Bug Pada Bash Shell, Celah Keamanan Berbahaya Bagi Linux dan MacOS

shellshock

BojonegoroToday – Sebuah celah keamanan terbaru pada GNU Bourne Again Shell (Bash), yang dipakai secara luas pada sistem Linux dan Unix, memungkinkan terjadinya eksploitasi dengan teknik serangan tertentu.

Sebagaimana dirilis oleh arstechnica.com (25/9/2014), bug yang diberi nama “Shellshock” ini telah digunakan oleh banyak hacker untuk menyerang web server. Patch yang sudah dilakukan masih memungkinkan bug ini aktif dan bisa dijalankan.

“Masalah ini sangat berbahaya karena banyak cara dan aplikasi yang bisa dilakukan untuk mengakses Bash.” timpal penasehat keamanan Red Hat.

Celah keamanan Shellshock, yang ditemukan oleh Stephane Schazelas, berkaitan dengan bagaimana Bash memproses variabel perintah oleh sistem operasi atau program yang memuat perintah berbasis Bash. Jika Bash dipakai sebagai shell utama pada sebuah sistem operasi, ini bisa digunakan oleh hacker untuk menyerang web server atau gadget berbasis Linux dan Unix melalui akses web, secure shell, sesi telnet, atau program lain yang bibsa mengeksekusi perintah Bash.

Karena penggunaan Bash yang begitu meluas, maka dampak celah keamananpun juga luas, sebagaimana celah Heartbleed yang lalu. Celah keamanan Shellshock menjangkiti GNU Bash bersi 1.41 hingga 4.3. Perbaikan celah keamanan sudah dilakukan oleh beberapa distro Linux, diantaranya:

  • Red Hat Enterprise Linux (RHEL versi 4 hingga 7) serta distro Fedora
  • CentOS (Versi 5 hingga 7)
  • Ubuntu 10.04 LTS, 12.04 LTS, and 14.04 LTS
  • Debian

Banyak aplikasi pada Linux dan Unix yang berbasis Bash, seperti CUPS system printing dan sebagainya.

Untuk mengetahui apakah sistem operasi atau webserver memiliki celah keamanan, Anda bisa memeriksanya dengan memasukkan perintah berikut pada command line:

env x='() { :;}; echo bahaya' bash -c "echo percobaan Shellshock"

Bila terdapat celah keamanan pada Bash, maka akan muncul:

bahaya
percobaan Shellshock

Bila sistem telah aman (sudah di patch), maka muncul :

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
percobaan Shellshock

Untuk keamanan, web administrator harap mengupdate versi Bash-nya ke versi yang baru. (rey)

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *