I normali desktop OS X sono a rischio di bug "shellshock" di base (CVE-2014-6271)?

41

Recentemente ho sentito parlare di Twitter su CVE-2014-6271.

I normali desktop OS X, che non agiscono come server Web, corrono il rischio di ricevere attacchi che potrebbero sfruttare questa vulnerabilità?

    
posta Andrew Grimm 25.09.2014 - 02:37
fonte

3 risposte

35

Definisci "rischio".

Il nucleo di questo attacco è quello di creare una variabile di ambiente che assomiglia a una funzione di script Bash ma termina con l'invocazione di un programma e quindi causare Bash da eseguire. Bash vedrà la variabile di ambiente, la analizzerà e quindi manterrà l'analisi oltre la fine della funzione ed eseguirà il programma.

Funzionerà qualsiasi metodo di attivazione dell'esecuzione di Bash con almeno una variabile di ambiente controllata da un aggressore. attacchi CGI del server web stanno ottenendo l'attenzione in questo momento, ma un utente accedendo su SSH potrebbero farlo (un accesso non riuscito, tuttavia, non può). È possibile che alcuni server FTP possano attivarlo (ad esempio, eseguendo uno script post-caricamento). Un programma di installazione basato su PackageMaker potrebbe attivarlo, ma se stai eseguendo un programma di installazione ostile, hai problemi più grandi di questo. Ci sono probabilmente anche molti altri modi.

È improbabile che l'utente medio del desktop che fa attività utente desktop media abbia vettori di attacco aperti che potrebbero essere utilizzati per attivare questo bug, ma Bash si presenta in posti inattesi che è impossibile dire con certezza.

    
risposta data 25.09.2014 - 03:56
fonte
11

Quello che dovresti fare è determinare quali processi stanno eseguendo bash. Sui sistemi Linux, una vulnerabilità sembra essere nel modo in cui vengono gestite le richieste DHCP.

Potresti usare execsnoop per individuare ciò che esegue bash e poi provare a fare alcune cose normali, come connettersi a una rete wifi o navigare in pagine web che richiedono assistenti esterni (ad esempio iTunes). Verifica se bash è in esecuzione e quindi utilizza altri strumenti di dtrace per verificare se è possibile ispezionare gli ambienti.

Tuttavia, a essere onesti, avrebbe più senso aggiornare la macchina non appena è disponibile una soluzione. Non ne ho ancora visto uno per OS X (ma non ho guardato per qualche ora), ma terrei un occhio fuori e aggiornerò quando ciò accadrà.

    
risposta data 25.09.2014 - 12:04
fonte
8

No, per quanto posso dire, ordinario i desktop OS X non lo sono.

OS X DHCP non è vulnerabile. In questi giorni non ha nemmeno invocato una shell, e nelle versioni che utilizzavano un bootpd che ha ha invocato una shell, quella shell non era Bash; alcuni siti hanno suggerito che sarebbe stato eseguito tcsh, ma penso che sarebbe stato effettivamente /bin/sh , che (dalla memoria) su versioni precedenti di OS X era l'implementazione BSD della shell Bourne, not Bash.

Se stai usando Apache e stai usando vaniglia CGI (che è non normale per un desktop OS X) con Bash, sei vulnerabile.

Allo stesso modo, se stai utilizzando una macchina OS X per eseguire un server SSH con restrizioni utilizzando ForceCommand, sei vulnerabile. Di nuovo, questo è non normale per un desktop OS X.

Per quanto riguarda i vari processi server di Apple, mentre non li ho controllati tutti, dalla memoria tendono ad usare Twisted e quindi a invertirli usando Apache. Ciò non coinvolge CGI e non è vulnerabile.

    
risposta data 26.09.2014 - 11:51
fonte

Leggi altre domande sui tag