Недавний Heartbleed nas4free не затронул, а вот свежачок - вполне.
1. Сообщение на Securitylab, для тех, кто предпочитает источники. Там же патч для Debian
2. Один из многих онлайн тестов сайтов на уязвимость
3. Понятным языком про суть проблемы
Свежачок, он весьма относительный - от роду более 20 лет, просто недавно стал общеизвестным. Уязвима одна из самых популярных командных оболочек UNIX/Linux - bash. Потенциально уязвимые системы - не только серверы, но любые *nix устройства, имеющие сетевую функциональность - принтеры, роутеры, точки доступа. Даже планшеты со смартфонами. Но наматывание соплей на кулак оставим на другой раз, а пока что делаем дома.
Начать проверки вашего роутера. В командной строке исполнить следующее
Уязвимая система выдаст
Защищённая патчем
Есть ещё неплохой для встраиваемой системы вариант, когда bash просто нет.
Пример реакции моего текущего роутера. Что не снимает пожелания отключить к нему доступ извне (WAN), вплоть до отказа от ответа на пинги.
UPD Что делать в уязвимом случае? Честно сказать, не знаю. Я бы отключил любой доступ извне, запретил пинги из WAN, посмотрел логи на предмет не залезли ли уже. Затем перезагрузил роутер и полез бы курить форум по нему /UPD
UPD2 Посмотрел про свой второй роутер, который пока выключен (ASUS RT-N56U с прошивкой padavan). Там без проблемы по той же причине. У нас bash не используется, шелл ash из busybox. /UPD2
Ну а теперь идём в ssh и смотрим, что про себя думает nas4free
Уязвимо, те пускать на NAS снаружи - просить неприятностей на 5 точку.
Для любопытства я потыкал Дюну - тоже уязвима. Но там защищённостью и не пахло.
Ну, дома разобрались - выходим на улицу. Пишут, что в принципе, поиметь проблемы можно просто подключившись к заражённой WiFi сети. Запросили IP по DCHP - и вуаля... Есть и сомнения, что так вот всё сработает на смартфонах - но лучше пока поосторожнее с публичными WiFi сетями...
И, наконец, на себя посмотрев, можно близкие вам лично сайты потестить - см выше.
Меня часто спрашивают о безопасном доступе к NAS извне. Я традиционно отвечаю, что мне он не известен и раз за разом приходят грустные подтверждения.
1. Сообщение на Securitylab, для тех, кто предпочитает источники. Там же патч для Debian
2. Один из многих онлайн тестов сайтов на уязвимость
3. Понятным языком про суть проблемы
Начать проверки вашего роутера. В командной строке исполнить следующее
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Уязвимая система выдаст
vulnerable hello
Защищённая патчем
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' hello
Есть ещё неплохой для встраиваемой системы вариант, когда bash просто нет.
root@OpenWrt:~# export evil='() { :;}; echo vulnerable'; bash -c echo; -ash: bash: not found root@OpenWrt:~# env x='() { :;}; echo vulnerable' bash -c 'echo hello' env: can't execute 'bash': No such file or directory
Пример реакции моего текущего роутера. Что не снимает пожелания отключить к нему доступ извне (WAN), вплоть до отказа от ответа на пинги.
UPD Что делать в уязвимом случае? Честно сказать, не знаю. Я бы отключил любой доступ извне, запретил пинги из WAN, посмотрел логи на предмет не залезли ли уже. Затем перезагрузил роутер и полез бы курить форум по нему /UPD
UPD2 Посмотрел про свой второй роутер, который пока выключен (ASUS RT-N56U с прошивкой padavan). Там без проблемы по той же причине. У нас bash не используется, шелл ash из busybox. /UPD2
Ну а теперь идём в ssh и смотрим, что про себя думает nas4free
nas4free ~/ root~$ env x='() { :;}; echo vulnerable' bash -c 'echo hello' vulnerable vulnerable hello
Уязвимо, те пускать на NAS снаружи - просить неприятностей на 5 точку.
Для любопытства я потыкал Дюну - тоже уязвима. Но там защищённостью и не пахло.
Ну, дома разобрались - выходим на улицу. Пишут, что в принципе, поиметь проблемы можно просто подключившись к заражённой WiFi сети. Запросили IP по DCHP - и вуаля... Есть и сомнения, что так вот всё сработает на смартфонах - но лучше пока поосторожнее с публичными WiFi сетями...
И, наконец, на себя посмотрев, можно близкие вам лично сайты потестить - см выше.
Comments
Это касается только клиентов, которые используют bash. Т.е. допустим Windows телефоны и компьютеры не пострадают, а вот непатченые Linux машины и Android-ы легко. Насчет Apple - не скажу. Знаю, что bash в MacOS присутствует и тоже уязвим, причем есть даже подтвержденные возможности локального повышения привилегий, но вот используется ли bash в dhcp-клиенте неизвестно, так что следует соблюдать осторожность. Насчет IOS я не в курсе, может кто из продвинутых эпловодов отпишется.