Open Source

พบบั๊กร้ายแรงในคำสั่งแบช (bash) ซึ่งเป็นเชลล์พื้นฐานที่อยู่ใน UNIX ทุกรุ่นยันรุ่นล่าสุด 4.3 ทำให้แฮกเกอร์สามารถรันคำสั่งอะไรก็ได้ภายใต้สิทธิ์ที่รันคำสั่ง bash ซึ่งทำให้เว็บไซต์ที่มีการคอนฟิค CGI ไว้เช่น mod_cgi ตกอยู่ในความเสี่ยงทั้งหมด รวมไปถึงบรรดาอุปกรณ์ฝังตัวที่มีหน้าจอบริหารจัดการเป็นเว็บต่างก็โดนหางเลขไปด้วย (แพเพียบแน่ๆ)

ผู้เชี่ยวชาญประเมินว่าระดับความรุนแรงของบั๊กตัวนี้ไม่น่าจะน้อยกว่า Heartbleed ที่เจอกันไปเมื่อเมษายนที่ผ่านมา เพราะบั๊กตัวนี้สามารถรันคำสั่งบนเครื่องเป้าหมายได้เลย และสามารถทดลองได้ง่ายพอๆ กับ SQL injection โดยไม่ต้องล็อกอินเข้าระบบก่อนด้วยซ้ำ

สำหรับผู้ดูแลระบบที่มีการเปิด CGI แนะนำให้ลองหาแพตช์มาอัพเกรด bash โดยด่วน

ความน่ากลัวของบั๊กตัวนี้คือ บั๊กตัวนี้มีอยู่มาตั้งแต่เริ่ม บั๊กตัวนี้มีความเสี่ยงที่ทำให้แฮกเกอร์สามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ และมีอุปกรณ์จำนวนมากที่วางจำหน่ายในตลาดและหมดการสนับสนุนไปนานแล้ว ไล่ตั้งแต่ คอมพิวเตอร์แม่ข่าย, อุปกรณ์เน็ตเวิร์ก, กล้องวงจรปิด, อุปกรณ์เฉพาะทางอย่างในโรงงาน ฯลฯ

ที่มา: CNN, Akamai, The Register, Reuters, SecList.Org

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand
  • ส่วนตัวรู้สึกอีกประเด็นที่หายไปคือ

According to open source software company Red Hat, it affects any device that uses the operating system Linux -- which includes everything from Apple (AAPL, Tech30) Macs to calculators to cars.

  • เนื้อหาในข่าวไม่พบตามที่มาของข่าวที่ถูกระบุไว้ อ้างอิงที่มาด้วยครับ

แค่น่าจะเขียนไว้ให้ชัดเจนนะครับว่าผลกระทบมันวงกว้าง หลายคนอาจคิดว่าพวกอุปกรณ์เชื่อมต่ออินเทอร์เน็ตได้อย่างหลอดไฟคงไม่โดน เป็นต้น

อีกอย่าง ที่มาก็ไม่พูดถึง UNIX ก่อน 4.3 ด้วยซ้ำ

โทษนะครับพี่ @lew *nix ส่วนใหญ่ใช้ bash เป็น shell หลักไม่ใช่เหรอครับ ผมคิดว่ามันน่าจะมีผลกระทบกว้างนะครับในระบบปฎิบัคิการกลุ่ม *nix

ผมไม่ได้ปฎิเสธว่าผลกระทบมันไม่กว้างครับ แต่มันจำกัดอยู่ที่ bash เท่านั้นก็ไม่ระบุปัญหาไปเท่านั้น การรายงานต้องรายงานอย่างตรงความเป็นจริง

*nix ตัวอื่น อย่างเช่น FreeBSD ใช้ tcsh เป็นตัวเริ่มต้น, หรือ HP-UX ใช้ zsh, AIX ผมไม่แน่ใจแต่เท่าที่เจอก็ไม่ใช่่ bash ครับ

