Produkty Kerio® i podatność Bash CVE-2014-6271, CVE-2014-7169 (ShellShock)

Ogólnie

Podatność „shellshock” (CVE-2014-6271 i CVE-2014-7169) jest błędem zabezpieczeń powłoki Bash w systemach operacyjnych rodziny Unix. Wiele dystrybucji Linux i Mac OS X zawiera niezabezpieczoną wersję Bash. Atakujący może wykorzystać lukę za pośrednictwem zdalnego dostępu do powłoki lub przez dowolną aplikację, która może wykonywać skrypty w Bash. Podatność ta potencjalnie pozwala na wykonanie dowolnego kodu.

Wpływ na produkty Kerio®

Kerio® Control nie zawiera podatnej powłoki Bash i nie jest narażony na wykorzystanie tej luki. Wszystkie systemy Linux w architekturze Samepage® są zaktualizowane i również są bezpieczne. Kerio® Connect Virtual Appliance zawiera podatną wersję Bash w ramach systemu operacyjnego, ale nie przekazuje danych dostarczonych przez użytkownika do środowiska Bash, a w związku z tym nie może być wykorzystany do ataku. Kerio® Operator (wszystkie wersje) zawiera podatną wersję Bash i może być zaatakowany od strony serwera DHCP (jeśli jest wykorzystywany) z urządzeń znajdujących się w lokalnej sieci.

Co dalej?

Samepage®

Nie są wymagane żadne dodatkowe działania. Wszystkie systemy Linux w infrastrukturze Samepage® są zaktualizowane.

Kerio® Control (wszystkie wersje)

Nie są wymagane żadne dodatkowe działania. Podatna wersja powłoki Bash nie jest zaimplementowana w Kerio® Control.

Kerio® Operator (Virtual Appliance, Software Appliance, BOX)

Kerio® Operator (do wersji 2.3.2) zawiera podatną wersję Bash i luka może zostać wykorzystana od strony serwera DHCP, jeśli atakujący ma dostęp do sieci lokalnej. Patch zostanie opublikowany przez producenta na początku tygodnia (po 29.09.2014).

Kerio® Connect (Virtual Appliance, Linux i Mac OS X)

Producent rekomenduje zainstalowanie odpowiednich aktualizacji systemu operacyjnego, aby wyeliminować tę podatność. Szczególnie zalecana jest aktualizacja, jeśli na tym samym serwerze uruchomione są inne usługi (poza Kerio® Connect). Dotyczy wszystkich dystrybucji Linux i Mac OS X. Należy użyć domyślnych mechanizmów aktualizacji systemu operacyjnego. Konieczne jest także korzystanie ze wspieranych wersji dystrybucji, które otrzymują najnowsze aktualizacje bezpieczeństwa. Dla Debian i Ubuntu użyj poleceń „sudo apt-get update” i „sudo apt-get upgrade”, dla CentOS użyj polecenia „sudo yum update”. Dla użytkowników Kerio® Connect Virtual Appliance może być dodatkowo wymagana modyfikacja konfiguracji serwera, aby pobrać najnowsze aktualizacje (więcej informacji poniżej). Na systemie OS X użyj domyślnej aplikacji „Software Update”.

Aktualizacja Kerio® Connect Virtual Appliance

Przed uruchomieniem polecenia „apt-get update” należy upewnić się, że plik /etc/apt/sources.list zawiera aktualną listę repozytoriów systemu Debian. Na liście powinny znajdować się 3 repozytoria: main packages, updates i security updates.

Aby wyedytować ten plik, należy użyć polecenia „sudo nano /etc/apt/sources.list”.

Dla systemu Debian 7 (Wheezy) plik ten powinien zawierać:

deb http://ftp.debian.org/debian wheezy main
deb-src http://ftp.debian.org/debian wheezy main

deb http://ftp.debian.org/debian wheezy-updates main
deb-src http://ftp.debian.org/debian wheezy-updates main

deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main

Dla systemu Debian 6 (Squeeze) plik ten powinien zawierać:

deb http://ftp.debian.org/debian/ squeeze main contrib
deb-src http://ftp.debian.org/debian/ squeeze main contrib

deb http://security.debian.org/ squeeze/updates main contrib
deb-src http://security.debian.org/ squeeze/updates main contrib

deb http://ftp.debian.org/debian squeeze-lts main contrib
deb-src http://ftp.debian.org/debian squeeze-lts main contrib