क्या बैश के गोले को नए पैचेड संस्करण के साथ बदल दिया जाना चाहिए? [डुप्लिकेट]

इस सवाल ने तीन एसई साइटों पर बहुत डाउनवोटिंग उत्पन्न किया है तो मुझे यह समझाने की कोशिश करें कि यह कहां से आता है।

बैश "शंख" समस्या की भयावहता Y2K के बाद से किसी भी चीज़ से बड़ी हो सकती है।

Y2K के लिए एक बड़े डेटा सेंटर के पूर्ण प्रतिस्थापन का हिस्सा होने के कारण, मैं उस घबराहट पर चिंतित हूं जो शेलशॉक (एप्रोपो नाम, बीडब्ल्यूटी) पर उत्पन्न हुई है। मुझे चिंता है कि व्यापक नियोजन और परीक्षण के बिना त्वरित सुधारों में भाग लेने से हमें लगता है कि हम सामना कर रहे हैं की तुलना में कहीं अधिक समस्याएं पैदा करने जा रहे हैं।

Y2K के लिए, हमें पता चला कि तारीख कोड फिक्स आसान हिस्सा था।

बड़े पैमाने पर और अधिक जटिल, त्रुटि-प्रवण, और अनिर्धारित डाउनटाइम-उत्पादक भाग फ़िक्सेस द्वारा उत्पन्न अन्य सॉफ़्टवेयर में विफलताओं की खोज और निर्धारण / शमन कर रहा था। इनमें से कुछ की खोज तब तक नहीं की गई थी जब तक कि नई प्रणाली महीनों तक उत्पादन में नहीं थी। एक हेक्युलियन प्रयास के बावजूद, कुछ ने संगठनात्मक नीति में भी बदलाव किया क्योंकि वे भी ठीक करने के लिए विघटनकारी थे।

मैं सुझाव नहीं दे रहा हूं कि सुरक्षा-पैचिंग अस्वीकार्य है।

हालांकि, केवल इस मामले में, मैंने केवल एक और रन-ऑफ-मिल भेद्यता में होने वाली घटनाओं की एक संदिग्ध श्रृंखला पर ध्यान दिया है, लेकिन एक ग्रह पर एक कंप्यूटर का उपयोग कर लगभग हर व्यक्ति को प्रभावित करने वाले सिस्टम को बड़े पैमाने पर अपडेट करने की मांग करता है।

भेद्यता असली है। लेकिन क्या तत्काल कार्रवाई की जरूरत है?

यह कारकों का संयोजन है जो मुझे विराम देता है ...

एक तथ्य...

• "मैक ओएस एक्स और कई लिनक्स सिस्टम पर बैश मानक है"

एक समय रेखा ...

• अक्टूबर 2012 - "Apple को एनएसए की प्रवेशित सर्वरों की सूची में जोड़ा गया है"
• दिसंबर 2013 - Apple ने कहा कि उसने एनएसए के साथ कभी काम नहीं किया है ...
• 19 सितंबर, 2014 - संभावना है कि NSA ने अब Apple के डेटा की मांग की है और वे विरोध कर रहे हैं
• 24 सितंबर 2014

असर ...

• बैश शेलशॉक "भेद्यता" 22 वर्षों से बैश की "विशेषता" है। आप उन सभी उच्च सुरक्षा वाले वातावरणों में सोचते हैं जो यूनिक्स या लिनक्स चलाते हैं, किसी ने दुरुपयोग के बारे में चिंतित किया होगा।
• अब, दुनिया में बाश की हर स्थापना को प्रतिस्थापित किया जाना है।
• हालांकि बैश ओपन-सोर्स है, कुछ लोग वास्तव में ऐसे बड़े और जटिल कार्यक्रमों के कोड का अध्ययन करने के लिए समय लेते हैं।
• बैश C में लिखा गया है, जो एम्बेडेड असेंबली-भाषा कोड का समर्थन करता है। कोड है कि और भी कम प्रोग्रामर पढ़ने के लिए कौशल है।
• बैश C में लिखा गया है, जो बाइनरी के किसी भी ब्लॉक के इलाज में आसानी से समर्थन करता है, जैसे कि डेटा या एक छोटी छवि, कोड के रूप में लेबल किया गया।
• इस प्रकार, एक कुशल प्रोग्रामर सादे दृष्टि में "पिछले दरवाजे" कोड को छिपा सकता है, और यह तब तक पता नहीं चलेगा जब तक कि यह किसी प्रकार की त्रुटि का कारण न बने।

दावा...

