Bash ir UNIX pamata čaula, valoda, ko izmanto daudzās platformās: no dažādiem tīmekļa mitināšanas serveriem līdz modemiem, rotaļlietām utt. Ja esat Windows lietotājs, jums nav jābaidās no ShellShock neaizsargātības, jo jūsu iespējas tikt ietekmētam ir tuvu nulle Bet, ja apmeklējat tīmekļa vietnes, kurās tiek uzņemts sevi UNIX serveros, vai izmantojiet preces, kurās darbojas UNIX, jūs varat kļūt par ļaunprātīgu programmatūru vai kaut kas līdzīgs, kas kaut kādā veidā varētu kaitēt jums. Šis raksts mēģina izskaidrot Bash neaizsargātība vai ShellShock kā to sauc, lajs.
Kas ir BASH?
UNIX būtībā ir komandrindas operētājsistēma. Lai gan ir daudz variāciju, kas piedāvā GUI (grafiskā lietotāja saskarne), šādu interfeisu bāze ir UNIX komandrindas saskarne (CLI). Un UNIX ir visur no web hostinga serveriem līdz "lietām" lietiskā interneta vidē. Ir objekti, piemēram, pieslēgta mikroviļņu krāsns, kas sazinās ar UNIX, nevis izmantojot jebkuru citu operētājsistēmu, jo UNIX ir vieglāk instalējama un tiek uzskatīta par drošāku (tas ir, līdz brīdim, kad parādās Bash vulnerability).
UNIX ir arī neliela svara operētājsistēma, un tai ir burtiski simti komandu, ar kurām tā strādā, lai radītu atbilstošu produkciju - neatkarīgi no tā, vai tā darbojas tieši komandrindas saskarnē vai GUI, kas balstās uz komandrindas saskarni.
Nāc uz BASH, tā ir neatņemama UNIX sastāvdaļa: tā ir UNIX apvalks. Es domāju teikt, ka tā ir tā UNIX daļa, kas uzņemas komandas un apstrādā tos, lai nodrošinātu jūs ar vēlamo rezultātu neatkarīgi no tā, vai šo komandu tieši piešķīra lietotājs vai arī tas tika nosūtīts uz korpusa, izmantojot kādu GUI.
ShellShock vai Bash ievainojamība
Šajā sadaļā tiek runāts par to, kāda ir UNIX neaizsargātība, kas nozarei ir apdraudēta. Parasti komandrindā ir daudzas lietas, kas notiek. Piemēram, izlaisti dažādu parametru vērtības, kuras apstrādā dators, nekontrolējot vērtību avotu. Katrai komandai ir komandas nosaukums, slēdži un komandu parametri. Tāpat kā, piemēram, MS DOS tipa komandā, komandas sintakse ir:
Type filename.txt /p [>textfile.txt|print]
Šeit filename.txt un textfile.txt ir parametri, kas nosaka, kuru failu skatīt vai izdrukāt. Vai saglabāt izvadi textfile.txt. Komandas ir līdzīgas UNIX tādā veidā, ka tiem ir arī parametri, un UNIX nav vienalga, kur parametri ir iegūti tik ilgi, kamēr sintakse ir pareiza. Tas pats attiecas uz visām komandrindas saskarnes programmām un operētājsistēmām.
Tagad, nonākot pie ievainojamības, ļaunprātīgie lietotāji var nodot ļaunprātīgus parametrus jebkurai UNIX komandai ar nolūku izmantot šo komandrindas operētājsistēmas vājumu. Ļaunie lietotāji var nodot postošas lietas kā komandas vai komandas parametrus bez UNIX, zinot, ka tā gatavojas iznīcināt datoru, ar kuru tā darbojas.
Daži eksperti saka, ka vides mainīgo lielumi var ietekmēt arī datorus. Vides mainīgie ir vērtības, kuras operētājsistēma izmanto konkrētu uzdevumu veikšanai, tāpat kā komandas, taču šeit vērtības ir globālas un nav specifiskas komandai.
Kā daļa no paša apvalka, neaizsargātību pazīst arī kā Shellshock, un ar to ir grūti tikt galā. Es nezinu, kā dažādi uzņēmumi, kas izmanto UNIX, risina šo neaizsargātību, jo tā pamatā ir milzīgs vājums. Tas prasīs daudz domāšanas un, iespējams, skenēs katru komandu (kas varētu palēnināt sistēmas darbību).
ShellShock neaizsargātības skeneris
Izpildiet šo pieprasījumu skeneri no TrendMicro jūsu Linux sistēmās, lai noteiktu, vai BashLite ļaunprogramma ir rezidente. Pārlūkojiet savu vietni, lai novērtētu, vai tā ir neaizsargāta pret ShellShock vai Bash ievainojamību.
Bash ievainojamības ielāpi
Nacionālās neaizsargātības datu bāzē ir uzskaitīti daži ielāpi, kas zināmā mērā varētu palīdzēt UNIX lietotājiem, taču, manuprāt, tas neizslēdz visas problēmas, kas saistītas ar Bash Vulnerability. Tam jādarbojas UNIX programmu izstrādes speciālistiem, un tas var aizņemt kādu laiku, pirms tiek izdots atbilstošs labojums, lai ielauztu ievainojamību uz visiem laikiem. Līdz tam datori un automatizētas ierīces, kas izmanto UNIX, joprojām būs apdraudētas un varētu radīt risku citām ierīcēm un ar tiem saistītajiem datoriem.
