Sửa lỗi lỗ hổng BASH BUG ShellShock

Cộng đồng tin học thế giới lại thực sự sốc với tin về lỗ hổng Bash Bug. Người ta đánh giá mức độ nguy hiểm của lỗ hổng này của hơn lỗ hổng HeartBleed. Cấp độ nguy hiểm là 11/10.

Nếu bạn thực sự đã từng sử dụng các lệnh của Linux, bạn sẽ thấy có các giới hạn về quyền thực thi cho từng câu lệnh, hay tài khoản gửi yêu cầu thực thi từ lệnh. Mà lõi Bash trong Linux được áp dụng vô cùng nhiều trên rất rất nhiều thiết bị. Vì vậy, nếu các lỗ hổng này bị khai thác thì sẽ vô cùng nguy hiểm. Ảnh hưởng của nó có thể tính trên diện cực rộng.

Vậy, dùng cách nào để kiểm tra máy tính của bạn có tồn tại lỗ hổng này hay không ? 

Từ hôm các báo mạng về bảo mật đăng tin về lỗ hổng, tôi đã ngồi kiếm tra các thiết bị của mình : máy tính để bàn, laptop, điện thoại Android, Android Box Tv. Kì lạ là, chỉ có 2 thiết bị Android bị dính. Còn Laptop và máy tình để bàn thì lại không bị.

Về cơ bản, mọi người truyền nhau câu lệnh :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Nếu hệ thống bị dính lỗi , kết quả sẽ là:

vulnerable
this is a test

Thiết bị Android bị dính lỗ hổng

Nếu không bị dính lỗi, kết quả sẽ là :

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Hệ thống không bị dính lỗ hổng Bash Bug

Điểm khác biệt là: ở hệ thống bị lỗi, nó có thể sẽ thực thi một câu lệnh từ ngoài hệ thống mà máy tính của chúng ta nhầm tưởng rằng đó là lệnh đến từ chính hệ thống của chúng ta. Vì vậy, chúng trả lại kết quá cho hệ thống tấn công đó.

Sửa lỗ hổng này thế nào ?

Bạn cần kiểm tra phiên bản lõi Bash của bạn bằng lệnh :

dpkg -s bash | grep Version

Hiện tại thì bản: 4.3-7ubuntu1.4 đã được sửa lỗi. Nếu bạn ở phiên bản thấp hơn, với hệ điều hành Ubuntu bạn sử dụng lệnh  :

sudo apt-get update && sudo apt-get install bash

Sau khi nâng cấp xong, các bạn thử kiểm tra lại hệ thống bằng cách test phần đầu bài viết nhé.

Chúc các bạn may mắn.