Автор Тема: Remote Exploit Vulnerability Found In Bash  (Прочетена 23944 пъти)

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Remote Exploit Vulnerability Found In Bash
« -: Sep 25, 2014, 17:38 »
Ако все още някой не е разбрал, няма да е лошо да се патчне :) Гледам, че са ме тествали, но интересно, че бях уязвим, а не са ръчкали нищо:

89.207.135.125 - - [25/Sep/2014:13:57:34 +0300] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 312 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
Активен

Some Things Just Are The Way They Are

satir

  • Напреднали
  • *****
  • Публикации: 1073
  • Distribution: FreeBSD-10.1 & LMDE
  • Window Manager: i prefer MATE
    • Профил
    • WWW
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #1 -: Sep 25, 2014, 19:06 »
много ми е интересно ти как разбра, че са те преслушали :)
Активен

wfw

  • Напреднали
  • *****
  • Публикации: 249
  • Distribution: Debian
  • Window Manager: none
    • Профил
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #2 -: Sep 25, 2014, 19:27 »
Защото
Код:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
това е проверка дали ти е уязвим BASH.
Има някакво сходство.
Активен

zxz

  • Напреднали
  • *****
  • Публикации: 615
  • Distribution: Linux Mint 18.2
  • Window Manager: XFCE
    • Профил
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #3 -: Sep 25, 2014, 19:31 »
http://bealers.com/2014/09/serious-bash-exploit-fix/ С 2 линии код се оправя всичко, стига сега да не се отвори нещо друго  :D.
Активен

satir

  • Напреднали
  • *****
  • Публикации: 1073
  • Distribution: FreeBSD-10.1 & LMDE
  • Window Manager: i prefer MATE
    • Профил
    • WWW
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #4 -: Sep 25, 2014, 19:36 »
аз обнових bash, а сега съм пуснал Tiger security и скрипта проверява... да видим какво ще открие, ако открие неща. преди време на убунту имах някакъв скрипт, който не помня какъв беше и ме известяваше за промени по файловете и системата, ама сигурноста не ми е първа сила.
едит: това с 'х' проблем ли е или не?
Код
GeSHi (Bash):
  1. satir@satir-desktop:~$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
  2. bash: warning: x: ignoring function definition attempt
  3. bash: error importing function definition for `x'
  4. hello
« Последна редакция: Sep 25, 2014, 19:40 от satir »
Активен

zxz

  • Напреднали
  • *****
  • Публикации: 615
  • Distribution: Linux Mint 18.2
  • Window Manager: XFCE
    • Профил
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #5 -: Sep 25, 2014, 19:45 »
Изглежда, че дава грешка при декларирането, което трябва да става по принцип, т.е всичко е наред.
Активен

wfw

  • Напреднали
  • *****
  • Публикации: 249
  • Distribution: Debian
  • Window Manager: none
    • Профил
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #6 -: Sep 25, 2014, 19:57 »
За по-стари версии на Linux, които нямат security updates, може да се компилира BASH:

https://gist.github.com/mattwhite/86de50d30134129e44ef

Това е за Debian 5, гледах аналогични и за Ubuntu 8.04

edit: скрипта е доста прост. Изтегля BASH, изтегля и прилага пачовете и компилира и инсталира. Аз лично изпълнявах стъпка по стъпка, защото не вярвам много на скриптове, които нямат елементарна проверка дали нещата не са върнали грешка.
« Последна редакция: Sep 25, 2014, 20:00 от wfw »
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #7 -: Sep 25, 2014, 20:06 »
Аз пък искам да си компилирам bash така, че да имам /dev/tcp устройство.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #8 -: Sep 25, 2014, 21:18 »
От известно време наблюдавайки made in china скенерите и ми се иска да пусна един Honeypot.Ако някой е правил подобно нещо, ще помоля да даде малко инфо какво е ползвал (дистро, пакети и т.н.).Ако gat3way прочете поста и има нещо в предвид, ще го помоля и той да се включи :)
Мисля, че на доста хора ще им е интересно.
 
