TechSemut Malaysia

Kelemahan GNU Bash

Kelemahan GNU Bash

Kelemahan GNU Bash
Oktober 01
15:49 2014

shellshockRabu lepas kita telah dikejutkan dengan penemuan vulnerability kepada GNU Bash shell yang melibatkan sistem pengoperasian berasaskan Unix (termasuklah BSD, OS X) dan Linux – Shellshock.  GNU Bash shell yang begitu popular digunakan ini boleh dikatakan terdapat pada lebih 90% dari sistem pengoperasian jenis ini.  Tak kira la guna distro apa. Redhat, CentOS, Debian, Ubuntu dan lain-lain turut terlibat dengan masalah ini.

Shellshock Vulnerability

Kelemahan shellshock ini amat berbahaya di mana sebarang arahan atau kod aturcara boleh dijalankan oleh sistem pengoperasian secara remote.  Ini termasuklah:

  • Penggunaan Apache Web Server yang menggunakan CGI script (melalui mod_cgi dan mod_cgid) yang menggunakan Bash
  • Beberapa jenis DHCP client
  • OpenSSH server yang menggunakan “ForceCommand”
  • Pelbagai network-related service yang menggunakan Bash

Macamana nak check vulnerability ni?

Copy+paste kod kat bawah ni dan run dalam Bash shell UNIX/Linux:

env 'VAR=() { :;}; echo Bash is vulnerable!' 'FUNCTION()=() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

Kalau output dia keluar macam kat bawah ni, sure VULNERABLE:

Bash is vulnerable!
Bash Test

Kalau tak vulnerable dia keluar output macam ni je:

Bash Test

Macam mana output yang keluar pun.. sila pastikan anda kemas kini sistem anda!

OK ni satu lagi script untuk test vulnerability yang sama:

 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Vulnerable kalau output dia:

vulnerable
this is a test

Kalau tak vulnerable dia punya output:

 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test

Macamana nak test website remotely?

Gunakan URL ni: http://shellshock.brandonpotter.com/

Use at your own risk.  Perhatian: Jangan test kat website orang lain!

Sila patch BASH anda sekarang!

Ok, untuk mengatasi vulnerability ini,  sila install the latest patch bash shell ni.  Berikut adalah arahan-arahan untuk mengemas kini versi bash ini:

Ubuntu / Debian

Arahan update bash:

sudo apt-get update && sudo apt-get install --only-upgrade bash

Bagi versi yang telah end-of-life, sila update versi sistem anda.  Pastikan anda test dulu di backup machine lain untuk mengelakkan sebarang masalah pada production server:

sudo do-release-upgrade

RedHat / CentOS / Fedora

Arahan update bash:

sudo yum update bash

Upgrade sistem end-of-life:

sudo yum update

Sistem Operasi Lain

Semak dokumentasi atau gunakan sahaja GUI yang ada  Sila pastikan sistem pengoperasian anda bebas dari kelemahan shellshock ini!

 

SUMBER : Nazri Ahmad

Kelemahan GNU Bash - overview

Summary: Artikel ini adalah di ambil dari tejemahan en nazri ahmad dengan izin

Share

About Author

hasnan

hasnan

Diploma dalam Sains Komputer (IT) dari UTM
Ijazah Sarjana Muda Sains Komputer (IT) dari UKM

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

Your email address will not be published.
Required fields are marked *

*

Facebook Auto Publish Powered By : XYZScripts.com