বাড়ি Securitywatch গুরুতর বাশ ত্রুটি আক্রমণকারীদের লিনাক্স এবং ম্যাক কম্পিউটারগুলি হাইজ্যাক করতে দেয়

গুরুতর বাশ ত্রুটি আক্রমণকারীদের লিনাক্স এবং ম্যাক কম্পিউটারগুলি হাইজ্যাক করতে দেয়

ভিডিও: म्हारे गाम का पानी Mahre Gaam Ka Pani New Haryanvi Song 2016 (নভেম্বর 2024)

ভিডিও: म्हारे गाम का पानी Mahre Gaam Ka Pani New Haryanvi Song 2016 (নভেম্বর 2024)
Anonim

সুরক্ষার বিশেষজ্ঞরা বলেছিলেন যে ব্যাশের একটি বহুল ব্যবহৃত কমান্ড দোভাষী অনুবাদকরা ইউনিক্স এবং লিনাক্স সিস্টেমের জন্য একটি গুরুতর সুরক্ষা ঝুঁকিপূর্ণ হিসাবে আবিষ্কার করেছেন। এবং যাতে না হয় আপনি সমস্যাটিকে কেবল একটি সার্ভার সমস্যা হিসাবেই বরখাস্ত করতে প্ররোচিত হন, মনে রাখবেন ম্যাক ওএস এক্স ব্যাশ ব্যবহার করে। অনেক বিশেষজ্ঞ সতর্ক করেছেন যে এটি হার্টবেল্ডের চেয়ে খারাপ হতে পারে।

আকামাইয়ের ইউনিক্স এবং লিনাক্স নেটওয়ার্ক এবং টেলিকম অ্যাডমিনিস্ট্রেটর স্টিফেন চেজেলাসের মতে, এই বাগটি প্রথম প্রকাশ করেছিলেন, এই দুর্বলতা বাশের বেশিরভাগ সংস্করণে রয়েছে, যার ১.১ to থেকে ৪.৩ সংস্করণ রয়েছে। হোমল্যান্ড সিকিউরিটি বিভাগের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (সিইআরটি) একটি সতর্কবাণীতে সতর্ক করে বলেছে যে যদি দুর্বলতা কাজে লাগানো হয় তবে কোনও দূরবর্তী হ্যাকার আক্রান্ত সিস্টেমে দূষিত কোড কার্যকর করতে পারে। এনআইএসটি দুর্বলতা ডাটাবেস তীব্রতার দিক দিয়ে বাগের 10 এর মধ্যে 10 রেট দিয়েছে।

"এই দুর্বলতা সম্ভাব্য একটি খুব বড় জিনিস, " টপ বিয়ার্ডস্লি, র্যাপিড 7-এর ইঞ্জিনিয়ারিং ম্যানেজার বলেছেন।

দুর্বলতার সাথে বাশ পরিবেশের চলকগুলি কীভাবে পরিচালনা করে তা করতে হবে। কোনও ভেরিয়েবলের জন্য কোনও কার্য নির্ধারণের সময়, সংজ্ঞায়িত কোনও অতিরিক্ত কোডও কার্যকর করা হবে। সুতরাং সমস্ত আক্রমণকারীকে যে কোনওভাবে সেই সংজ্ঞাতে একটি গোছা কমান্ডগুলি সংযুক্ত করতে হবে - এটি একটি ক্লাসিক কোড-ইনজেকশন আক্রমণ - এবং তারা প্রভাবিত মেশিনকে দূর থেকে হাইজ্যাক করতে সক্ষম হবে। চেজেলা এবং অন্যান্য গবেষকরা যারা ত্রুটিটি দেখেছেন তারা নিশ্চিত করেছেন যে কোডটি পরিবেশগত ভেরিয়েবলগুলিতে ইনজেক্ট করা থাকলে, যেমন ওপেনএসএইচএসএসডি-র ফোর্সকম্যান্ড বৈশিষ্ট্য, অ্যাপাচি এইচটিটিপি সার্ভারের মোড_সিজি এবং মোড_সিজিড মডিউল বা স্ক্রিপ্টগুলি সেট করে যা এটি সহজেই কার্যকর হয় confirmed ডিএইচসিপি ক্লায়েন্টদের জন্য পরিবেশ।