P.S. Всъщност проблема е доста по-голям и не е фикснат на 100% с този пач
Активен

Some Things Just Are The Way They Are

go_fire

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 8780
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #9 -: Sep 25, 2014, 21:22 »
Е как гърнето с мед на Гейта е просто легендарно, макар бая старичко. Но там ставаше въпрос за съвсем друго, той садистично се гавреше с резняците.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #10 -: Sep 26, 2014, 01:40 »
Ми пусни си де, колко му е - една виртуална машина и гледай сеир. Аз бих го направил ако имах повече свободно време, сега е много сгодно време за такива забави, защото малоумните келемета още не знаят за проблема, та ще ти се набият по-интелигентните келемета и там ще видиш по-интересни изпълнения и ще събереш по-интересен материал за анализиране.
Активен

"Knowledge is power" - France is Bacon

satir

  • Напреднали
  • *****
  • Публикации: 1073
  • Distribution: FreeBSD-10.1 & LMDE
  • Window Manager: i prefer MATE
    • Профил
    • WWW
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #11 -: Sep 26, 2014, 04:48 »
както споменах, пуснах Tiger Security script, който поне половин час рови къде ли не, и като приключи просто конзолата се затвори, без да ми даде никакво обяснение :) сега, като си проверявам пощата, а аз редовно си проверявам пощата във /var/spool/mail/satir   ;D и виждам, че тигъра ми е писал съобщение съдържащо двайсетина предупреждения. да им обръщам ли внимание или просто да кажа - епа, доОобре!
Код
GeSHi (Bash):
  1. From "Tiger automatic auditor at satir-desktop" <root@satir-desktop>
  2. To root@satir-desktop
  3. Date 25/09/2014 20:00
  4. Subject Tiger Auditing Report for satir-desktop
  5. Message contents
  6.  
  7. # Checking listening processes
  8. --WARN-- [lin003w] The process `asterisk' is listening on socket 2000 (TCP on every
  9. interface) is run by asterisk.
  10. --WARN-- [lin003w] The process `asterisk' is listening on socket 4520 (UDP on every
  11. interface) is run by asterisk.
  12. --WARN-- [lin003w] The process `asterisk' is listening on socket 4569 (UDP on every
  13. interface) is run by asterisk.
  14. --WARN-- [lin003w] The process `asterisk' is listening on socket 5000 (UDP on every
  15. interface) is run by asterisk.
  16. --WARN-- [lin003w] The process `asterisk' is listening on socket 5060 (UDP on every
  17. interface) is run by asterisk.
  18. --WARN-- [lin003w] The process `avahi-daemon' is listening on socket 53120 (UDP on
  19. every interface) is run by avahi.
  20. --WARN-- [lin003w] The process `avahi-daemon' is listening on socket 5353 (UDP on
  21. every interface) is run by avahi.
  22. --WARN-- [lin002i] The process `cups-browsed' is listening on socket 631 (UDP) on
  23. every interface.
  24. --WARN-- [lin002i] The process `dhclient' is listening on socket 13154 (UDP) on every
  25. interface.
  26. --WARN-- [lin002i] The process `dhclient' is listening on socket 68 (UDP) on every
  27. interface.
  28. --WARN-- [lin003w] The process `git-daemon' is listening on socket 9418 (TCP on every
  29. interface) is run by gitdaemon.
  30. --WARN-- [lin003w] The process `icecast2' is listening on socket 8000 (TCP on every
  31. interface) is run by icecast2.
  32. --WARN-- [lin002i] The process `miniserv.pl' is listening on socket 10000 (TCP) on
  33. every interface.
  34. --WARN-- [lin002i] The process `miniserv.pl' is listening on socket 10000 (UDP) on
  35. every interface.
  36. --WARN-- [lin002i] The process `minissdpd' is listening on socket 1900 (UDP) on every
  37. interface.
  38. --WARN-- [lin002i] The process `nmbd' is listening on socket 137 (UDP) on every interface.
  39. --WARN-- [lin002i] The process `nmbd' is listening on socket 138 (UDP) on every interface.
  40. --WARN-- [lin003w] The process `ntpd' is listening on socket 123 (UDP on every interface)
  41. is run by ntp.
  42. --WARN-- [lin003w] The process `ntpd' is listening on socket 123 (UDP on 192.168.0.102
  43. interface) is run by ntp.
  44. --WARN-- [lin003w] The process `oidentd' is listening on socket 113 (TCP on every
  45. interface) is run by oident.
  46. --WARN-- [lin003w] The process `pulseaudio' is listening on socket 34052 (TCP on
  47. every interface) is run by kamen.
  48. --WARN-- [lin003w] The process `pulseaudio' is listening on socket 37646 (TCP on
  49. every interface) is run by kamen.
  50. --WARN-- [lin003w] The process `pulseaudio' is listening on socket 9875 (UDP on 224.0.0.56
  51. interface) is run by kamen.
  52. --WARN-- [lin003w] The process `pulseaudio' is listening on socket 16001 (TCP on
  53. every interface) is run by satir.
  54. --WARN-- [lin003w] The process `pulseaudio' is listening on socket 4713 (TCP on every
  55. interface) is run by satir.
  56. --WARN-- [lin003w] The process `pulseaudio' is listening on socket 9875 (UDP on 224.0.0.56
  57. interface) is run by satir.
  58. --WARN-- [lin003w] The process `rpc.statd' is listening on socket 49005 (TCP on every
  59. interface) is run by statd.
  60. --WARN-- [lin003w] The process `rpc.statd' is listening on socket 50118 (UDP on every
  61. interface) is run by statd.
  62. --WARN-- [lin002i] The process `rpcbind' is listening on socket 111 (TCP) on every
  63. interface.
  64. --WARN-- [lin002i] The process `rpcbind' is listening on socket 1022 (UDP) on every
  65. interface.
  66. --WARN-- [lin002i] The process `rpcbind' is listening on socket 111 (UDP) on every
  67. interface.
  68. --WARN-- [lin002i] The process `smbd' is listening on socket 139 (TCP) on every interface.
  69. --WARN-- [lin002i] The process `smbd' is listening on socket 445 (TCP) on every interface.
  70. --WARN-- [lin002i] The process `sshd' is listening on socket 22 (TCP) on every interface.
« Последна редакция: Sep 26, 2014, 05:03 от satir »
Активен

