Hadyai Internet R&D LAB

ผลงานของ Hadyai Internet R&D LAB => คุยกับทีมวิจัย => ข้อความที่เริ่มโดย: admin ที่ 28 กันยายน 2014, 05:47:27

หัวข้อ: แจ้งเรื่องอัพเดทสคริป แก้ bash bug
เริ่มหัวข้อโดย: admin ที่ 28 กันยายน 2014, 05:47:27

วันนี้ตัวแทน (คุณกอล์ฟ) ได้แจ้งเข้ามาเรื่องการค้นพบ bug บน bash shell เมื่อวันที่ 24 กันยายน ที่ผ่านมา

รายละเอียด อ้างอิงตาม link นี้นะครับ

https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-shellshock-bash-vulnerability

สำหรับ SmartCafe Z ของเราก็อยู่ในกลุ่มเสี่ยงเหมือนกัน ดังนั้นเพื่อความปลอดภัย ทาง admin เลยได้ออกอัพเดท

เพื่อป้องกัน bug ดังกล่าว โดยสามารถอัพเดทสคริป และก็ทดสอบดังนี้

ทดสอบใส่คำสั่ง

env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

ใน Command Shell บน Webmin ถ้าได้ผลลัพธ์เป็น

(http://www.hadyaiinternet.com/images/bugbash1.jpg)

ให้ทำการอัพเดทสคริปให้เป็นล่าสุด แล้วทดสอบใหม่อีกครั้ง

ถ้าผลทดสอบได้เป็น

(http://www.hadyaiinternet.com/images/bugbash2.jpg)

แสดงว่าปลอดภัยแล้วครับ

ช่วงนี้ สคริปมีอัพเดทบ่อย สามารถตั้งให้อัพเดทอัตโนมัติได้ โดยใส่  UPDATE_AUTO=yes เพิ่มใน config.ini

UPDATE_USER=Z140401abcdep
UPDATE_PASS=fastspeed
UPDATE_AUTO=yes

แล้วก็ทำการ makeconfig

ต่อไปสคริปก็จะอัพเดทเองโดยอัตโนมัติ

หัวข้อ: Re: แจ้งเรื่องอัพเดทสคริป แก้ bash bug
เริ่มหัวข้อโดย: HeroKung ที่ 28 กันยายน 2014, 06:18:57

กด update script ล่าสุดแล้วครับ แล้วลองทดสอบดู

ขึ้น > env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
Bash Test

ปลอดภัยแล้วครับ ขอบคุณมากครับ

หัวข้อ: Re: แจ้งเรื่องอัพเดทสคริป แก้ bash bug
เริ่มหัวข้อโดย: admin ที่ 28 กันยายน 2014, 20:22:28

เวป ThaiCERT ก็ออกประกาศมาล่ะ

https://thaicert.or.th/alerts/admin/2014/al2014ad005.html

อย่าลืมอัพเดทสคริปกันนะครับ

หัวข้อ: Re: แจ้งเรื่องอัพเดทสคริป แก้ bash bug
เริ่มหัวข้อโดย: patongko01 ที่ 28 กันยายน 2014, 23:30:22

ver เก่าๆโดนไหมครับ พอดีมี 2010 อีกร้าน Z อัพเสร็จละครับ

หัวข้อ: Re: แจ้งเรื่องอัพเดทสคริป แก้ bash bug
เริ่มหัวข้อโดย: admin ที่ 29 กันยายน 2014, 01:09:10

จริงๆก็โดนหมดนะ  Ubuntu CentOS RedHat Debian แม้แต่ OS X ก็บั๊กเหมือนกัน

ลองทดสอบ ตามที่แจ้งไว้ดูครับ

หัวข้อ: Re: แจ้งเรื่องอัพเดทสคริป แก้ bash bug
เริ่มหัวข้อโดย: patongko01 ที่ 29 กันยายน 2014, 02:26:17

อ้างจาก: admin ที่ 29 กันยายน 2014, 01:09:10

จริงๆก็โดนหมดนะ  Ubuntu CentOS RedHat Debian แม้แต่ OS X ก็บั๊กเหมือนกัน

ลองทดสอบถามที่แจ้งไว้ดูครับ

โดนเต็มๆ

หัวข้อ: Re: แจ้งเรื่องอัพเดทสคริป แก้ bash bug
เริ่มหัวข้อโดย: admin ที่ 29 กันยายน 2014, 03:31:32

นอกจาก bug ของ bash shell แล้ว จะต้องมี cgi ที่รัน bash shell ด้วย ถึงจะสามารถโจมตีผ่าน bug นี้ได้

แต่ตัว SmartCafe ไม่มี cgi ที่เป็น bash shell ดังนั้นก็สบายใจได้ครับ  แต่เพื่อความไม่ประมาท ทาง admin

ก็ได้ออกอัพเดท เพื่ออุดรูรั่วตรงนี้ไว้ให้เรียบร้อยแล้ว

หัวข้อ: Re: แจ้งเรื่องอัพเดทสคริป แก้ bash bug
เริ่มหัวข้อโดย: ★2@nswεr^^★™` ที่ 29 กันยายน 2014, 05:12:47

บัค shellshock นี้ใหญ่ๆจริงครับ แหะๆ  ::)