ShellShock 2: Кровавый след — Прохождение

Что сделать в первую очередь

  1. Скачайте и запустите всемирно известный CCleaner
    () — это программа, которая очистит ваш компьютер от ненужного мусора, в результате чего система станет работать быстрее после первой же перезагрузки;
  2. Обновите все драйверы в системе с помощью программы Driver Updater
    () — она просканирует ваш компьютер и обновит все драйверы до актуальной версии за 5 минут;
  3. Установите Advanced System Optimizer
    () и включите в ней игровой режим, который завершит бесполезные фоновые процессы во время запуска игр и повысит производительность в игре.

Векторы атаки

В течение часа после публикации уязвимости Bash появились сообщения о взломе компьютерных систем с её помощью. 25 сентября были подтверждены различные атаки ‘in the wild’, начиная с простых DoS

, заканчивая развёртыванием серверов
command & control
через зловредную систему «BASHLITE»[34][35]. Корпорация Kaspersky Labs сообщала, что некоторые из зараженных компьютеров начали атаку DDoS против трех целей[8]. 26 сентября был обнаружен ботнет «wopbot», составленный из серверов, зараженных через bashdoor, и используемый в DDoS против CDN Akamai Technologies и для сканирования сетей Министерства обороны США[7].

Существует несколько потенциальных путей, которыми атакующий может воспользоваться для передачи произвольных переменных окружения в bash, исполняемый на атакуемом сервере:

CGI-атака на веб-сервера

Веб-сервера, исполняющие скрипты Common Gateway Interface (CGI) передают подробности о пользовательском запросе через переменные окружения, например HTTP_USER_AGENT. Если запрос обрабатывается программой Bash, либо другой программой, которая внутри себя вызывает bash, то атакующий может подменить передаваемую по http строку User-Agent на триггер атаки Shellshock, добавив свои команды[36]. Например, в качестве такой команды может подаваться инструкция «ping» с адресом атакующего. По входящим ping-запросам атакующий узнает, сработала ли атака.

Несмотря на то, что CGI — устаревший интерфейс, обладающий и другими рисками безопасности[37], он всё ещё используется. Например, уязвим один из стандартных скриптов cPanel[38], по оценкам уязвимый cPanel может использоваться на 2—3 % веб-сайтов[39].

Атака на SSH-сервер

SSH-сервер OpenSSH позволяет ограничивать пользователя фиксированным набором доступных команд (опция «ForceCommand»). Фиксированная команда исполняется даже если пользователь запросил исполнение иной команды. Запрошенная команда в этом случае сохраняется в переменной среды «SSH_ORIGINAL_COMMAND». Если фиксированная команда исполняется в интерпретаторе Bash shell (если пользовательский интерпретатор установлен в Bash), GNU Bash обнаружит заложенные в среду значения SSH_ORIGINAL_COMMAND при запуске, и, в случае уязвимости перед Bashdoor, исполнит встроенные туда команды. Таким образом атакующий с доступом лишь к ограниченной оболочке получает неограниченный доступ[3].

Атака на DHCP-клиент

DHCP-клиент обычно запрашивает IP адрес у DHCP-сервера. Однако сервер может послать несколько дополнительных опций, которые могут записываться в переменные среды и приводить к эксплуатации ошибки Shellshock на компьютере или ноутбуке, подключаемом к локальной сети[40][41].

Повышение привилегий через setuid программы

Программа с установленным битом setuid может вызывать bash непосредственно, либо косвенно при использовании системных вызовов system(3), popen и других, не сбрасывая при этом переменные окружения. Атака Shellshock в таких случаях позволит локальному пользователю повысить собственные привилегии до владельца подобной setuid программы, часто вплоть до root (суперпользователя).

Уязвимость офлайн-систем

Ошибка потенциально может достичь систем, не подключённых к сети Интернет, во время офлайн-обработки с помощью bash[42].

Системные требования Shellshock 2: Blood Trails

Второе, что стоит сделать при возникновении каких-либо проблем с Shellshock 2: , это свериться с системными требованиями. По-хорошему делать это нужно еще до покупки, чтобы не пожалеть о потраченных деньгах.

Каждому геймеру следует хотя бы немного разбираться в комплектующих, знать, зачем нужна видеокарта, процессор и другие штуки в системном блоке.

Файлы, драйверы и библиотеки

Практически каждое устройство в компьютере требует набор специального программного обеспечения. Это драйверы, библиотеки и прочие файлы, которые обеспечивают правильную работу компьютера.

