Red Hat recentemente ha annunciato un importante strumento di sicurezza- bug correlato nella shell di Bash. Alcuni lo chiamano bug "shellshock". Poiché OS X è costruito fuori Unix, è vulnerabile agli attacchi che sfruttano questo bug?
Come utente finale, devo preoccuparmi di una correzione immediata? O è meglio per me aspettare un aggiornamento software ufficiale di Apple?
Sì, sei tecnicamente vulnerabile. Quindi, se hai voglia di fare il panico o di fatturare un cliente in preda al panico per alcune ore di panico, fallo!
Ma la realtà è che se non si consente l'accesso SSH da connessioni remote o un server Web che esegue lo scripting lato server, non si è a rischio. Sei veramente vulnerabile solo se qualcuno che non conosci può accedere in remoto alla tua macchina e amp; fallo in un modo in cui un comando Bash può essere eseguito.
Il tuo Mac desktop, che in realtà non esegue applicazioni server di qualsiasi tipo, non è in serio pericolo. Sono disposto a mangiare una proverbiale "umile torta" qui, ma non credo che la maggior parte degli utenti Mac sarà a rischio alla fine della giornata.
Quindi questo problema riguarda principalmente gli amministratori di sistema su Mac OS X & Server Unix / Linux esposti al mondo, non utenti desktop che non abilitano la condivisione SSH.
Forse c'è il rischio che un malware o un virus Mac venga creato per sfruttare questo rischio, ma ne dubito.
EDIT: E proprio per capire come questo problema - a mio modesto parere - non è davvero un problema per la maggior parte degli utenti medi, sì posso eseguire il seguente comando da bash su Mac OS X 10.9.5:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
E vedo questo:
vulnerable
hello
Indovina cosa? Questo è terrificante solo se non lo pensi razionalmente. Dovevo già essere connesso al mio Mac per aprire anche il terminale. E per negare quello che ho detto su SSH sopra, per arrivare anche al punto in cui posso eseguire questo test anche se SSH è abilitato, dovrei comunque essere loggato per cominciare. E poi-diciamo che ottengo l'accesso tramite SSH-il comando non mi permette di fare NULLA oltre i miei normali diritti utente come questo:
env x='() { :;}; echo vulnerable' bash -c 'cat /etc/ssh_host_rsa_key'
Se sei veramente vulnerabile a essere sfruttato da questo hack, la tua sicurezza di base sul sistema dovrebbe essere così compromessa che il fatto che bash abbia un difetto è davvero l'ultimo dei tuoi problemi.
Questa è una preoccupazione da un controllo generale & problema dei diritti come il potenziale per consentire l'accesso non intenzionale poiché il comportamento si estende al di fuori delle norme previste. Ma a mio modesto parere, non è un rischio alla pari con OpenSSL o la varietà da giardino "lasciami la password su una nota registrata sullo schermo" rischi.
Alla fine della giornata sto ancora rattoppando tutti i miei server Linux / Unix che eseguo come procedura standard. E felicemente patch i Mac che gestisco una volta che una correzione è fuori. Ma per l'uso pratico quotidiano, mi sento bene, non mi preoccupo di questo dato che non capisco come un difetto che non consente di privilegiare gli utenti con privilegi elevati si aggiunge a qualsiasi cosa.
AGGIORNAMENTO: parola ufficiale di Apple pubblicato qui ; enfasi miniera:
“The vast majority of OS X users are not at risk to recently reported bash vulnerabilities," an Apple spokesperson told iMore. "Bash, a UNIX command shell and language included in OS X, has a weakness that could allow unauthorized users to remotely gain control of vulnerable systems. With OS X, systems are safe by default and not exposed to remote exploits of bash unless users configure advanced UNIX services. We are working to quickly provide a software update for our advanced UNIX users.”
Traduzione: ciò che ho detto sopra a proposito di questo problema di server & non un problema con il cliente? Esattamente.
