By: tekkasit 
on 25 September 2014 - 09:42
Tags:
Topics:
พบบั๊กร้ายแรงในคำสั่งแบช (bash) ซึ่งเป็นเชลล์พื้นฐานที่อยู่ใน UNIX ทุกรุ่นยันรุ่นล่าสุด 4.3 ทำให้แฮกเกอร์สามารถรันคำสั่งอะไรก็ได้ภายใต้สิทธิ์ที่รันคำสั่ง bash ซึ่งทำให้เว็บไซต์ที่มีการคอนฟิค CGI ไว้เช่น mod_cgi ตกอยู่ในความเสี่ยงทั้งหมด รวมไปถึงบรรดาอุปกรณ์ฝังตัวที่มีหน้าจอบริหารจัดการเป็นเว็บต่างก็โดนหางเลขไปด้วย (แพเพียบแน่ๆ)
ผู้เชี่ยวชาญประเมินว่าระดับความรุนแรงของบั๊กตัวนี้ไม่น่าจะน้อยกว่า Heartbleed ที่เจอกันไปเมื่อเมษายนที่ผ่านมา เพราะบั๊กตัวนี้สามารถรันคำสั่งบนเครื่องเป้าหมายได้เลย และสามารถทดลองได้ง่ายพอๆ กับ SQL injection โดยไม่ต้องล็อกอินเข้าระบบก่อนด้วยซ้ำ
สำหรับผู้ดูแลระบบที่มีการเปิด CGI แนะนำให้ลองหาแพตช์มาอัพเกรด bash โดยด่วน
ความน่ากลัวของบั๊กตัวนี้คือ บั๊กตัวนี้มีอยู่มาตั้งแต่เริ่ม บั๊กตัวนี้มีความเสี่ยงที่ทำให้แฮกเกอร์สามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ และมีอุปกรณ์จำนวนมากที่วางจำหน่ายในตลาดและหมดการสนับสนุนไปนานแล้ว ไล่ตั้งแต่ คอมพิวเตอร์แม่ข่าย, อุปกรณ์เน็ตเวิร์ก, กล้องวงจรปิด, อุปกรณ์เฉพาะทางอย่างในโรงงาน ฯลฯ
ที่มา: CNN, Akamai, The Register, Reuters, SecList.Org
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ก็ในข่าวระบุไว้ว่าเป็น UNIX ไงครับ
แค่น่าจะเขียนไว้ให้ชัดเจนนะครับว่าผลกระทบมันวงกว้าง หลายคนอาจคิดว่าพวกอุปกรณ์เชื่อมต่ออินเทอร์เน็ตได้อย่างหลอดไฟคงไม่โดน เป็นต้น
อีกอย่าง ที่มาก็ไม่พูดถึง UNIX ก่อน 4.3 ด้วยซ้ำ
ลินุกซ์และ unix จำนวนมากไม่มี bash ครับ ผลกระทบกว้างแต่สร้างความกังวลต้องไม่เกินความจำเป็น
lewcpe.com, @wasonliw
ขอบคุณครับที่ชี้แนะ :)
โทษนะครับพี่ @lew *nix ส่วนใหญ่ใช้ bash เป็น shell หลักไม่ใช่เหรอครับ ผมคิดว่ามันน่าจะมีผลกระทบกว้างนะครับในระบบปฎิบัคิการกลุ่ม *nix
ผมไม่ได้ปฎิเสธว่าผลกระทบมันไม่กว้างครับ แต่มันจำกัดอยู่ที่ bash เท่านั้นก็ไม่ระบุปัญหาไปเท่านั้น การรายงานต้องรายงานอย่างตรงความเป็นจริง
*nix ตัวอื่น อย่างเช่น FreeBSD ใช้ tcsh เป็นตัวเริ่มต้น, หรือ HP-UX ใช้ zsh, AIX ผมไม่แน่ใจแต่เท่าที่เจอก็ไม่ใช่่ bash ครับ
ในแง่ของจำนวนเครื่องผมยังสงสัย เพราะอุปกรณ์ขนาดเล็กที่มีผลต่อคนทั่วไปมากๆ มักเป็นลินุกซ์ที่ใช้ busybox ซึ่งเป็น ash ก็ไม่ใช่ bash
lewcpe.com, @wasonliw
AIX ใช้ KSH เป็น default shell ครับ
แต่ลูกค้าบางคนก็ลง BASH เองเหมือนกันครับ
รู้สึกว่า 4.3 ก็ไม่รอดนะครับ?
