Июл
12

Уязвимость контузии, наконец исправленная как использование, появляется

уязвимость

Настоящие патчи для многократных уязвимостей оболочки Bash сейчас дешёвы, не смотря на то, что администраторы могут смягчить риск даже без патчей.Bash Контузии (Граница Опять Оболочка) уязвимость, которая была сперва раскрыта 24 сентября сейчас, не имеет один, но многократные общедоступные патчи.Первоначально, уязвимость Контузии была идентифицирована как единственная неприятность в CVE-2014-6271. Тогда как патч был скоро доступен для CVE-2014-6271, тот патч был неполным и были практически другие уязвимости Контузии.

Одна из дополнительных уязвимостей Контузии, идентифицированных как CVE-2014-7169, не была исправлена до поздно 26 сентября.«Было обнаружено, что исправление для CVE-2014-6271 было неполным, и Bash все еще разрешил определенным знакам быть введенными в другие среды через намерено обработанные переменные окружения», поставщик Linux Red Hat предупредил на консультации. «Атакующий имел возможность возможно применять этот недостаток, чтобы переопределить либо обойти ограничения среды для исполнения команд оболочки».Консультация Red Hat сказала, что начальный патч не решил проблему предоставления неаутентифицируемого доступа к услугам и определённым приложениям, которые имели возможность все еще быть использованы атакующими.Bash снабжает оболочку командной строки для совокупностей Unix и Linux и также употребляется в Mac OS X Apple.

Уязвимости Контузии особенно страшны в этом, в случае если атакующие применяют недостатки, они могут удаленно ввести и выполнить произвольный код по уязвимой совокупности.Уязвимости Контузии не являются легко теоретическими недостатками также; они широко применяются атакующими. FireEye компании безопасности сказал, что он привёл «к существенному количеству открыто Bash усиления вредоносного трафика».

Среди разных Связанных с контузией нападений, которые сейчас видит FireEye, применение кражи пароля, и вдобавок автоматизированный клик-фрод.Контузия была если сравнивать с недостатком Heartbleed, что ударил совокупности ранее в текущем году.

С Heartbleed OpenSSL с открытым исходным кодом криптографическая библиотека, как обнаружили, пребывала в опасности. После Heartbleed кое-какие ученые мужи указали на слабость в модели с открытым исходным кодом.

Другие, включая Базу Linux, сплотились для оказания новой помощи OpenSSL и вторым упрочнениям с открытым исходным кодом улучшить безопасность.Одна программа Bash также связана с Фондом свободного ПО (FSF), что светло разглядывает открытый исходный код как свойство иметь дело с проишествиями безопасности действенным методом.«Бесплатное ПО не может обеспечивать, что Ваша безопасность, и в определенных обстановках может казаться менее надёжной на определенных векторах, чем кое-какие личные программы», FSF заявил. «Как был обширно согласован после неточности OpenSSL ‘Heartbleed’, ответ не пребывает в том, чтобы торговать одной неточностью безопасности для весьма глубокой ненадежности, по сути создаваемой собственным программным обеспечением — ответ пребывает в том, чтобы поместить ресурсы и энергию в улучшение и аудит бесплатных программ».

Тогда как уязвимость Контузии не была полностью исправлена до 26 сентября, системные администраторы Linux, быть может, смягчили уязвимость с другой разработкой с открытым исходным кодом, известной как SELinux (Улучшенный Безопасностью Linux). Первоначально упрочнение, запущенное Агентством нацбезопасности (NSA) и еще, совершило посадку в ядрах Linux 2004, SELinux предоставляет дополнительные необходимые средства управления доступом Linux.

По словам резидентского специалиста SELinux Red Hat Дэна Уолша, подобающим образом сконфигурированная совокупность ограничила бы риск применения Контузии.«Сейчас это — страшное применение, но потому, что Вы видите, что SELinux, возможно, защитил бы партию/больше всего Ваших полезных данных по Вашей машине», Уолш вел блог. «Это приобрело бы Вас время для Вас для исправления совокупности».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.

Следуйте за ним в Твиттере @TechJournalist.


5 Комментов

Оставить коммент