Hadyai Internet R&D LAB
ผลงานของ Hadyai Internet R&D LAB => คุยกับทีมวิจัย => ข้อความที่เริ่มโดย: admin ที่ 28 กันยายน 2014, 05:47:27
-
วันนี้ตัวแทน (คุณกอล์ฟ) ได้แจ้งเข้ามาเรื่องการค้นพบ bug บน bash shell เมื่อวันที่ 24 กันยายน ที่ผ่านมา
รายละเอียด อ้างอิงตาม link นี้นะครับ
https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-shellshock-bash-vulnerability
สำหรับ SmartCafe Z ของเราก็อยู่ในกลุ่มเสี่ยงเหมือนกัน ดังนั้นเพื่อความปลอดภัย ทาง admin เลยได้ออกอัพเดท
เพื่อป้องกัน bug ดังกล่าว โดยสามารถอัพเดทสคริป และก็ทดสอบดังนี้
ทดสอบใส่คำสั่ง
env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
ใน Command Shell บน Webmin ถ้าได้ผลลัพธ์เป็น
(http://www.hadyaiinternet.com/images/bugbash1.jpg)
ให้ทำการอัพเดทสคริปให้เป็นล่าสุด แล้วทดสอบใหม่อีกครั้ง
ถ้าผลทดสอบได้เป็น
(http://www.hadyaiinternet.com/images/bugbash2.jpg)
แสดงว่าปลอดภัยแล้วครับ
ช่วงนี้ สคริปมีอัพเดทบ่อย สามารถตั้งให้อัพเดทอัตโนมัติได้ โดยใส่ UPDATE_AUTO=yes เพิ่มใน config.ini
UPDATE_USER=Z140401abcdep
UPDATE_PASS=fastspeed
UPDATE_AUTO=yes
แล้วก็ทำการ makeconfig
ต่อไปสคริปก็จะอัพเดทเองโดยอัตโนมัติ
-
กด update script ล่าสุดแล้วครับ แล้วลองทดสอบดู
ขึ้น > env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
Bash Test
ปลอดภัยแล้วครับ ขอบคุณมากครับ
-
เวป ThaiCERT ก็ออกประกาศมาล่ะ
https://thaicert.or.th/alerts/admin/2014/al2014ad005.html
อย่าลืมอัพเดทสคริปกันนะครับ
-
ver เก่าๆโดนไหมครับ พอดีมี 2010 อีกร้าน Z อัพเสร็จละครับ
-
จริงๆก็โดนหมดนะ Ubuntu CentOS RedHat Debian แม้แต่ OS X ก็บั๊กเหมือนกัน
ลองทดสอบ ตามที่แจ้งไว้ดูครับ
-
จริงๆก็โดนหมดนะ Ubuntu CentOS RedHat Debian แม้แต่ OS X ก็บั๊กเหมือนกัน
ลองทดสอบถามที่แจ้งไว้ดูครับ
โดนเต็มๆ
-
นอกจาก bug ของ bash shell แล้ว จะต้องมี cgi ที่รัน bash shell ด้วย ถึงจะสามารถโจมตีผ่าน bug นี้ได้
แต่ตัว SmartCafe ไม่มี cgi ที่เป็น bash shell ดังนั้นก็สบายใจได้ครับ แต่เพื่อความไม่ประมาท ทาง admin
ก็ได้ออกอัพเดท เพื่ออุดรูรั่วตรงนี้ไว้ให้เรียบร้อยแล้ว
-
บัค shellshock นี้ใหญ่ๆจริงครับ แหะๆ ::)