Linux Hosting

كيفية تحديد ثغرة Bash Shellshock والحماية منها

2 min read
في هذه المقالة، سنشرح كيفية تحديد الثغرة الأمنية الموجودة منذ فترة طويلة في GNU Bash، والمعروفة باسم Shellshock أو Bash bug باختصار، وكيفية الدفاع ضدها. تسمح هذه الثغرة للمهاجم بتنفيذ أوامر برمجية وفقًا لمعايير محددة عن طريق إرسال سطر قصير من التعليمات البرمجية، وبالتالي تجاوز قيود أمان الخادم. نظرًا لوجود Bash في كل نظام Linux و BSD و Mac OSX، فإن أجهزة الكمبيوتر التي لا تقوم بتحديث برنامج Bash الخاص بها معرضة للخطر. تسمح Bash bug باختراق أي نظام يشغل تطبيقات وخدمات تتيح أي اتصال ببيئة عمل Bash. هناك عدة أنظمة يمكن اختراقها من خلال:
  • Apache، الذي يستخدم CGI، من خلال mod_cgi و mod_cgid، المكتوبين بلغة Bash أو يشغلان قذائف فرعية Bash.
  • بعض برامج DHCP.
  • خوادم OpenSSH التي تستخدم ForceCommand.
  • برامج الشبكة الأخرى التي تستخدم Bash.
يمكن العثور على معلومات إضافية هنا: CVE-2014-6271 و CVE-2014-7169. نظرًا لأن هذه الثغرة الأمنية أكثر انتشارًا من ثغرة OpenSSH Heartbleed، كما أنها أسهل في الاستغلال، نوصي بشدة بفحص جهاز الكمبيوتر الشخصي الخاص بك وتحديثه. فيما يلي، سنشرح كيفية التحقق من الثغرة الأمنية وحظرها، إن وجدت، وكيفية تحديث برنامج Bash وإزالة الثغرة الأمنية.  

فحص النظام

على أي نظام يعمل بنظام Bash، يمكنك تشغيل ما يلي تحت bash:  

env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

  الجزء الذي يقول "Bash is vulnerable!" يمثل الجزء الذي يمكن للمخترق أن يضخ فيه رمزًا ضارًا في النظام. لذلك، إذا كان النتيجة:  

Bash ضعيف! Bash Test

نظامك معرض للخطر! لذلك، إذا لم تعرض النتيجة هذه السطر، فإن الخادم ليس عرضة للاستغلال.  

اختبار الموقع عن بُعد

يمكنك إجراء هذا الاختبار للتحقق من وجود خرق أمني عبر موقعك الإلكتروني: أداة لاختبار ثغرة Bash ShellShock CVE-2014-6271  

إصلاح الخرق: تحديث Bash

الطريقة الأسرع والأسهل هي التحديث عبر مدير الحزم (apt-get، yum). سنستعرض فقط Debian و Ubuntu و Red-Hat و Centos و Fedora. Debian/Ubuntu: apt-get

sudo apt-get update && sudo apt-get install --only-upgrade bash

CentOS/RedHat/Fedora: yum

sudo yum update bash

من المهم أن تتذكر القيام بذلك لجميع خوادمك. الآن يمكنك التحقق مرة أخرى لمعرفة ما إذا كانت الثغرة الأمنية لا تزال موجودة. حظًا سعيدًا!
Previous post
إنشاء طلب دائم في واجهة العميل
لإعداد طلب دائم، قم بتسجيل الدخول إلى واجهة الفوترة باستخدام اسم المستخدم وكلمة المرور. إذا نسيت كلمة المرور الخاصة بك، يمكنك استعادتها بالنقر على "استعادة كلمة المرور" على شاشة تسجيل الدخول. اسم المستخدم الخاص بك هو رقم العميل الذي تلقيته عند التسجيل.
Next post
خوادم افتراضية للشركات الصغيرة والمتوسطة الحجم
بالنسبة للعديد من الشركات الصغيرة والمتوسطة الحجم التي تسعى إلى تطوير وجود عالي الجودة وفعال على الإنترنت، فإن الخوادم الافتراضية للشركات هي الحل الأمثل لاستضافة المواقع الإلكترونية. ويوفر هذا النوع من الاستضافة مستوى عالٍ من الاحترافية والموثوقية والمرونة...

2026 © Linux Hosting - استضافة ويب منذ 2011