ใน ลิงค์ที่สาม ตรงกลางหน้าตัวหนา
"GNU Bash through 4.3 ............."
จริงแฮะ
เห็นแก้แล้ว มีนิดนึง
ขอบคุณครับ
ผมอธิบายผลกระทบดีกว่า ว่าอุปกรณ์กลุ่มไหนที่เสี่ยงต่ออันตรายและความเสียหายที่จะเกิดขึ้นบ้าง
รบกวนถามหน่อยครับ พวก OS X กระทบด้วยมั้ยครับ
Mac OS และ OS X มัน UNIX based ครับ
แปลว่า ใน OS X ไม่กระทบใช่มั้ยครับ
รบกวนอ่านย่อหน้าแรกครับ
ขอบคุณสำหรับข้อมูลของคุณ inkirby เท่าที่เปลี่ยบเทียบแล้ว ในความคิดผม สรุปว่า[โดนผลกระทบ]ครับ
GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13) จะได้ว่า คือเวอร์ชั่น 3.2.51(1) จากข่าว [พบบั๊กร้ายแรงในคำสั่งแบช (bash) ซึ่งเป็นเชลล์พื้นฐานที่อยู่ใน UNIX ทุกรุ่นยันรุ่นล่าสุด 4.3]
ส่วนคุณ tekkasit ช่วยเปลี่ยนทัศนคติในการตอบคำถามหน่อยครับ ใช่ว่าทุกคนจะรู้ command line แล้วก็ใช่ว่าทุกคนจะรู้ว่า ดูเวอร์ชั่น bash ใน OS X ตรงใหน ยังไง เหมือนคุณถามพวกผู้เชียวชาญแล้วเขาตอนกลับมาแบบไม่ตรงคำตอบแต่ต้องเอาคำตอบนั้นไปเปรียบเทียบหาคำตอบที่ต้องการอีกต่อ ต้องใช้ความรู้ด้านนั้นอยู่นะครับ ถ้าอย่างงั้นคุณตอบตรงๆเถอะว่า กระทบหรือไม่กระทบก็จบแล้ว แล้วถ้ามีคนถามต่อว่ายังไงก็ให้ท่านที่เชียวชาญการอธิบายเป็นภาษาคนธรรมดาช่วยต่อก็ได้ครับ เจอคำตอบคุณผมก็งงเหมือนกันว่าจะดูยังไงเช็คยังไง bash คืออะไร ฟร่ะ แบบนี้เลย
ขอบคุณครับ
โดยส่วนตัวผมคิดว่า คนแปลที่แปลข่าวไม่มีหน้าที่จะต้องช่วยเหลือซัพพอร์ตคนที่ใช้ผลิตภัณฑ์ที่มีปัญหาตามข่าวที่เค้าแปลครับ
ผมแค่มาชูประเด็นว่า เออ มีปัญหานะ ต้องไปดู แต่ก็เป็นหน้าที่ความรับผิดชอบของแต่ละเจ้าของระบบที่ต้องไปดูแลตัวเองครับ
หากคุณใช้ระบบปฎิบัติการอะไรอยู่ ถ้ารู้สึกว่ามีความเสี่ยง ก็ควรไปสอบถามกับเจ้าของผลิตภัณฑ์โดยตรงครับ ว่าเออ ผมได้ยินข่าวนี้มา ไม่ทราบว่าระบบปฏิบัติการรุ่นที่ผมใช้อยู่ มีผลกระทบไหม มีแพตช์รึยัง มี workaround รียัง ทำนองนี้น่าจะเหมาะสมและตรงความต้องการคุณมากกว่านะครับ
แล้วถ้ามีคนมาถาม Dabian, SUSE, Solaris ว่ามีความเสี่ยงไหม อันนี้ผมต้องตอบรึเปล่าครับ ?!?
