X
دعوت به همکاری - گوینده
انتشارات و موسسه فرهنگی نوین پندار از علاقه مندان به گویندگی دعوت به همکاری مینماید. جهت کسب اطلاعات بیشتر به صفحه همکاری با ما مراجعه نمایید.
:: :: :: :: :: اطلاعیه :: :: :: :: ::
 
 
 
width: px
height: px

آسیب‌پذیری جدید Bash خطراتی بیشتر از Heartbleed را به همراه خواهد داشت!

13:03   |   شنبه 5 مهر ماه 93   |   تعداد بازدید : 6697
آسیب‌پذیری جدید Bash خطراتی بیشتر از Heartbleed را به همراه خواهد داشت!,آسیب‌پذیری Bash، Heartbleed، باگ امنیتی، باگ خطرناک، باگ، CVE-2014-6271، آسیب‌پذیری، bash، Bourne again shell، محبوب‌ترین ابزار لینوکس، اپلیکیشن های وب، OpenSSH، توزیع دبیان، آسیب‌پذیری در لینوکس، آسیب‌پذیری لینوکس، سامانه‌های یونیکسی، ابزار کاربران لینوکس، پوسته‌ی سیستم، web HTTP، وب سرور، SQL injection، اسکریپت، اسکریپت‌های CGI، RedHat، RedHat، اوبونتو
آسیب‌پذیری Bash، Heartbleed، باگ امنیتی، باگ خطرناک، باگ، CVE-2014-6271، آسیب‌پذیری، bash، Bourne again shell، محبوب‌ترین ابزار لینوکس، اپلیکیشن های وب، OpenSSH، توزیع دبیان، آسیب‌پذیری در لینوکس، آسیب‌پذیری لینوکس، سامانه‌های یونیکسی، ابزار کاربران لینوکس، پوسته‌ی سیستم، web HTTP، وب سرور، SQL injection، اسکریپت، اسکریپت‌های CGI، RedHat، RedHat، اوبونتو


