Bezpečnostní chyba Bash se produktů KERNUN netýká

pátek 17. října 2014 13:13
Ve všech aktuálních verzích produktů KERNUN není bezpečnostní chyba GNU Bash shell zneužitelná.

Bezpečnostní chyba GNU Bash shell

24. a  25. září tohoto roku byla v technických reportech číslo CVE-2014-6271 a CVE-2014-7169 publikována bezpečnostní slabina produktu GNU Bash shell, která při splnění jistých podmínek umožňuje externímu útočníkovi spouštět různé příkazy shellu Bash. Bezpečnostní slabina GNU Shellu Bash se týká pouze systémů, kde spuštění nového procesu shellu Bash může být iniciováno vnějším útočníkem, který má současně možnost, ovlivňovat nastavení proměnných prostředí.

KERNUN je bezpečný

Ve všech aktuálních verzích produktů KERNUN není bezpečnostní chyba GNU Bash shell zneužitelná. Bezpečnostní systémy KERNUN jsou vyvíjeny pro prostředí s vysokými nároky na bezpečnost a tedy velmi konzervativně: v důležitých komponentách není Bash vůbec volán.

Byl identifikován následující vektor útoku:

Webový server, který používá skript Bash prostřednictvím CGI a zapisuje parametry dotazu nebo hlavičku http do proměnných prostředí, které jsou dostupné při spuštění skriptu.

– Produkty KERNUN nepoužívají web server s CGI. Tento vektor útoku se tedy produktů KERNUN netýká.

 

SSH Autentication Bypass, kterou nabízí příkaz "ForceCommand" v konfiguraci ssh démona.

– Produkty KERNUN nepoužívají tento typ autentizace.


DHCP klienti, kteří používají Bash script pro zjištění dalších DHCP parametrů (doménové jméno, cílové URL) a takové parametry zapisují do proměnných prostředí.

– Produkty KERNUN nepoužívají tento způsob získávání DHCP parametrů.

 

Více o bezpečnostní chybě GNU Shell Bash: linuxexpres.cz/novinky

Kam dál?

Novinky IT bezpečnosti
Publikované články
Case Study Kernun