25.9.2014

foto Petr Bravenec

Petr Bravenec
Twitter: @BravenecPetr
+420 777 566 384
petr.bravenec@hobrasoft.cz

Včera večer jsem objevil na rootu informaci o nově objevené bezpečnostní chybě:
Chyba v bashi umožňuje vzdálené spuštění kódu

Z první zprávy jsem usoudil, že chyba je pouze drobná kuriozita, která se na serverech našich zákazníků nemá šanci projevit, takže jsem její aktualizaci odložil na pravidelný update serverů. Ráno, než jsem odjel za zákazníkem, jsem objevil další diskusi k chybě:
Bezpečnostní problém v Bashi.
To už mě zaujalo, takže jsem si napsal do plánu aktualizovat co nejdříve.

Chyba je snadno zneužitelná, pokud útočník může dodat interpreteru bash vlastní řetězec. Normálně se k bashi dostane uživatel na povelové řádce, ale mnoho různých programů v operačním systému Linux je vytvořených jako skripty pro bash. Pro spuštění takového skriptu uživatel opět potřebuje přístup na povelovou řádku. Ale k shellu se lze dostat i jinak - například přes cgi skripty webového serveru.

Problém se mnou konzultoval kolega Tomáš Hofman, a i když jsme se shodli na tom, že na stránkách, které jsme kdy pro naše zákazníky vyráběli, ani na stránkách, které hostujeme na svých serverech, se cgi skripty nikde nepoužívají, natož aby se interpretovaly shellem bash. Všechny webové stránky jsou tvořené v PHP nebo v C++ (specializované aplikace). Každopádně jsme ještě dopoledne 25. 9. 2014 aktualizovali všechny servery v naší správě.

Podle různých ohlasů jde o průšvih svým dosahem možná ještě větší, než chyba Heartbleed v knihovně SSL. Nestává se často, aby o konkrétní počítačové chybě psaly přední česká média:
Novinky.cz: Stovky miliónů počítačů jsou kvůli chybě v ohrožení
iDNES.cz: V Linuxu a OS X našli extrémně nebezpečnou chybu. Je 20 let stará

Hobrasoft s.r.o. | Kontakt