نمایش نتایج: از شماره 1 تا 1 , از مجموع 1

موضوع: حفره‌ی امنیتی Bash

  1. #1
    مدیر انجمن کامپیوتر
    انصاف - اعتدال - بردباری - احتیاط
    تاریخ عضویت
    Jun 2013
    نوشته ها
    224
    تشکر تشکر کرده 
    1,847
    تشکر تشکر شده 
    872
    تشکر شده در
    223 پست
    قدرت امتیاز دهی
    8157
    Array

    پیش فرض حفره‌ی امنیتی Bash

    یک تیم امنیتی در ردهت از یک باگ ظریف اما خطرناک پرده برداشته که در پوسته‌ی Bash که یک رابط خط فرمان است و بصورت گسترده در سیستم‌های خانواده‌ی یونیکس مورد استفاده قرار می‌گیرد جا خوش کرده.

    این نفوذپذیری که باگ Bash یا Shellshock نام گرفته اگر به شیوه‌ی درست مورد دسترسی قرار گیرد می‌تواند به کدهای حمله‌کننده به محض فعال شدن Bash اجازه‌ی اجرا دهد که راه را برای مجموعه‌ی گسترده‌ای از حملات باز خواهد کرد. بدتر از آن اینکه به نظر می‌رسد این باگ در نرم‌افزارهای سازمانی لینوکس و مک برای مدت زمانی طولانی وجود داشته که به موجب آن پچ کردن تمامی سیستم‌های آسیب‌پذیر به مساله‌ای دشوار تبدیل می‌شود.
    توزیع‌های ردهت و فدورا لینوکس هم‌اکنون وصله امنیتی مورد نیاز برای رفع این باگ را دریافت کرده‌اند و با بروزرسانی این سیستم‌ها می‌توان آسیب‌پذیری مربوطه را از میان برداشت. انتظار می‌رود به دلیل ماهیت متن‌باز بودن لینوکس و همچنین سازگاری توزیع‌ها با یکدیگر، سایر نسخه‌های لینوکس نیز سریعا نسبت به انتشار وصله‌ی امنیتی مربوطه اقدام کنند. همانطور که گفته شد این باگ کاربران سیستم‌عامل OS X را نیز تحت تاثیر قرار داده و با وجود اینکه اپل هنوز اظهار نظر یا اقدامی برای ارائه‌ی وصله‌ی امنیتی مورد نیاز نکرده، اما یک پست پرسش و پاسخ در Stack Exchange جزئیاتی در خصوص نحوه‌ی بررسی آسیب‌پذیری در سیستم‌عامل مک (احتمالا همین شیوه در لینوکس نیز کاربردی خواهد بود) و نیز اعمال وصله‌ی مورد نیاز در صورت تشخیص در بر دارد. اگرچه ابعاد این مساله هنوز چندان مشخص نیست و به نظر می‌رسد اعمال بروزرسانی مربوط به وصله‌ی این باگ چندان دشوار نیست و بعید به نظر می‌رسد برخلاف باگ «خونریزی قلبی»، سیستم‌های توکار چندان تحت تاثیر باشند، اما عده‌ای نظیر رابرت دیوید گراهام به مقایسه‌ی این دو پرداخته و باگ Bash را گسترده‌تر خوانده است.
    حفره‌ی Bash احتمالا مساله‌ای حادتر در مقایسه با حفره‌ی خونریزی قلبی خواهد بود.
    رابرت گراهام از Errata Security به مقایسه‌ی این باگ از نظر گستردگی و اثر بلند مدت احتمالی با حفره‌ی معروف خونریزی قلبی پرداخته است.
    درصد عظیمی از نرم‌افزارها به نحوی به تعامل با Shell می‌پردازند و ما هیچ‌گاه نخواهیم توانست کلیه‌ی نرم‌افزارهای موجود که از Bash بهره می‌گیرند را لیست کنیم.
    یکی از محققین امنیتی دانشگاه برکلی به نام نیکولاس ویور نیز گفته‌های گراهام را تایید کرده و این باگ را "ظریف، زشت و با اثرات بلندمدت" توصیف کرده است. همچنان باید منتظر جزئیات بیشتر در خصوص این حفره‌ی امنیتی، سطح اثر و گستردگی آن و پیامدهای احتمالی بمانیم. به محض دریافت اطلاعات بیشتر در این خصوص، شما همراهان زومیت را از جریان مطلع خواهیم کرد.

    بروزرسانی

    برای بررسی آسیب‌پذیر بودن سیستم در مقابل این باگ، دستور زیر را در خط فرمان (بش) سیستم اجرا کنید:

    env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
    env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"


    در صورتی که در خروجی، عبارت Shellshock را مشاهده کردید شما نیز در معرض آسیب قرار دارید. بنابراین اطمینان حاصل کنید که سریعا سیستم خود را بروزرسانی نمایید. اغلب توزیع‌های مطرح لینوکس نظیر اوبونتو، دبیان، و سیستم‌های بر پایه‌ی ردهت و فدورا نظیر CentOS هم‌اکنون وصله‌ی امنیتی مربوطه را از طریق بروزرسانی در دسترس قرار داده‌اند.
    It is a good viewpoint to see the world as a dream
    When you have somethings like a nightmare , you will wake up and tell yourself that it was only a dream
    It is said that the world we live in is not a bit different from this

    ----------------------------------------
    Tout est pardonné

  2. 5 کاربر مقابل از @ref عزیز به خاطر این پست مفید تشکر کرده اند.


علاقه مندی ها (بوک مارک ها)

علاقه مندی ها (بوک مارک ها)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست در پست خود ضمیمه کنید
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  

http://www.worldup.ir/