Chapeau rouge récemment a annoncé un bug majeur lié à la sécurité dans le shell Bash. Certains l'appellent le bug "shellshock". OS X étant basé sur Unix, est-il vulnérable aux attaques qui exploitent ce bogue?
En tant qu'utilisateur final, dois-je m'inquiéter d'une solution immédiate? Ou est-il préférable pour moi d'attendre une mise à jour logicielle officielle d'Apple?
Réponses:
Oui, vous l'êtes techniquement vulnérable. Donc, si vous avez envie de paniquer ou de facturer quelques heures de travail paniqué à un client paniqué, foncez!
Mais la réalité est que si vous n'autorisez pas l'accès SSH à partir de connexions distantes ou d'un serveur Web exécutant des scripts côté serveur, vous ne courez aucun risque. Vous n'êtes vraiment vulnérable que si quelqu'un que vous ne connaissez pas peut accéder à distance à votre machine. faites-le d'une manière où une commande Bash peut être exécutée.
Cela veut dire que votre Mac de bureau - qui n’exécute aucune application serveur - n’expose aucun risque sérieux. Je suis prêt à manger une "tarte humble" proverbiale ici, mais je ne pense pas que la majorité des utilisateurs de Mac seront exposés à un risque à la fin de la journée.
Ce problème concerne donc principalement les administrateurs système sous Mac OS X & amp; Les serveurs Unix / Linux exposés au monde, pas les utilisateurs de bureau qui n'activent pas le partage SSH.
Il existe peut-être un risque marginal qu'un logiciel malveillant ou un virus Mac soit créé pour exploiter ce risque, mais j'en doute.
MODIFIER: Et juste pour expliquer en quoi ce problème est - à mon humble avis - pas vraiment un problème pour la plupart des utilisateurs moyens, oui je peux exécuter la commande suivante depuis
bash
sur Mac OS X 10.9.5:Et je vois ceci:
Devine quoi? Ce n’est terrifiant que si vous n’y réfléchissez pas de manière rationnelle. Je devais déjà être connecté à mon Mac pour même ouvrir le terminal. Et pour nier ce que j'ai dit à propos de SSH ci-dessus, et même pour arriver au point où je peux exécuter ce test même si SSH est activé, je dois toujours être connecté pour commencer. Et ensuite, disons que j’ai l’accès via SSH, la commande ne me permet pas de faire AUCUNE chose au-delà de mes droits d’utilisateur normaux, tels que:
Cela signifie que si vous êtes vraiment vulnérable à être exploité par ce piratage, votre sécurité principale sur le système devra être tellement compromise que le fait que
bash
a une faille est vraiment le moindre de vos problèmes.Ceci est une préoccupation d'un contrôle global & amp; question de droits comme le potentiel permettre un accès involontaire, car le comportement dépasse les normes attendues. Mais à mon humble avis, ce n’est pas un risque équivalent à OpenSSL ou à la variante jardinage «laissez-moi laisser mon mot de passe sur une note collée à l’écran», de risques.
À la fin de la journée, je suis toujours en train de patcher tous mes serveurs Linux / Unix que je lance en tant que procédure standard. Et je mettrai volontiers à jour les Mac que je gère une fois le correctif publié. Mais pour une utilisation quotidienne pratique, je me sens bien de ne pas m'inquiéter de cela, car je ne comprends pas comment une faille qui ne permet pas des privilèges d'utilisateur élevés ajoute à rien.
METTRE À JOUR: Mot officiel d'Apple posté ici ; mon accentuation:
Traduction: Ce que j’ai dit plus haut à propos du fait qu’il s’agit d’un problème lié au serveur pas un problème de client? Exactement.
UNE MISE À JOUR FINALE: Pour ceux qui ont du mal à compiler leurs sources, le 29 septembre, Apple a officiellement publié les correctifs pour Mac OS X 10.9.5, 10.8.5 et 10.7.5:
ENCORE UNE AUTRE MISE À JOUR FINALE: Et maintenant, Apple vient de publier une mise à jour de sécurité combinée qui comprend le
bash
mettre à jour aussi bien !la source
bash
. Donc, la peur est basée sur quoi exactement? De même, même si le compte invité est ouvert, & amp; en quelque sortebash
est utilisable, alors quoi? D'après ce que je vois, je suppose que l'utilisation de cet exploit n'aurait pas de privilèges élevés, ni rien de ce genre. Sérieusement, je suis prêt à reculer de ma position, mais cela ressemble plus à une panique basée sur pas beaucoup alors qu'OpenSSL était un réel problème.Oui!