โดยปกติถ้าเป็นคำถามที่ผม ตอบไม่เคลีย ผมก็ไม่ตอบนะ รอท่านอื่นมาตอบอ่ะครับ ถ้าเป็นผมตอบท่านที่ถามว่า "รบกวนถามหน่อยครับ พวก OS X กระทบด้วยมั้ยครับ" ก็น่าจะตอบแบบรักษาน้ำใจกันหน่อยคือ "OS X ถ้าเป็น Mavericks จะใช้ bash version 3.2.51 ครับ" แค่นี้แหละครับ เหมือนแปลงสมการหรือข้อมูลให้อยู่กลุ่มเดียวกันก่อนก็ดีนะครับ อย่างผมเคยตอบคำถามแนวนี้แบบ เห็นหน้านะ ถ้าผมเงียบก็โดนหาว่าหยิ่ง ถ้าผมตอบแบบให้ไปหาเองก็โดน หาว่าไม่ช่วย(โดนเกลียดอีก) จะรู้ก็ตอนที่มีคนที่คุยกับคนนั้นมาพูดให้เราฟังอีกต่อ เพราะคนที่เราไปทำกับเขาเขาไม่มาบอกเราตรงๆหรอก แต่ผมก็บอกเท่าที่มีในขอบเขตนะ ถ้าถามรายละเอียดว่า bash คืออะไร ใช้ทำอะไร อันนั้นผมก็ให้ไปหาเองเหมือนกัน เพราะผมถือว่ามันเป็นพื้นฐานถ้าอยากรู้นะ
อย่าประชดผมเลยครับ แค่อยากให้ถ้าจะตอบคำถามผู้ร้องขอมาก็ตอบอย่างเต็มใจไปเลย ถ้าไม่อยากอธิบายมากก็รอท่านอื่นมาตอบแทนก็ได้
ด้วยความเคารพ
ถ้าคุณไม่รู้ เป็น end user ข่าวนี้ไม่ใช่ข่าวทีคุณต้องกังวลครับ user ระดับที่ "ไม่รู้ command line" ตระหนักว่าเปิดระบบอัพเดตไว้ อัพเดตตามรอบก็พอ
lewcpe.com, @wasonliw
ผมขอแก้ความเข้าใจผิดของคุณหน่อยนะครับ
Blognone ไม่ใช่ "เว็บไอทีสำหรับคนธรรมดา" มาตั้งแต่ต้นแล้วนะครับ เราคาดหวังว่าผู้อ่านของเราต้องมีพื้นความรู้ในระดับหนึ่ง (หรือไม่ก็มีความสามารถในการค้นหาข้อมูลเพิ่มเติมเอง) แต่เราก็ไม่ได้ปิดกั้นอะไร ถ้าหากจะมีคนอยากเข้ามาอ่านเข้ามาแสดงความเห็นครับ
ขอบคุณมากครับ
โอเค ถ้าประกาศิตบอกแบบนั้น ก็ตามนั้นครับ (มากัน 3 คนเลย) แต่ผมก็ชอบคำตอบของ คุณ inkirby อยู่ดี เป็นมิตรกับผู้ถามมากกว่าเยอะ ไม่หลงทางด้วยครับ
ขอบคุณครับ
+1 เห็นด้วยครับ
and
bash command on Mavericks:
Dream high, work hard.
ขอบคุณครับ ชัดเจนเลย
CGI ที่ใช้ Bash โดนครับ
แต่ CGI ที่ใช้อื่นๆอย่าง Perl ไม่น่าจะโดนครับ (เพิ่งลองพยายาม exploit ที่ VM ตัวเองเมื่อกี๊)
/me รอดตาย
นี่มันร้ายแรงยิ่งกว่า Heartbleed อีกนะครับ..
คนละระดับเลยครับ ทั้งแพร่หลายกว่า สร้างความเสียหายได้มากกว่า อย่าง Heartbleed เหมือนแอบดูจากรูกุญแจประตูหน้า Bash นี่เสมือนเดินเข้าประตูหน้าเข้าห้องนั่งเล่นแล้วเปิดพยายามประตูห้องเลยทีเดียว
ลองใน raspbian เป็นจริงๆ
^
^
that's just my two cents.