ในแง่ของจำนวนเครื่องผมยังสงสัย เพราะอุปกรณ์ขนาดเล็กที่มีผลต่อคนทั่วไปมากๆ มักเป็นลินุกซ์ที่ใช้ busybox ซึ่งเป็น ash ก็ไม่ใช่ bash

เห็นแก้แล้ว มีนิดนึง

  • อุปกรณ์ฝังใน = embedded device? ถ้าใช่ ผมเห็นภาษาไทยเรียก "ฝังตัว" นะครับ (อ้างอิง 1, 2, 3)
  • ไม่ต้องลูกน้ำคั่นหน้า "ฯลฯ"

ผมอธิบายผลกระทบดีกว่า ว่าอุปกรณ์กลุ่มไหนที่เสี่ยงต่ออันตรายและความเสียหายที่จะเกิดขึ้นบ้าง

ขอบคุณสำหรับข้อมูลของคุณ inkirby เท่าที่เปลี่ยบเทียบแล้ว ในความคิดผม สรุปว่า[โดนผลกระทบ]ครับ

GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13) จะได้ว่า คือเวอร์ชั่น 3.2.51(1) จากข่าว [พบบั๊กร้ายแรงในคำสั่งแบช (bash) ซึ่งเป็นเชลล์พื้นฐานที่อยู่ใน UNIX ทุกรุ่นยันรุ่นล่าสุด 4.3]

ส่วนคุณ tekkasit ช่วยเปลี่ยนทัศนคติในการตอบคำถามหน่อยครับ ใช่ว่าทุกคนจะรู้ command line แล้วก็ใช่ว่าทุกคนจะรู้ว่า ดูเวอร์ชั่น bash ใน OS X ตรงใหน ยังไง เหมือนคุณถามพวกผู้เชียวชาญแล้วเขาตอนกลับมาแบบไม่ตรงคำตอบแต่ต้องเอาคำตอบนั้นไปเปรียบเทียบหาคำตอบที่ต้องการอีกต่อ ต้องใช้ความรู้ด้านนั้นอยู่นะครับ ถ้าอย่างงั้นคุณตอบตรงๆเถอะว่า กระทบหรือไม่กระทบก็จบแล้ว แล้วถ้ามีคนถามต่อว่ายังไงก็ให้ท่านที่เชียวชาญการอธิบายเป็นภาษาคนธรรมดาช่วยต่อก็ได้ครับ เจอคำตอบคุณผมก็งงเหมือนกันว่าจะดูยังไงเช็คยังไง bash คืออะไร ฟร่ะ แบบนี้เลย

ขอบคุณครับ

โดยส่วนตัวผมคิดว่า คนแปลที่แปลข่าวไม่มีหน้าที่จะต้องช่วยเหลือซัพพอร์ตคนที่ใช้ผลิตภัณฑ์ที่มีปัญหาตามข่าวที่เค้าแปลครับ

ผมแค่มาชูประเด็นว่า เออ มีปัญหานะ ต้องไปดู แต่ก็เป็นหน้าที่ความรับผิดชอบของแต่ละเจ้าของระบบที่ต้องไปดูแลตัวเองครับ

หากคุณใช้ระบบปฎิบัติการอะไรอยู่ ถ้ารู้สึกว่ามีความเสี่ยง ก็ควรไปสอบถามกับเจ้าของผลิตภัณฑ์โดยตรงครับ ว่าเออ ผมได้ยินข่าวนี้มา ไม่ทราบว่าระบบปฏิบัติการรุ่นที่ผมใช้อยู่ มีผลกระทบไหม มีแพตช์รึยัง มี workaround รียัง ทำนองนี้น่าจะเหมาะสมและตรงความต้องการคุณมากกว่านะครับ

แล้วถ้ามีคนมาถาม Dabian, SUSE, Solaris ว่ามีความเสี่ยงไหม อันนี้ผมต้องตอบรึเปล่าครับ ?!?