اخبار جدید حاکی از آن است که یک باگ امنیتی خطرناک در پوسته‌ی  Bash که یک رابط خط فرمان است ، پیداشده و می‌تواند تبدیل به مصیبتی برای شرکت‌های فناوری، هاستینگ و حتی تمامی ابزارهای متصل به اینترنت شود.
این آسیب‌پذیری با شناسه‌ی CVE-2014-6271 معرفی‌شده است و در تمام توزیع‌های لینوکس ازجمله توزیع دبیان وجود دارد. به گفته‌ی کارشناسان امنیتی، این آسیب‌پذیری به‌اندازه‌ی آسیب‌پذیری Heartbleed  و حتی بیش از آن مهم و پرخطر است و می‌تواند تأثیر بسیار شگفتی در دنیای اینترنت داشته باشد.   bash مخفف عبارت Bourne again shell ،ابزاری شبیه به شل در سامانه‌های یونیکسی است که احتمالاً محبوب‌ترین ابزار کاربران لینوکس نیز است.
این آسیب‌پذیری به مهاجمان اجازه می‌دهد متغیرهای محیطی را دست‌کاری و  به‌جای مقادیر مجاز، مقادیر دلخواه خود را وارد کرده و از آسیب‌پذیری امنیتی موجود برای دسترسی به خط فرمان پوسته و اجرای فرمان‌ها موردنظر خود استفاده کند. در سامانه سیستم‌عامل‌های لینوکسی، متغیرهای محیطی راهی برای تأثیرگذاری در رفتار یک نرم‌افزار ایجاد می‌کنند، این متغیرها معمولاً دارای یک نام و یک مقدار منتسب به نام هستند. در سامانه سیستم‌عامل لینوکس، غالب نرم‌افزارها در هنگام اجرا یک نسخه از بش را در پشت‌صحنه اجرا می‌کنند و از آن برای ارتباط با یک کاربر راه دور استفاده می‌کنند. آسیب‌پذیری موجود در بش به این مسئله مربوط است که متغیرهای محیطی می‌توانند با مقادیر اولیه‌ی مخربی قبل از صدازدن نرم‌افزار بش ایجاد شوند. این متغیرها می‌توانند به‌جای مقادیر مجاز شامل کد باشند که به‌محض اجرای بش این کد نیز اجرا می‌شود. نام متغیر محیطی که حاوی کد است مهم نیست و تنها محتوا و یا مقدار این متغیر است که می‌تواند مخرب باشد! این کدها بالاترین میزان دسترسی برای آسیب واردکردن به سیستم کاربر را برای شخص مهاجم فراهم می‌آورد. 
مشکل اصلی این است که بش اغلب به‌عنوان پوسته‌ی سیستم مورداستفاده قرار می‌گیرد بنابراین اگر اپلیکیشنی، خط فرمان پوسته‌ی Bash را به‌واسطه‌ی web HTTP یا یک Common-Gateway Interface  به نحوی فراخوانی کند که کاربر اجازه‌ی واردکردن داده را داشته باشد، وب سرور می‌تواند آلوده شود.  به‌عبارت‌دیگر این آسیب‌پذیری می‌تواند تمامی اپلیکیشن هایی که ورودی کاربر را ارزیابی و دیگر اپلیکیشن ها را با پوسته فراخوانی می‌کنند تأثیر بگذارد که شامل بسیاری اپلیکیشن های وبی که از آن‌ها استفاده می‌کنید است. 
و اما سؤال اینجاست که برای عدم آلوده شدن به این آسیب‌پذیری چه باید کرد؟
به‌عنوان نخستین راه، باید ورودی اپلیکیشن های وب را ارزیابی کنید. اگر پیش‌ازاین، کدهای خود را در برابر حملات رایجی چون : cross-site scripting  (XSS) یا SQL injection مقاوم کرده‌اید، سیستم شما تا حدی ایمن است.
به‌عنوان اقدام بعدی می‌توانید، اسکریپت‌های CGI را غیرفعال کنید تا در زمان مناسب برای همیشه آن‌ها را جایگزین نمایید. شما همچنین می‌توانید از یک پوسته دیگر در مقابل Bash استفاده کرده و یا حتی نسخه‌های جاری بشکه توسط توسعه‌دهندگان پچ می‌شوند، مورداستفاده قرار دهید. این آسیب‌پذیری در سامانه سیستم‌عامل‌های لینوکسی ازجمله توزیع‌ها RedHat، دبیان،  RedHat و اوبونتو وجود دارد و این توسعه‌دهندگان در حال ارائه‌ی وصله می‌باشند که باید به‌سرعت وصله‌ها در کارگزارها نصب شوند چراکه امکان سوءاستفاده از این آسیب‌پذیری در مقیاس بسیار گسترده‌ای وجود دارد.
گفتنی است OpenSSH همچنین راه سوءاستفاده از این آسیب‌پذیری را برای مهاجم باز می‌کند هرچند برای جلوگیری از این امر می‌توانید دسترسی کاربران غیر از مدیریت یا non-administrative را ممنوع کنید.



:: تبلیغات

NP Android Collection 2016 - V7 - مجموعه نرم افزارهای اندروید 2016

سایر خبرهای این گروه ...
 
بحث ها و نظرها
0
نظر
برای شرکت در بحث و تبادل نظر در سایت Login نموده، یا ثبت نام کنید.


:: تبلیغات
آموزش مقدماتی و متوسط 3DS Max 2017
آموزش پیشرفته AutoCAD 2017 - Part 2



 
 
تمامي كالاها و خدمات اين فروشگاه، حسب مورد داراي مجوزهاي لازم از مراجع مربوطه مي‌باشند و فعاليت‌هاي اين سايت تابع قوانين و مقررات جمهوري اسلامي ايران است.
Copyright © 1998 - 2016 NovinPendar Co. Ltd. All rights reserved.