Начать стоит с драйверов для видеокарты. Современные графические карты производятся только двумя крупными компаниями — Nvidia и AMD. Выяснив, продукт какой из них крутит кулерами в системном блоке, отправляемся на официальный сайт и загружаем пакет свежих драйверов:

Обязательным условием для успешного функционирования Shellshock 2: является наличие самых свежих драйверов для всех устройств в системе. Скачайте утилиту
Driver Updater
, чтобы легко и быстро загрузить последние версии драйверов и установить их одним щелчком мыши:

  • загрузите Driver Updater
    и запустите программу;
  • произведите сканирование системы (обычно оно занимает не более пяти минут);
  • обновите устаревшие драйверы одним щелчком мыши.

Фоновые процессы всегда влияют на производительность. Вы можете существенно увеличить FPS
, очистив ваш ПК от мусорных файлов и включив специальный игровой режим с помощью программы Advanced System Optimizer

  • загрузите Advanced System Optimizer и запустите программу;
  • произведите сканирование системы (обычно оно занимает не более пяти минут);
  • выполните все требуемые действия. Ваша система работает как новая!

Когда с драйверами закончено, можно заняться установкой актуальных библиотек — DirectX и .NET Framework. Они так или иначе используются практически во всех современных играх:

Еще одна важная штука — это библиотеки расширения Visual C++, которые также требуются для работы Shellshock 2: . Ссылок много, так что мы решили сделать отдельный список для них:

  • (Скачать Service Pack 1)
  • (Скачать Service Pack 1)
  • (Скачать Service Pack 1)
  • (Скачать Service Pack 1)

Если вы дошли до этого места — поздравляем! Наиболее скучная и рутинная часть подготовки компьютера к геймингу завершена. Дальше мы рассмотрим типовые проблемы, возникающие в играх, а также кратко наметим пути их решения.

Список уязвимостей

CVE-2014-6271

Оригинальный bashdoor: переменная окружения специального вида состоит из определения экспортируемой функции, за которым следуют произвольные команды. Bash уязвимых версий исполняет эти произвольные команды во время своего запуска[28]. Пример ошибки:

env x='() { :;}; echo Уязвим’ bash -c «echo Тестовая печать»

В уязвимых системах этот тест напечатает фразу «Уязвим», выполнив команду из переменной окружения x[29].

CVE-2014-6277

На 29 сентября детали уязвимости публично не раскрывались[25][27][30].

CVE-2014-6278

На 29 сентября детали уязвимости публично не раскрывались[25][31].

CVE-2014-7169

Обнаружено Tavis Ormandy во время работы над CVE-2014-6271

:

env X='() { (a)=>\’ sh -c «echo date»; cat echo

Тест приводит к тому, что «echo» становится именем файла для перенаправления вывода, а «date» исполняется. Ошибка получила номер CVE-2014-7169

[3].
Пример ошибки 7169 на системе, получившей исправление ошибки CVE-2014-6271
но не ошибки
CVE-2014-7169
[32]

$ X='() { (a)=>\’ bash -c «echo date» bash: X: line 1: syntax error near unexpected token `=’ bash: X: line 1: `’ bash: error importing function definition for `X’ [[email protected] ec2-user]# cat echo Fri Sep 26 01:37:16 UTC 2014

Исправление обеих ошибок CVE-2014-6271

и
CVE-2014-7169
приведет к неработоспособности теста:

$ X='() { (a)=>\’ bash -c «echo date» date $ cat echo cat: echo: No such file or directory

CVE-2014-7186

Ошибка вызвана сходными проблемами в коде Bash[33] однако воздействует с помощью многократного повторения «<

Тест

bash -c ‘true <<<<<<<<<<<<<< || echo «Уязвим по CVE-2014-7186, redir_stack»

Уязвимая система отобразит текст «Уязвим по CVE-2014-7186, redir_stack».

CVE-2014-7187

Ошибка вызвана сходными проблемами в коде Bash[33], однако воздействует с помощью множественных повторений «done»

Тест

(for x in {1..200} ; do echo «for x$x in ; do :»; done; for x in {1..200} ; do echo done ; done) | bash || echo «Уязвим по CVE-2014-7187, word_lineno»

Уязвимая система отобразит текст «Уязвим по CVE-2014-7187, word_lineno».

Shellshock 2: Blood Trails не скачивается. Долгое скачивание. Решение

Скорость лично вашего интернет-канала не является единственно определяющей скорость загрузки. Если раздающий сервер работает на скорости, скажем, 5 Мб в секунду, то ваши 100 Мб делу не помогут.