อาห์ บั๊กสะท้านโลกอีกแล้ว
zsh มีปัญหาไหมอะ
ควรปักหมุดไหม ดูท่า ร้ายแรงกว่า หัวใจรั่ว
FYI :
ช่องโหว่ CVE-2014-627 หรือ shellshock
อันนี้แค่ bash อย่างเดียว แปลว่า *nix รุ่นเก่าๆ ที่มีแต่ sh ก็ไม่กระทบสินะ
รู้สึกตระกูล BSD จะไม่กระทบนะครับอ้างจากหลายๆ แหล่งข่าว
มี่หลายตัวที่ไม่ได้ใช้ bash เป็น default แต่ลงได้ อย่าง HP-UX ก็ใช้ zsh
แต่ BSD เองก็น่าจะลง bash ได้นะ
lewcpe.com, @wasonliw
คำสั่งทดสอบครับ
$>env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
เท่าที่ upgrade เมื่อ 25/09/14 23:00
CentOS 7.0 : แก้ไขแล้ว
CentOS 6.5 : แก้ไขแล้ว
Ubuntu-server 12.04 LTS : แก้ไขแล้ว
Raspbian : ยังไม่แก้ไข
โดยทุก os จะขึ้นข้อความแบบนี้ครับ
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
ระดับความน่ากลัวบักนี้ 6/10
ระดับความแพร่หลายของบักนี 9.9/10
เหตุผลที่ไม่น่ากลัว : ตราบใดที่ bash ยังไม่ถูกรันโดย process ที่มี privileges (เช่น sudo หรือ app ที่ใช้ setuid root) ก็คงทำอะไรเครื่องไม่ได้ นอกจากทำได้เหมือนบักใน webapp ทั่ว ๆ ไปที่ไปวางไฟล์หรือรันคำสั่งยิงชาวบ้านเค้าได้ เหมือนที่เราเจอ ๆ กันตลอด (ยิ่งพวกบ้าปิด SELinux/AppArmor) ถ้า php ไม่ได้ปิด shell execute (Wordpress,Joomla,Drupal โดนกันมาหมดละ ธรรมดาม๊ากกก)
เหตุผลที่น่ากลัว : 99% ของเครื่อง unix/linux มี bash - -?
คือเป็น bug ของ bash แต่กระทบเฉพาะ GCI ใช่ไหมครับ
ประเด็นคือ unix/linux มี bash และใครก็ได้สามารถรันคำสั่งอะไรก็ได้ภายใต้สิทธิ์ที่รันคำสั่ง bash ก็เป็นสิ่งที่ถูกต้องแล้วนี่นา (ในกรณีรัน bash บนเครื่องตัวเอง)
ถ้ามันยึดได้บัญชีหนึ่ง ถึงแม้สิทธิ์จะน้อย มันก็เอาเป็นฐานไปเจาะต่อให้ได้รูทครับ
patch ของ bash รหัส CVE-2014-6271 "bash 4.2-2ubuntu2.2" ของ Ubuntu ออกแล้วนะครับ
https://launchpad.net/ubuntu/+source/bash/4.2-2ubuntu2.2
Patch ของ CVE-2014-6271 สำหรับ Red Hat Enterprise Linux ออกแล้ว ส่วนอง CentOS ก็น่าจะรหัสคล้ายๆ กัน
https://rhn.redhat.com/errata/RHSA-2014-1293.html
Android นี่ผมไม่แน่ใจว่าโดนไหม แต่ลองกับ Nexus7 ไม่มี bash เป็น sh ครับ
ใน Android หากใช้รอม CyanogenMod 11 จะมีอัพเดทแพทช์แก้บั๊กร้ายแรงตัวนี้แล้วครับ โดยหากอัพเดทแบบ Nightly อยู่แล้วจะมีแพทช์ให้อัพเดทได้ทันที (แพทช์ของวันที่ 25-26 นะครับ แล้วแต่บางอุปกรณ์)
ส่วนผู้ที่ใช้แบบ Milestone ซึ่งเป็นรุ่นเสถียรที่ออกรายเดือนนั้น คงต้องรอ CM11 M11 ครับ
หากใช้รอมจากค่ายอื่นหรือจากผู้ผลิตมือถือ/แท็บเล็ตโดยตรง ต้องรอการอัพเดทจากทางนั้นอีกทีครับ
แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที
ถ้าไม่รอ update จาก apple มีวิธี update bash เป็น 3.2.52 จากที่นี่ every-mac-is-vulnerable-shellshock-bash-exploit-heres-patch-os-x-0157606
หรือหากใช้ homebrew, macports เค้ามีตัว update แล้ว เรียก upgrade bash หลังจาก update ได้เลย
:daho:
โยชิมิจัง ก็โดนนนนนน ขึ้นมาเลยยยย
security leak ของ bash นั้น มี 2 รหัสคือ CVE-2014-6271 และ CVE-2014-7169 ซึ่งที่แก้ไขกันไปแล้ว คือ CVE-2014-6271 ส่วน CVE-2014-7169 น่าจะได้อัพเดทวันนี้
Ubuntu ออก patch ของ bash แก้ไข CVE-2014-7169 ตั้งแต่ รุ่น Ubuntu 14.04 LTS ลงมา ส่วน Ubuntu 14.10 ยัง pending อยู่ http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html
ส่วน distro อื่นๆ ลองเช็คๆ กันดูครับ
debian wheezy patch แล้ว
raspbian ยัง
^
^
that's just my two cents.
คำแนะนำ ... อย่าเปิดบ่อยครับ 555
ขอบคุณครับ