wfw

  • Напреднали
  • *****
  • Публикации: 249
  • Distribution: Debian
  • Window Manager: none
    • Профил
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #12 -: Sep 26, 2014, 08:33 »
Някой по-горе се оказа прав. Пача не е бил така добър, сега чакаме нов :)

Цитат
Package        : bash
CVE ID         : CVE-2014-7169
Debian Bug     : 762760 762761

Tavis Ormandy discovered that the patch applied to fix CVE-2014-6271
released in DSA-3032-1 for bash, the GNU Bourne-Again Shell, was
incomplete and could still allow some characters to be injected into
another environment (CVE-2014-7169). With this update prefix and suffix
for environment variable names which contain shell functions are added
as hardening measure.

Additionally two out-of-bounds array accesses in the bash parser are
fixed which were revealed in Red Hat's internal analysis for these
issues and also independently reported by Todd Sabin.

For the stable distribution (wheezy), these problems have been fixed in
version 4.2+dfsg-0.1+deb7u3.

We recommend that you upgrade your bash packages.
Активен

satir

  • Напреднали
  • *****
  • Публикации: 1073
  • Distribution: FreeBSD-10.1 & LMDE
  • Window Manager: i prefer MATE
    • Профил
    • WWW
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #13 -: Sep 26, 2014, 09:01 »
а ако смениме shell-a какво се случва?
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: Remote Exploit Vulnerability Found In Bash
« Отговор #14 -: Sep 26, 2014, 09:07 »
И аз това предложих, но никой не каза нищо.

satir, можеш ли да ми пуснеш pm с линкчета, относно VOIP , че искам да си пусна едно сървърче за лични нужди?
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
bash: ifconfig: command not found
Настройка на програми
Spedge 3 2858 Последна публикация Jun 22, 2004, 00:43
от Acidtrance
-bash: id: command not found
Настройка на програми
empty 2 2474 Последна публикация Oct 19, 2004, 21:41
от empty
Bash: ifconfig: command not found
Настройка на програми
unhuman 4 2636 Последна публикация Nov 27, 2007, 12:41
от tolostoi
Security vulnerability in MySQL/MariaDB sql/password.c
Системна Сигурност
b2l 8 4398 Последна публикация Jun 14, 2012, 08:53
от b2l
Critical GHOST vulnerability affects most Linux Systems - CVE-2015-0235
Системна Сигурност
mrowcp 3 3009 Последна публикация Jan 30, 2015, 17:01
от mrowcp