Баш е основният корпус на UNIX - език, който се използва на много платформи: от различни уеб хостинг сървъри до модеми, играчки и т.н. Ако сте потребител на Windows, не трябва да се страхувате от уязвимостта на ShellShock, тъй като шансовете за това, нула. Но ако посещавате уебсайтове, които се намират на сървъри на UNIX или използвате стоки, които използват UNIX за функциониране, може да станете жертва на злонамерен софтуер или нещо подобно, което може да ви навреди по някакъв начин. Тази статия се опитва да обясни Bash Уязвимост или Shellshock както го наричат, в смисъл на мирянин.
Какво е BASH
UNIX е основно операционна система за командния ред. Макар че има много варианти, които предлагат графичен потребителски интерфейс (GUI), основата на такива интерфейси е интерфейсът на командния ред (CLI) на UNIX. И UNIX е навсякъде от уеб хостинг сървъри до "нещата" в интернет на нещата. Има обекти като свързана микровълнова, която комуникира в UNIX, вместо да използва всяка друга операционна система, тъй като UNIX е по-лесна за инсталиране и се счита за по-безопасна (т.е. до появата на уязвимостта на баш).
UNIX също е лека операционна система и буквално има стотици команди, с които се занимава, за да произведе правилно изход - независимо дали работи директно на интерфейса на командния ред или в GUI, базиран на интерфейса на командния ред.
Присъединявайки се към BASH, тя е неразделна част от UNIX: Тя е обвивката на UNIX. Искам да кажа, че това е част от UNIX, която приема команди и ги обработва, за да ви предостави желаната продукция, независимо дали тази команда е била дадена директно от потребител или е била изпратена на черупката с някакъв GUI.
ShellShock или Bash Уязвимост
Този раздел говори за това, какво точно е уязвимостта в UNIX, която индустрията се чувства заплашена. Обикновено, на командния ред има много неща, които се случват. Например, стойностите на различни параметри се предават, които се обработват от компютъра, без да се проверява източника на стойности. Всяка команда има име на команда, ключове и параметри на командата. Както например в командата за типа MS DOS, имате синтаксиса на командата като:
Type filename.txt /p [>textfile.txt|print]
Тук filename.txt и textfile.txt са параметри, които определят кой файл да се прегледа или отпечата. Или да съхранявате продукцията в textfile.txt. Командите са сходни в UNIX по начин, по който те също имат параметри и UNIX не се интересува откъде идват параметрите, докато синтаксиса е правилен. Същото важи и за програмите за интерфейс на командния ред и операционните системи.
Сега, дошли на уязвимостта, злонамерените потребители могат да предават злонамерени параметри на командата на UNIX с намерение да се възползва от тази слабост на операционната система за командния ред. Злонамерените потребители могат да предадат опустошителни неща като команди или като параметри на командата без UNIX, знаейки, че е на път да унищожи компютъра, на който работи.
Някои експерти твърдят, че стойностите на променливите на околната среда също могат да засегнат компютрите. Екологичните променливи са стойности, които се използват от операционната система за изпълнение на конкретни задачи, подобни на командите, но стойностите тук са глобални и не са специфични за командата.
Като част от самата черупка, уязвимостта е известна още като Shellshock и трудно се справя. Не съм сигурен как различните компании, използващи UNIX, трябва да се справят с тази уязвимост, тъй като тя се основава на огромна слабост. Това ще изисква много мислене и вероятно сканиране на всяка команда (която може да забави системите).
Скенер за уязвимост ShellShock
Изпълнете този скенер по заявка от TrendMicro на системите си за Linux, за да определите дали злонамереният код на BashLite е резидентен. Сканирайте уебсайта си, за да прецените дали е уязвим за уязвимостта на ShellShock или Bash.
Пачове за уязвимост на баш
Националната база данни за уязвимостите изброява някои кръпки, които могат да помогнат на потребителите на UNIX до известна степен, но предполагам, че това не премахва всички проблеми, свързани с уязвимостта на баш. Това трябва да бъде обработено от експертите в областта на програмирането на UNIX и може да отнеме известно време, преди да се издаде подходящо решение за закрепване на уязвимостта завинаги. До този момент компютрите и автоматизираните устройства, използващи UNIX, ще бъдат изложени на риск и биха могли да представляват риск за други свързани с тях устройства и компютри.