"ক্লাউড সিকিউরিটি অ্যালায়েন্সের চিফ এক্সিকিউটিভ জিম রিভিস একটি ব্লগ পোস্টে লিখেছেন, " লিনাক্স এবং অন্যান্য ইউএনআইএক্স সিস্টেমে প্রচুর প্রোগ্রাম পরিবেশগত পরিবর্তনশীল স্থাপনের জন্য বাশকে ব্যবহার করে যা পরে অন্য প্রোগ্রামগুলি কার্যকর করার সময় ব্যবহৃত হয়, "ক্লাউড সিকিউরিটি অ্যালায়েন্সের চিফ এক্সিকিউটিভ জিম রিভিস একটি ব্লগ পোস্টে লিখেছিলেন।

অনিবার্য হৃদয়যুক্ত তুলনা

এই দুর্বলতা সম্পর্কে দুটি বিষয় বিবেচনা করুন: লিনাক্স / ইউনিক্স সার্ভারগুলি বিশ্বব্যাপী ডেটা সেন্টারগুলির পাশাপাশি অনেকগুলি ডিভাইসে এম্বেড করাতে ব্যাপকভাবে ব্যবহৃত হয়; দুর্বলতা বছরের পর বছর ধরে উপস্থিত রয়েছে। বাশ এতটাই বিস্তৃত যেহেতু হার্টবেল্ডের সাথে তুলনা করা হচ্ছে, ওপেনএসএসএইচ-তে দুর্বলতা যা এপ্রিল মাসে ফিরে পাওয়া গিয়েছিল তা অনিবার্য। এরাটার সিকিউরিটির রবার্ট গ্রাহাম ইতোমধ্যে ত্রুটি শেলশকটি ডাব করেছেন।

তবে এটি কি হৃদয়গ্রাহী 2? এটা বলা একটু কঠিন। এটি অবশ্যই একটি গুরুতর সমস্যা, কারণ এটি আক্রমণকারীদের কমান্ড শেলটিতে অ্যাক্সেস দেয়, যা সেই মেশিনে তারা যা খুশি করতে পারে তা সোনার টিকিট।

আকারের দিক থেকে চিন্তা করা যাক। অ্যাপাচি ওয়েব সার্ভারগুলি বিশ্বের বিশাল ওয়েবসাইটগুলিকে শক্তিশালী করে। আমরা হার্টবেলডের সময় যেমন শিখেছি, সেখানে অনেকগুলি নন-লিনাক্স / ইউনিক্স মেশিন রয়েছে যা ওপেনএসএসএইচ এবং টেলনেট ব্যবহার করে। এবং ডিএইচসিপি নেটওয়ার্কগুলির জন্য এবং বন্ধ রাখতে আমাদের পক্ষে সহজ করে তোলার ক্ষেত্রে সহায়ক। এর অর্থ কম্পিউটার এবং সার্ভারের পাশাপাশি এটিও সম্ভব যে অন্যান্য এম্বেড থাকা সিস্টেম যেমন রাউটারগুলিও হাইজ্যাকের ঝুঁকির মধ্যে রয়েছে। ত্রুটিটির সুনির্দিষ্ট গ্রাহাম - যিনি এখন পর্যন্ত বাগের সর্বাধিক বিশ্লেষণ করেছেন some কিছু স্ক্যান করেছেন এবং সহজেই কয়েক হাজার দুর্বল সার্ভার খুঁজে পেয়েছেন, তবে সমস্যার তীব্রতা অনুমান করা এই মুহুর্তে কিছুটা কঠিন hard

তবে, ওপেনএসএসএল এর একটি দুর্বল সংস্করণ ইনস্টল করেই হার্টলেড ত্রুটি উপস্থিত ছিল। এই বাগটি তত সরল নয়।

