วิธีป้องกัน Bash Code Injection บน CentOS ครับ

โปรแกรมบน CentOS ที่ควรติดตั้งใช้งานร่วมกับ VoIP Server

วิธีป้องกัน Bash Code Injection บน CentOS ครับ

โพสต์โดย nuiz » 26 ก.ย. 2014 09:25

วันนี้ผมได้อีเมล์จาก TrueIDC แจ้งปัญหา Bash Code Injection บน CentOS, RedHat Enterprise, Ubuntu, ... ที่อาจจะเกิดกับเครื่องของเราได้ โดยเฉพาะเครื่องที่ต่อ Internet โดยตรง รายละเอียดของปัญหานี้และวิธีการแก้ไขอยู่ในเว็บนี้ครับ

https://access.redhat.com/articles/1200 ... 000e8eaAAA

ผมสรุปง่ายๆแบบนี้นะครับ

ตรวจสอบ
ถ้ารันคำสั่งนี้แล้ว (ก๊อปแล้ววางได้เลยครับ)
โค้ด: เลือกทั้งหมด
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

ได้ผลลัพธ์เป็น

vulnerable
this is a test

แสดงว่าเครื่องเราสุ่มเสี่ยงชัวร์

วิธีการแก้ไข
ให้อัพเดท bash ด้วยคำสั่งนี้ครับ
โค้ด: เลือกทั้งหมด
yum -y update bash


ทดสอบ
แล้วรันคำสั่งข้างบนอีกครั้ง จะได้ผลเป็นแบบนี้

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

เขาว่าเครื่องเราก็ไม่สุ่มเสี่ยงจากปัญหาดังกล่าวแล้วครับ
** หากมีปัญหากับอุปกรณ์ที่ซื้อมาเองหรือบริการที่ทำขึ้นมาเอง ให้โพสต์ถามในเว็บบอร์ดนี้นะครับ **
** งานเร่งด่วนติดต่อว่าจ้างที่เบอร์ 08-5161-9439 อีเมล์ iamaladin@gmail.com ไลน์ NuizVoip ครับ **
nuiz
Diamond Member
 
โพสต์: 7069
ลงทะเบียนเมื่อ: 24 มี.ค. 2010 09:33

Re: วิธีป้องกัน Bash Code Injection บน CentOS ครับ

โพสต์โดย vacharaa » 28 ก.ย. 2014 09:53

ลองแล้วครับ ขึ้นไม่เหมือนของพี่ครับ ขึ้นแค่ this is a test ครับ ใช่ได้ไหมครับ
vacharaa
Silver Member
 
โพสต์: 32
ลงทะเบียนเมื่อ: 04 ก.พ. 2010 21:58

Re: วิธีป้องกัน Bash Code Injection บน CentOS ครับ

โพสต์โดย nuiz » 28 ก.ย. 2014 11:25

น่าจะได้นะครับ

ผมลองกับ CentOS หลายเครื่องเลย ก็ได้ผลตามที่โพสต์หน่ะครับ
** หากมีปัญหากับอุปกรณ์ที่ซื้อมาเองหรือบริการที่ทำขึ้นมาเอง ให้โพสต์ถามในเว็บบอร์ดนี้นะครับ **
** งานเร่งด่วนติดต่อว่าจ้างที่เบอร์ 08-5161-9439 อีเมล์ iamaladin@gmail.com ไลน์ NuizVoip ครับ **
nuiz
Diamond Member
 
โพสต์: 7069
ลงทะเบียนเมื่อ: 24 มี.ค. 2010 09:33


ย้อนกลับไปยัง CentOS - The Community Enterprise Operating System

ผู้ใช้งานขณะนี้

่กำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และ บุคคลทั่วไป 1 ท่าน

cron