Qu’est-ce Shellshock, comment ça marche et pourquoi il importe où puis-je acheter Bitcoin

Parler de commandes Bash et les injections de code et les définitions de l’environnement variable fera beaucoup glacer les yeux sur Bitcoin app robinet. Et c’est une mauvaise chose, parce que Shellshock est grave aujourd’hui taux Bitcoin dans pakistan. Très sérieux.

Si nous extrayons Shellshock dans les termes les plus simples, il est une vulnérabilité dans Bash – logiciel système utilisé par des millions et des millions d’ordinateurs qui ouvre la possibilité qu’un attaquant pourrait exécuter des commandes arbitraires sur une machine exécutant.

Bash a été autour depuis les fin des années 1980 et est le shell par défaut pour OS X, Linux et certaines versions d’Unix où à acheter Bitcoin en Inde. Par défaut, les machines Windows et les serveurs Windows ne fonctionnent pas Bash, mais les versions de Bash sont souvent installés sur Windows. (Ce sera important plus tard.)

Bash est non seulement un interpréteur de commandes – il peut également être utilisé comme un analyseur syntaxique pour les scripts CGI – la façon dont de nombreux sites affichent du contenu dynamique.


Ceci est important car les scripts CGI sont souvent exécutés sur Apache, le type le plus commun de serveur web dans le monde.

Comme vous souvenez peut-être de heartbleed, environ 50% des serveurs web Apache exécuter, ce qui signifie qu’ils peuvent avoir une version de Bash sur eux Bitcoin nyc. Et c’est sans même prendre en compte tous les autres serveurs Web qui pourrait aussi avoir Bash installés dans le cadre de leur configuration.

L’une des fonctions essentielles de Bash est qu’il permet aux utilisateurs de définir des fonctions comme un moyen de passer du texte sur d’autres systèmes et processus Bitcoin indonésie kaskus. Habituellement, cela est très bien – et bon, il est pratique, c’est pourquoi il existe Bitcoin mac minière. Quel est le problème?

Autrement dit, si je suis en mesure de définir ce qui ressemble à une fonction normale avec ces caractères spéciaux, puis-je virer de bord sur quelques commandes shell à la fin de cette définition, Bash clôturera l’exécution de ces commandes.

Cela signifie un serveur vulnérable n’a même pas besoin d’avoir un utilisateur de type spécifiquement le code injecté dans la ligne de commande; quelqu’un peut concevoir un script qui utilisera la ligne de commande Bash pour être en mesure d’exécuter du code.

Comme Troy Hunt dit dans sa FAQ, le potentiel de "shell obtenir" sur une boîte est énorme ce qui est 1 vaut bitcoin. Obtenir l’accès à la ligne de commande est ce que les pirates veulent toujours faire parce qu’il peut leur donner accès à un linux Bitcoin porte-monnaie de l’environnement entier. De cette façon, ils peuvent publier leur propre code malveillant, commencer à accéder à des données internes, reconfigurer les environnements pour leurs propres affaires et une utilisation plus.

Nous voulons être clair – shell obtenir est pas la même chose que de la racine – mais cela ne signifie pas que cela donne des intrus une chance de jouer pour les plus grands prix dans le tour de bonus Bitcoin graphique boursier. Cela pourrait conduire à une escalade des privilèges à la racine par une autre vulnérabilité que vous pourriez trouver. Et si vous avez racine – bien, game over. Le système est pwned.

Où Shellshock devient vraiment mauvais est si elle est transformée en un ver. Un ver est une attaque auto-réplication où le programme malveillant crée un code qui se lance sur d’autres cibles qui se sont ensuite lancer sur d’autres cibles et ainsi de suite. Si vous vous souvenez du ver Sasser ou Samy le ver MySpace, vous vous souvenez à quel point rapidement ce genre de chose peut se propager.

Si vous êtes responsable de l’entretien de votre propre serveur Web et ne savez pas si vous devez mettre à jour votre version de Bash, vous pouvez utiliser l’outil Shellshocker pour vérifier si vous êtes vulnérable ou non. Les utilisateurs réguliers sont probablement en toute sécurité, pour l’instant

Alors, que sur les consommateurs réguliers? C’est là que ça devient difficile. Si vous utilisez Windows et que vous avez jamais installé Git ou Cygwin ou d’autres programmes, vous êtes probablement OK – mais vous voulez toujours rester au courant des mises à jour de sécurité.

Comme pour OS X, si vous êtes familier avec la ligne de commande et la compilation de votre propre shell, vous pouvez mettre à jour vers une version sûre, mais nous ne savons pas recommander que vous faites que si vous vraiment ce que vous faites et êtes à l’aise avec les ramifications possibles d’une mise à niveau qui ont mal tourné.

En ce moment, il ne ressemble pas à tout le monde est venu avec un moyen d’exécuter du code sur les machines individuelles (non serveurs), mais la nature de ce genre de choses ne signifie pas qu’il pourrait devenir un ver ciblant les systèmes Mac histoire de Bitcoin. Le gros problème d’image

Le plus grand souci, comme heartbleed, est qu’il ya des tonnes de systèmes qui pourraient ne jamais avoir été surclassé. Avec heartbleed, nous avons vu des versions vulnérables de OpenSSL dans de nombreux appareils – y compris les smartphones et les routeurs – qui ne sont jamais mis à jour.

Pourtant, il est trop tôt pour savoir à quel point cela est ou dans quelle mesure il pourrait se propager. Les grandes entreprises et les serveurs Web sont déjà patchés. Maintenant, il est temps pour la longue queue des mises à jour, et les systèmes plus restent non patchées, les attaquants plus de temps devront utiliser cette vulnérabilité pour concevoir quelque chose de vraiment méchant.