UN UDPATE FINALE: per chiunque abbia difficoltà a compilare dal sorgente, dal 29 settembre Apple ha rilasciato ufficialmente patch per Mac OS X 10.9.5, 10.8.5 e 10.7.5:
ANCORA UN ALTRO AGGIORNAMENTO FINALE: E ora, Apple ha appena rilasciato un aggiornamento di sicurezza combinato oggi che include il bash aggiorna pure !
Note: Security Update 2014-005 includes the security content of OS X bash Update 1.0
Sì!
Scrivi nella tua shell
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Se dice vulnerable , allora sei vulnerabile.
Se dice
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'
hello
allora sei bravo.
Modifica: link alla correzione
Come utente finale , verifica che:
il tuo account ospite è disattivato:
System Preferences > Users & Groups > Guest User
il tuo ssh accesso è disattivato:
System Preferences > Sharing > Remote Login
Per impostazione predefinita, entrambi sono disattivati su Mavericks.
Come utente finale , è più sicuro per attendere un aggiornamento ufficiale della sicurezza Apple che corregge questa vulnerabilità bash .
Tutte le macchine Mac OS X sono tecnicamente vulnerabili a "Shellshock", finché Apple non rilascia un aggiornamento per la sicurezza che applica le patch a bash, ma ..
La tua domanda dovrebbe essere: Posso essere hackerato da remoto?
C'è così tanto software che usa bash distrattamente che rispondere a quella domanda è estremamente difficile. Se sei preoccupato, suggerirei diverse modifiche in System Preferences per prevenire gli exploit remoti:
Se sei particolarmente preoccupato, premi il pulsante di opzioni Firewall per:
Automatically allow signed software to receive incoming connections . Block all incoming connections . C'è ancora una buona possibilità di essere vulnerabili a un attacco di livello usando DHCP, Bonjour, ecc., ma hey se hai bisogno di un altro servizio, ovviamente puoi lasciarlo in esecuzione mentre speri che non venga sfruttato. E dovrai anche lasciare il firewall più aperto. Probabilmente andrà bene se tu sei la vita di una macchina dietro un altro firewall.
Inoltre, ci sono attacchi di escalation di privilegi locali abilitati da "Shellshock?" Sì, quasi sicuramente. Non mi preoccuperei perché Mac OS X ha attacchi abbastanza simili. Apple non patch rapidamente i bug di escalation dei privilegi locali. E Apple li crea frequentemente con i servizi abilitati Apple Script. Supponiamo che tutte le macchine Mac OS X siano sempre vulnerabili agli attacchi locali. Se hai bisogno di partecipare a conferenze sugli hacker come DEFCON allora comprati un box Linux per questo scopo.
Aggiornamento: ci sono istruzioni per ricompilando la propria bash fissa e anche altre domande trattate così . Lo farò da solo, ma IMHO è eccessivo se non si esegue alcun server e si attiva comunque il firewall di Apple.
Aggiornamento: se hai dimestichezza con l'utilizzo del terminale, c'è un programma chiamato execsnoop menzionato qui ti consente di verificare se bash viene solitamente chiamato dai processi del tuo server. Non è una bacchetta magica dato che il processo del server potrebbe chiamare bash solo in situazioni insolite, ma ti darà una buona idea.
Infine, Apple non è molto brava nell'applicare patch alle vulnerabilità della sicurezza, ma sono brave in PR, quindi questo verrà aggiornato in modo relativamente veloce. È quindi ragionevole pensare "Non ho bisogno di correre più veloce dell'orso, ho solo bisogno di correre più veloce rispetto al vasto numero di server facilmente sfruttabili su internet". :)
Ho creato questo strumento non appena ho saputo di questa vulnerabilità. Ti fornirà un collegamento a un articolo per correggere la tua shell se lo strumento determina che sei vulnerabile.
Richiede Mac OS X 10.6 e versioni successive.