심각한 취약점이 보고 되었다고 합니다. shell shock에 대해 잘 조치하고 계신가요?
그게 셸 쇼크때문이었더군요. 쓰고 있는 리눅스가 이거 하나이니 잘 조치했다고 할 수 있겠네요.
--
어제 날짜로 bash 패치가 나왔습니다. 저희는 일단 저번주에 아파치 쪽에 관련 모듈들 있나 확인하고 모듈 사용하는 웹의 경우 mod_security 로 패턴 넣어서 차단해서 급한 불은 껐네요~
취약대상이 광범위한 취약점 발표때면 마파람 게눈 감추듯 허덕되게 되네요.
if (parse_command () == 0) { if ((flags & SEVAL_PARSEONLY) || (interactive_shell == 0 && read_but_dont_execute)) { last_result = EXECUTION_SUCCESS; dispose_command (global_command); global_command = (COMMAND *)NULL; } else if (command = global_command) { // 함수 선언 명령어인지 확인하지 않음
이러한 코딩덕분이라고 하네요;;
해도 해도 유분수지요.
버그가 이야기만 듣고 업데이트만 하고 말았는데... 여기서 자세한 내용을 보게 되네요.
여담으로
# env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'
실행시,
# env x='() { :;}; echo vulnerable' bash -c 'echo this is a test' vulnerable this is a test
--------------------------------- 제일 왼쪽이 저입니다 :)
ShellShock관련해서 발표된 취약성은 CVE-2014-6271과 CVE-2014-7169의 두가지인데 초기에 나온 패치는 CVE-2014-6271에만 대응하고 CVE-2014-7169는 대응하지 못한 것이 있으니 주의가 필요합니다.
패치후 검증하는 쉘코드도 웹에 많이 돌아다니는데 두 취약성이 각각 검증방법이 틀리니 두가지 다 해보셔야 합니다.
===== ===== ===== ===== ===== 그럼 이만 총총...[竹]http://elflord.egloos.com
https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck 스크립트로 CVE-2014-6271과 CVE-2014-7169 그리고 CVE-2014-7186 까지 체크 가능 합니다.
CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-7186, CVE-2014-7187, CVE-2014-6278 하나 둘이 아니었군요. ㅡㅡ;
제 Raspbmc가 급히 업데이트 되었던데
그게 셸 쇼크때문이었더군요. 쓰고 있는 리눅스가 이거 하나이니 잘 조치했다고 할 수 있겠네요.
--
안그래도 그것때문에..
어제 날짜로 bash 패치가 나왔습니다.
저희는 일단 저번주에 아파치 쪽에 관련 모듈들 있나 확인하고 모듈 사용하는 웹의 경우 mod_security 로 패턴 넣어서 차단해서 급한 불은 껐네요~
부랴부랴 조치 했어요.
취약대상이 광범위한 취약점 발표때면 마파람 게눈 감추듯 허덕되게 되네요.
if (parse_command () == 0)
{
if ((flags & SEVAL_PARSEONLY) || (interactive_shell == 0 && read_but_dont_execute))
{
last_result = EXECUTION_SUCCESS;
dispose_command (global_command);
global_command = (COMMAND *)NULL;
}
else if (command = global_command)
{
// 함수 선언 명령어인지 확인하지 않음
이러한 코딩덕분이라고 하네요;;
해도 해도 유분수지요.
버그가 이야기만 듣고 업데이트만 하고
버그가 이야기만 듣고 업데이트만 하고 말았는데...
여기서 자세한 내용을 보게 되네요.
여담으로
# env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'실행시,
# env x='() { :;}; echo vulnerable' bash -c 'echo this is a test' vulnerable this is a test와 같이 나오면 아직 패치가 안된 것이라고 합니다.
---------------------------------
제일 왼쪽이 저입니다 :)
ShellShock관련해서 발표된 취약성은
ShellShock관련해서 발표된 취약성은 CVE-2014-6271과 CVE-2014-7169의 두가지인데 초기에 나온 패치는 CVE-2014-6271에만 대응하고 CVE-2014-7169는 대응하지 못한 것이 있으니 주의가 필요합니다.
패치후 검증하는 쉘코드도 웹에 많이 돌아다니는데 두 취약성이 각각 검증방법이 틀리니 두가지 다 해보셔야 합니다.
===== ===== ===== ===== =====
그럼 이만 총총...[竹]
http://elflord.egloos.com
https://raw.githubusercontent
https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck 스크립트로 CVE-2014-6271과 CVE-2014-7169 그리고 CVE-2014-7186 까지 체크 가능 합니다.
CVE-2014-6271, CVE-2014-7169,
CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-7186, CVE-2014-7187, CVE-2014-6278
하나 둘이 아니었군요. ㅡㅡ;
===== ===== ===== ===== =====
그럼 이만 총총...[竹]
http://elflord.egloos.com