσιαστικά, αφού δε μπορεί να γίνει user privilege elevation. Πολύς ντόρος για το τίποτα.

Κανένα ρουτεράκι που τρέχει bash scripts από το web interface και ο mini web server του τρέχει σαν root, ναι, αυτό θα κινδυνεύει για remote exploit.

Καλά δεν είσαι σοβαρός αλλά αστείος θα έλεγα. Ακόμη και λιγότερο ζημιά να έκανε το shellshock, δεν δικαιολογεί Τ Ι Π Ο Τ Α την Apple 4 μέρες μετά να μην έχει ασχοληθεί καν.

[malakudi]

Βρες μου ένα MacOSX installation που με κάποιο τρόπο επηρεάζεται από το bug, και μετά κρίνε την "ολιγωρία" της Apple. Και όχι, δεν είμαι Apple fanboy. Προσωπικά δεν έκανα "έκτακτο" update σε κανέναν από τους Linux servers που διαχειρίζομαι. Θα γίνει το μηνιαίο scheduled update την Τετάρτη το πρωί. Το bug δεν επηρεάζει καθόλου τα συστήματά μου, όπως δεν επηρεάζει και την πλειοψηφία των servers εκεί έξω.

Όσο για το video της Symantec, καλό θα ήταν να έδειχνε και τι είναι το env.cgi, για να καταλάβει ο καθένας πως τέτοια cgi scripts δεν υπάρχουν σε real world installations.

[charly130.mk2]

Όσο για το video της Symantec, καλό θα ήταν να έδειχνε και τι είναι το env.cgi, για να καταλάβει ο καθένας πως τέτοια cgi scripts δεν υπάρχουν σε real world installations.

Μάλλον εννοείς δεν θα ΕΠΡΕΠΕ να υπάρχουν σε real installations...

Έχω δει κατά καιρούς αρκετές γκατζολιές ώστε να μην μου κάνει εντύπωση αν κάποιοι έχουν το θέμα αυτό σε παραγωγικές εγκαταστάσεις, γιατί "πάντα έτσι το έκαναν".

- - - Updated - - -

Ποτέ πρόσβαση από ξω..Αν απαιτείτε με VPN Only και καθάρισες !

Αρα εσύ δεν ξέρεις Linux !

Να πάρει... Με κατάλαβαν...

Πάντως και το VPN δεν είναι πάντα η καλύτερη λύση. Μπορεί για μια μικρή εγκατάσταση ένα port-forward σε έναν SSH server (όπου φυσικά στο μηχάνημα που τον τρέχει έχουμε κάνει ΟΛΕΣ τις απαραίτητες ενέργειες για την διασφάλιση του) να είναι πιο απλό κ θεμιτό. Και ναι, και για τον SSH βγαίνουν κατά καιρούς διάφορα, αλλά το ίδιο ισχύει και για το ΟpenVPN.