โดยปกติถ้าเป็นคำถามที่ผม ตอบไม่เคลีย ผมก็ไม่ตอบนะ รอท่านอื่นมาตอบอ่ะครับ ถ้าเป็นผมตอบท่านที่ถามว่า "รบกวนถามหน่อยครับ พวก OS X กระทบด้วยมั้ยครับ" ก็น่าจะตอบแบบรักษาน้ำใจกันหน่อยคือ "OS X ถ้าเป็น Mavericks จะใช้ bash version 3.2.51 ครับ" แค่นี้แหละครับ เหมือนแปลงสมการหรือข้อมูลให้อยู่กลุ่มเดียวกันก่อนก็ดีนะครับ อย่างผมเคยตอบคำถามแนวนี้แบบ เห็นหน้านะ ถ้าผมเงียบก็โดนหาว่าหยิ่ง ถ้าผมตอบแบบให้ไปหาเองก็โดน หาว่าไม่ช่วย(โดนเกลียดอีก) จะรู้ก็ตอนที่มีคนที่คุยกับคนนั้นมาพูดให้เราฟังอีกต่อ เพราะคนที่เราไปทำกับเขาเขาไม่มาบอกเราตรงๆหรอก แต่ผมก็บอกเท่าที่มีในขอบเขตนะ ถ้าถามรายละเอียดว่า bash คืออะไร ใช้ทำอะไร อันนั้นผมก็ให้ไปหาเองเหมือนกัน เพราะผมถือว่ามันเป็นพื้นฐานถ้าอยากรู้นะ

อย่าประชดผมเลยครับ แค่อยากให้ถ้าจะตอบคำถามผู้ร้องขอมาก็ตอบอย่างเต็มใจไปเลย ถ้าไม่อยากอธิบายมากก็รอท่านอื่นมาตอบแทนก็ได้

ด้วยความเคารพ

ถ้าคุณไม่รู้ เป็น end user ข่าวนี้ไม่ใช่ข่าวทีคุณต้องกังวลครับ user ระดับที่ "ไม่รู้ command line" ตระหนักว่าเปิดระบบอัพเดตไว้ อัพเดตตามรอบก็พอ

ผมขอแก้ความเข้าใจผิดของคุณหน่อยนะครับ

Blognone ไม่ใช่ "เว็บไอทีสำหรับคนธรรมดา" มาตั้งแต่ต้นแล้วนะครับ เราคาดหวังว่าผู้อ่านของเราต้องมีพื้นความรู้ในระดับหนึ่ง (หรือไม่ก็มีความสามารถในการค้นหาข้อมูลเพิ่มเติมเอง) แต่เราก็ไม่ได้ปิดกั้นอะไร ถ้าหากจะมีคนอยากเข้ามาอ่านเข้ามาแสดงความเห็นครับ

โอเค ถ้าประกาศิตบอกแบบนั้น ก็ตามนั้นครับ (มากัน 3 คนเลย) แต่ผมก็ชอบคำตอบของ คุณ inkirby อยู่ดี เป็นมิตรกับผู้ถามมากกว่าเยอะ ไม่หลงทางด้วยครับ

ขอบคุณครับ

เชลล์พื้นฐานที่อยู่ใน UNIX แทบทุกตัวก่อนรุ่น 4.3 ทั้งหมด

and

OS X มัน UNIX based ครับ

bash command on Mavericks:

OSXMavericks:~ $ bash --version
GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.

CGI ที่ใช้ Bash โดนครับ
แต่ CGI ที่ใช้อื่นๆอย่าง Perl ไม่น่าจะโดนครับ (เพิ่งลองพยายาม exploit ที่ VM ตัวเองเมื่อกี๊)
/me รอดตาย

คนละระดับเลยครับ ทั้งแพร่หลายกว่า สร้างความเสียหายได้มากกว่า อย่าง Heartbleed เหมือนแอบดูจากรูกุญแจประตูหน้า Bash นี่เสมือนเดินเข้าประตูหน้าเข้าห้องนั่งเล่นแล้วเปิดพยายามประตูห้องเลยทีเดียว

เท่าที่ upgrade เมื่อ 25/09/14 23:00

CentOS 7.0 : แก้ไขแล้ว
CentOS 6.5 : แก้ไขแล้ว
Ubuntu-server 12.04 LTS : แก้ไขแล้ว
Raspbian : ยังไม่แก้ไข

