Produkty Kerio® i podatność Bash CVE-2014-6271, CVE-2014-7169 (ShellShock)
Ogólnie
Podatność „shellshock” (CVE-2014-6271 i CVE-2014-7169) jest błędem zabezpieczeń powłoki Bash w systemach operacyjnych rodziny Unix. Wiele dystrybucji Linux i Mac OS X zawiera niezabezpieczoną wersję Bash. Atakujący może wykorzystać lukę za pośrednictwem zdalnego dostępu do powłoki lub przez dowolną aplikację, która może wykonywać skrypty w Bash. Podatność ta potencjalnie pozwala na wykonanie dowolnego kodu.
Wpływ na produkty Kerio®
Kerio® Control nie zawiera podatnej powłoki Bash i nie jest narażony na wykorzystanie tej luki. Wszystkie systemy Linux w architekturze Samepage® są zaktualizowane i również są bezpieczne. Kerio® Connect Virtual Appliance zawiera podatną wersję Bash w ramach systemu operacyjnego, ale nie przekazuje danych dostarczonych przez użytkownika do środowiska Bash, a w związku z tym nie może być wykorzystany do ataku. Kerio® Operator (wszystkie wersje) zawiera podatną wersję Bash i może być zaatakowany od strony serwera DHCP (jeśli jest wykorzystywany) z urządzeń znajdujących się w lokalnej sieci.
Co dalej?
Samepage®
Nie są wymagane żadne dodatkowe działania. Wszystkie systemy Linux w infrastrukturze Samepage® są zaktualizowane.
Kerio® Control (wszystkie wersje)
Nie są wymagane żadne dodatkowe działania. Podatna wersja powłoki Bash nie jest zaimplementowana w Kerio® Control.
Kerio® Operator (Virtual Appliance, Software Appliance, BOX)
Kerio® Operator (do wersji 2.3.2) zawiera podatną wersję Bash i luka może zostać wykorzystana od strony serwera DHCP, jeśli atakujący ma dostęp do sieci lokalnej. Patch zostanie opublikowany przez producenta na początku tygodnia (po 29.09.2014).
Kerio® Connect (Virtual Appliance, Linux i Mac OS X)
Producent rekomenduje zainstalowanie odpowiednich aktualizacji systemu operacyjnego, aby wyeliminować tę podatność. Szczególnie zalecana jest aktualizacja, jeśli na tym samym serwerze uruchomione są inne usługi (poza Kerio® Connect). Dotyczy wszystkich dystrybucji Linux i Mac OS X. Należy użyć domyślnych mechanizmów aktualizacji systemu operacyjnego. Konieczne jest także korzystanie ze wspieranych wersji dystrybucji, które otrzymują najnowsze aktualizacje bezpieczeństwa. Dla Debian i Ubuntu użyj poleceń „sudo apt-get update” i „sudo apt-get upgrade”, dla CentOS użyj polecenia „sudo yum update”. Dla użytkowników Kerio® Connect Virtual Appliance może być dodatkowo wymagana modyfikacja konfiguracji serwera, aby pobrać najnowsze aktualizacje (więcej informacji poniżej). Na systemie OS X użyj domyślnej aplikacji „Software Update”.
Aktualizacja Kerio® Connect Virtual Appliance
Przed uruchomieniem polecenia „apt-get update” należy upewnić się, że plik /etc/apt/sources.list zawiera aktualną listę repozytoriów systemu Debian. Na liście powinny znajdować się 3 repozytoria: main packages, updates i security updates.
Aby wyedytować ten plik, należy użyć polecenia „sudo nano /etc/apt/sources.list”.
Dla systemu Debian 7 (Wheezy) plik ten powinien zawierać:
deb http://ftp.debian.org/debian wheezy main deb-src http://ftp.debian.org/debian wheezy main deb http://ftp.debian.org/debian wheezy-updates main deb-src http://ftp.debian.org/debian wheezy-updates main deb http://security.debian.org/ wheezy/updates main deb-src http://security.debian.org/ wheezy/updates main
Dla systemu Debian 6 (Squeeze) plik ten powinien zawierać:
deb http://ftp.debian.org/debian/ squeeze main contrib deb-src http://ftp.debian.org/debian/ squeeze main contrib deb http://security.debian.org/ squeeze/updates main contrib deb-src http://security.debian.org/ squeeze/updates main contrib deb http://ftp.debian.org/debian squeeze-lts main contrib deb-src http://ftp.debian.org/debian squeeze-lts main contrib
1 Komentarz. Zostaw nowy