" US-CERT ने उपयोगकर्ताओं और प्रशासकों की समीक्षा TA14-268A, भेद्यता नोट VU # 252743 और अतिरिक्त विवरण के लिए Redhat Security Blog (लिंक बाहरी है) और उचित पैच के लिए अपने संबंधित लिनक्स या यूनिक्स-आधारित OS विक्रेता (ओं) को संदर्भित करने की सिफारिश की है। । "

प्रश्न...

क्या बैश के गोले को इन नए पैच संस्करणों के साथ बदल दिया जाना चाहिए?

संसाधन

• bash patching team चर्चा insecure.org पर
• Apple: "OS X के अधिकांश उपयोगकर्ता हाल ही में रिपोर्ट की गई कमजोरियों के जोखिम में नहीं हैं,"
• लाल सुरक्षा ब्लॉग: बैश विशेष रूप से तैयार किए गए पर्यावरण चर कोड इंजेक्शन हमले

अपडेट 2017-09-28

3 साल बाद, किसी ने वास्तव में इस में उपयोगिता का एक टुकड़ा पाया और सवाल को उकसाया?

तो ठीक है, मुझे एक मिलिआ दोषी ...

शेलशॉक की घोषणा के आसपास की परिस्थितियों पर ऊपर का ध्यान मेरी ओर से एक घुटने की प्रतिक्रिया थी। एक प्रतिक्रिया मुझे खेद है। जबकि तथ्यात्मक, "षड्यंत्रकारी" टोन ने एक बैकलैश का उत्पादन किया जो मूल्य के कुछ भी अस्पष्ट करता है। मैं इसे केवल इसलिए बरकरार रखता हूं ताकि कई अच्छी टिप्पणियां समझ में आएं।

शामिल किए गए अधिकांश सॉफ़्टवेयर के पर्याप्त नए संस्करण जारी किए गए हैं और अब तक अच्छी तरह से पता लगाया गया है कि शेलशॉक अभी भी उन लोगों के लिए कुछ चिंता का विषय हो सकता है जो कम-संचालित सिस्टम चला रहे हैं जो पुराने सॉफ़्टवेयर का उपयोग करना चाहिए। उस समय मेरा अलार्म उन प्रणालियों से आँख बंद करके 22 साल पुरानी कार्यक्षमता को हटाने के खतरों पर था जिसका कोई प्रभाव नहीं था। जाहिर है, यह पता चला है कि कार्यक्षमता शायद ही कभी थी, अगर उपयोग की जाती है।

हाँ तुम्हें करना चाहिए। यहां तक ​​कि सबसे खराब स्थिति में, आप एक प्रोग्राम के लिए एक ज्ञात-शोषक संस्करण का व्यापार कर रहे हैं जो सैद्धांतिक रूप से केवल एक संभावित बैक डोर तैयार करने वाले द्वारा शोषक है।

टनों लोगों को वर्तमान समस्या के बारे में पता है और आप अभी इसके खिलाफ इसका उपयोग कर सकते हैं, लेकिन संभवतः कुछ लोग इस काल्पनिक बैक डोर के बारे में जानते हैं जो शायद मौजूद भी नहीं हैं।

निर्णय मुझे एक आसान लगता है ... कम से कम यदि आप अपने ओएस के विक्रेता द्वारा जारी किए गए आधिकारिक पैच की बात कर रहे हैं। तीसरे पक्ष के पैच के रूप में, यह विश्वास के एक सवाल पर आता है।

व्यक्तिगत रूप से, मैं पैचिंग करूंगा, लेकिन मैं एप्पल के लिए इंतजार कर रहा हूं या कम से कम एक विश्वसनीय रिपॉजिटरी (होमब्रेव आदि) के लिए फिक्स के साथ बैश का 3.2-श्रृंखला संस्करण जारी करने के लिए।