โดยทุก os จะขึ้นข้อความแบบนี้ครับ

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

ระดับความน่ากลัวบักนี้ 6/10
ระดับความแพร่หลายของบักนี 9.9/10

เหตุผลที่ไม่น่ากลัว : ตราบใดที่ bash ยังไม่ถูกรันโดย process ที่มี privileges (เช่น sudo หรือ app ที่ใช้ setuid root) ก็คงทำอะไรเครื่องไม่ได้ นอกจากทำได้เหมือนบักใน webapp ทั่ว ๆ ไปที่ไปวางไฟล์หรือรันคำสั่งยิงชาวบ้านเค้าได้ เหมือนที่เราเจอ ๆ กันตลอด (ยิ่งพวกบ้าปิด SELinux/AppArmor) ถ้า php ไม่ได้ปิด shell execute (Wordpress,Joomla,Drupal โดนกันมาหมดละ ธรรมดาม๊ากกก)

เหตุผลที่น่ากลัว : 99% ของเครื่อง unix/linux มี bash - -?

คือเป็น bug ของ bash แต่กระทบเฉพาะ GCI ใช่ไหมครับ
ประเด็นคือ unix/linux มี bash และใครก็ได้สามารถรันคำสั่งอะไรก็ได้ภายใต้สิทธิ์ที่รันคำสั่ง bash ก็เป็นสิ่งที่ถูกต้องแล้วนี่นา (ในกรณีรัน bash บนเครื่องตัวเอง)

patch ของ bash รหัส CVE-2014-6271 "bash 4.2-2ubuntu2.2" ของ Ubuntu ออกแล้วนะครับ

https://launchpad.net/ubuntu/+source/bash/4.2-2ubuntu2.2

Patch ของ CVE-2014-6271 สำหรับ Red Hat Enterprise Linux ออกแล้ว ส่วนอง CentOS ก็น่าจะรหัสคล้ายๆ กัน

https://rhn.redhat.com/errata/RHSA-2014-1293.html

LazarusSP1 Fri, 26/09/2014 - 03:20

Android นี่ผมไม่แน่ใจว่าโดนไหม แต่ลองกับ Nexus7 ไม่มี bash เป็น sh ครับ

ใน Android หากใช้รอม CyanogenMod 11 จะมีอัพเดทแพทช์แก้บั๊กร้ายแรงตัวนี้แล้วครับ โดยหากอัพเดทแบบ Nightly อยู่แล้วจะมีแพทช์ให้อัพเดทได้ทันที (แพทช์ของวันที่ 25-26 นะครับ แล้วแต่บางอุปกรณ์)

ส่วนผู้ที่ใช้แบบ Milestone ซึ่งเป็นรุ่นเสถียรที่ออกรายเดือนนั้น คงต้องรอ CM11 M11 ครับ

หากใช้รอมจากค่ายอื่นหรือจากผู้ผลิตมือถือ/แท็บเล็ตโดยตรง ต้องรอการอัพเดทจากทางนั้นอีกทีครับ

security leak ของ bash นั้น มี 2 รหัสคือ CVE-2014-6271 และ CVE-2014-7169 ซึ่งที่แก้ไขกันไปแล้ว คือ CVE-2014-6271 ส่วน CVE-2014-7169 น่าจะได้อัพเดทวันนี้

Ubuntu ออก patch ของ bash แก้ไข CVE-2014-7169 ตั้งแต่ รุ่น Ubuntu 14.04 LTS ลงมา ส่วน Ubuntu 14.10 ยัง pending อยู่ http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html
ส่วน distro อื่นๆ ลองเช็คๆ กันดูครับ

kswisit Fri, 26/09/2014 - 14:56

debian wheezy patch แล้ว

raspbian ยัง

pi@raspberrypi ~ $ export testbug='() { :;}; echo VULNERABLE'| bash -c "echo Hello"
VULNERABLE
Hello
pi@raspberrypi ~ $