"এটি বাশ চালানোর মতো 'সাধারণ' নয়, '' দার্ডসলে জানিয়েছেন। মেশিনটি আক্রমণে ঝুঁকিপূর্ণ হওয়ার জন্য একটি অ্যাপ্লিকেশন (অ্যাপাচি এর মতো) ব্যবহারকারীর ইনপুট গ্রহণ করতে হবে (একটি ব্যবহারকারী-এজেন্ট শিরোনামের মতো) এবং এটি একটি পরিবেশের পরিবর্তনশীল (যা সিজিআই স্ক্রিপ্টগুলি করে) তে রাখে, তিনি বলেছিলেন। আধুনিক ওয়েব ফ্রেমওয়ার্কগুলি সাধারণত প্রভাবিত হবে না, তিনি বলেছিলেন।

এই কারণেই গ্রাহাম শেলশক হার্টবলিডের মতো মারাত্মক হওয়ার সময় বলেছিলেন, "এই বাগটি ঠিক করার দরকার নেই। আপনার প্রাথমিক সার্ভারগুলি সম্ভবত এই বাগের পক্ষে ঝুঁকিপূর্ণ নয়""

তবে আমরা রাউটার এবং এমবেডেড ডিভাইসগুলি (এবং ইন্টারনেট অফ থিংস) সম্পর্কে উদ্ভট করার আগে মনে রাখবেন যে সমস্ত সিস্টেম বাশ ব্যবহার করে না। উবুন্টু এবং অন্যান্য ডেবিয়ান উদ্ভূত সিস্টেমগুলি ড্যাশ নামে একটি পৃথক কমান্ড ইন্টারপ্রেটার ব্যবহার করতে পারে। ক্যাসপারস্কি ল্যাবের সিনিয়র গবেষক, টুইটারে এম্বেডেড ডিভাইসগুলি প্রায়শই বুজিবক্স নামে একটি ব্যবহার করে, যা ঝুঁকিপূর্ণ নয়।

ক্ষতিগ্রস্থ নাকি না?

আপনি নিম্নলিখিত কমান্ডগুলি (সিএসএ দ্বারা প্রদত্ত কোড) চালিয়ে আপনি দুর্বল কিনা তা পরীক্ষা করতে পারেন। একটি টার্মিনাল উইন্ডো খুলুন এবং $ প্রম্পটে নিম্নলিখিত কমান্ডটি প্রবেশ করুন:

env x = '() {:;}; প্রতিধ্বনিত 'বাশ-সি "প্রতিধ্বনি এটি একটি পরীক্ষা"

আপনি যদি দুর্বল হন তবে এটি মুদ্রণ করবে:

জেয়

এটা একটা পরীক্ষা

আপনি যদি বাশকে আপডেট করেছেন তবে আপনি কেবল দেখতে পাবেন:

এটা একটা পরীক্ষা

সাধারণত, আমি বলব যে এগিয়ে যাও এবং এখনই প্যাচ করুন, তবে এটি পাওয়া যায় যে প্যাচগুলি সম্পূর্ণ নয়। বাশকে প্যাচ দেওয়ার পরেও পরিবেশের পরিবর্তনশীলগুলির মাধ্যমে কমান্ডগুলি ইনজেক্ট করার উপায় রয়েছে, রেড হ্যাট সকালে সকালে বলেছিল। আপনার কাছে যদি হাতে গোনা কয়েকটি মেশিন থাকে, তবে এটি উপলব্ধ প্যাচগুলি এগিয়ে নেওয়া এবং প্রয়োগ করার পক্ষে মূল্যবান হতে পারে তবে আপনার যদি কয়েক হাজার মেশিন প্যাচ করার জন্য থাকে তবে এটি আরও কয়েক ঘন্টা অপেক্ষা করার মতো। সমস্ত আপস্ট্রিম লিনাক্স ডিস্ট্রিবিউশন (এবং আশা করি অ্যাপল!) এই মুহূর্তে একটি স্থির উপর কাজ করছে।

"মনে রাখবেন, আপনি যদি বাশ এর আগে কখনও শুনেন নি বা চালনা না করেন তবে আপনার কম্পিউটারে খুব ভাল সফটওয়্যার থাকতে পারে যা বাশ প্রক্রিয়াগুলিকে উত্সাহিত করে, " স্বাধীন সুরক্ষা পরামর্শক গ্রাহাম ক্লুলে বলেছেন।

গুরুতর বাশ ত্রুটি আক্রমণকারীদের লিনাক্স এবং ম্যাক কম্পিউটারগুলি হাইজ্যাক করতে দেয়