Tapez ceci dans votre shell
Si ça dit
vulnerable
alors vous êtes vulnérable.Si ça dit
alors tu es bon.
Modifier: lien vers le correctif
la source
env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
- Même après avoir corrigé mon système, celui-ci crache un 'éclaté' sur la ligne de commande. Bah.En tant que utilisateur final , regarde ça:
votre compte invité est désactivé:
votre
ssh
l'accès est désactivé:Par défaut, ils sont tous deux désactivés sur Mavericks.
En tant que utilisateur final , il est plus sûr d'attendre qu'une mise à jour de sécurité officielle d'Apple corrige ce problème
bash
vulnérabilité.la source
Toutes les machines Mac OS X sont techniquement vulnérables à «Shellshock» jusqu'à ce que Apple publie une mise à jour de sécurité qui corrige bêta, mais ..
Votre question devrait être: Puis-je être piraté à distance?
Il y a tellement de logiciels qui utilisent
bash
distraitement que répondre à cette question est extrêmement difficile. Si vous êtes inquiet, je suggérerais plusieurs changements dansSystem Preferences
pour prévenir les exploits distants:Si vous êtes particulièrement inquiet, appuyez sur le bouton
Firewall
bouton options pour:Automatically allow signed software to receive incoming connections
.Block all incoming connections
.Il y a toujours une chance respectable que vous soyez vulnérable à une attaque de niveau utilisant DHCP, Bonjour, etc., mais bon, si vous avez besoin d'un autre service, vous pouvez évidemment le laisser fonctionner pendant que vous espérez qu'il ne sera pas exploité. Et vous devrez également laisser le pare-feu plus ouvert. Tout ira bien si votre machine vit derrière un autre pare-feu.
De plus, existe-t-il des attaques d'élévation des privilèges locales activées par «Shellshock?» Oui, presque sûrement. Je ne m'inquiéterais cependant pas car Mac OS X a suffisamment d'attaques similaires. Apple ne corrige pas rapidement les bogues d’escalade de privilèges locaux. Et Apple les crée fréquemment avec des services compatibles avec Apple Script. Supposons simplement que toutes les machines Mac OS X sont toujours vulnérables aux attaques locales. Si vous avez besoin d'assister à des conférences de hackers comme DEFCON, achetez-vous une machine Linux à cet effet.
Mettre à jour: Il y a des instructions pour recompiler votre propre bash fixe et une autre question couverte le faisant aussi. Je vais le faire moi-même, mais à mon humble avis, c'est exagéré si vous n'exécutez aucun serveur et laissez le pare-feu d'Apple activé de toute façon.
Mettre à jour: Si vous êtes à l'aise avec l'utilisation du terminal, il existe un programme appelé
execsnoop
mentionné ici cela vous permettra de vérifier si bash est généralement appelé par vos processus de serveur. Ce n'est pas une solution miracle, car le processus serveur peut appeler bash uniquement dans des situations inhabituelles, mais cela vous en donnera une bonne idée.Enfin, Apple ne maîtrise pas très bien les vulnérabilités de sécurité, mais elles sont bonnes en relations publiques. Elles seront donc corrigées assez rapidement. Il est donc raisonnable de penser "Je n'ai pas besoin de courir plus vite que l'ours, je n'ai besoin que de courir plus vite que le grand nombre de serveurs facilement exploitables sur Internet". :)
la source
strings /usr/libexec/bootpd | egrep '/bin|bash'
etnm -a /usr/libexec/bootpd | egrep 'fork|exec'
. En lisant ces commandes sur différentes versions de MacOS X, vous pouvez revoir votre analyse de risque en raison de:dhcpd
sur MacOS X… mais celui-ci seul :(.J'ai fait cet outil dès que j'ai entendu parler de cette vulnérabilité. Il vous fournira un lien vers un article pour corriger votre shell si l'outil détermine que vous êtes vulnérable.
Nécessite Mac OS X 10.6 et plus.
la source