Если Shellshock 2: совсем не скачивается, то это может происходить сразу по куче причин: неправильно настроен роутер, проблемы на стороне провайдера, кот погрыз кабель или, в конце-концов, упавший сервер на стороне сервиса, откуда скачивается игра.

Содержание

  • 1 Описание
  • 2 Последующие эпизоды эксплуатирования bash
  • 3 Список уязвимостей 3.1 CVE-2014-6271
  • 3.2 CVE-2014-6277
  • 3.3 CVE-2014-6278
  • 3.4 CVE-2014-7169
  • 3.5 CVE-2014-7186
  • 3.6 CVE-2014-7187
  • 4 Векторы атаки
      4.1 CGI-атака на веб-сервера
  • 4.2 Атака на SSH-сервер
  • 4.3 Атака на DHCP-клиент
  • 4.4 Повышение привилегий через setuid программы
  • 4.5 Уязвимость офлайн-систем
  • 5 Примечания
  • 6 Ссылки
  • Shellshock 2: Blood Trails не устанавливается. Прекращена установка. Решение

    Перед тем, как начать установку Shellshock 2: Blood Trails, нужно еще раз обязательно проверить, какой объем она занимает на диске. Если же проблема с наличием свободного места на диске исключена, то следует провести диагностику диска. Возможно, в нем уже накопилось много «битых» секторов, и он банально неисправен?

    В Windows есть стандартные средства проверки состояния HDD- и SSD-накопителей, но лучше всего воспользоваться специализированными программами.

    Но нельзя также исключать и вероятность того, что из-за обрыва соединения загрузка прошла неудачно, такое тоже бывает. А если устанавливаете Shellshock 2: Blood Trails с диска, то стоит поглядеть, нет ли на носителе царапин и чужеродных веществ!

    ShellShock 2: Blood Trails | Игровой архив на Zone of Games

    В Epic Store началась раздача GTA 5 и «мегараспродажа» с купонами18 минут геймплея Ghost of TsushimaРимейк Mafia 1, ремастер Mafia 2-3 — 2K анонсировала обновленную трилогию
    ПОСЛЕДНИЕ 50 ИГР

    РУС ENG

    ЖАНРЫ ГОДЫ

    Игровой архив → ShellShock 2: Blood Trails
    Оценка игроков
    (11)
    5.55
    Информация об игре:
    Разработчик: Guerrilla Games
    В официальной продаже с 13 февраля 2009 года
    Издатель в России: Новый Диск
    В официальной продаже в России с 12 февраля 2009 года
    Официальный сайт в России: >Открыть
    Просмотров профиля: 7471
    Номер игры: 1590
    Статьи
    Cтатей, относящихся к данной игре, не найдено.
    Скриншоты

    Все скриншоты (20) »
    ФайлыВидео:
    Официальный трейлер (HD / 720p)(122.15 МБайт)
    Новости
    «Новый Диск» отправил в печать шутер «Shellshock 2: Кровавый след»

    — в продажу он поступит с 12 февраля в виде джевела и подарочного издания, о составе которого мы уже сообщали. Также на тиражирование отправлена PC-версия
    F.E.A.R. 2: Project Origin
    — она поступит в продажу на день позже, 13 февраля (о коллекционном издании мы также уже писали). «Руссобит-М» сообщает об уходе «на золото» стратегии
    Hinterland
    , которая появится на полках магазинов начиная с 13 февраля. Кроме того, за две недели до релиза в рознице аркадные гонки
    Armageddon Riders
    стали доступны для приобретения в магазине цифровой дистрибьюции GamePitStop.RU. «Акелла» подписала соглашение об издании в России грядущей стратегии
    Takeda 3
    . Выход игры планируется на 1 квартал этого года.

    Автор: SerGEAnt, 30 января 2009 18:00 3 комментария
    Великолепный World of Goo

    от «Акеллы» ушел в печать и появится в продаже 4 февраля. Стала известна планируемая комплектация подарочного издания шутера
    «Shellshock 2: Кровавый след»
    (
    ShellShock 2: Blood Trails
    ), которое готовит для российских потребителей : диск с игрой, руководство пользователя, бонусный диск с дополнительными материалами, диск с саундтреком первой части игры (лицензированные хиты 70-х), бандана «зеленого берета», значок «пацифик» и
    «ShellShock: Вьетнам ’67»
    (первая часть проекта).

    Автор: SerGEAnt, 27 января 2009 10:15 5 комментариев
    «Руссобит-М» отправил в печать тактический шутер «Спецназ 2: Охота на олигарха»

    (
    Specnaz 2
    ) и трехлетний давности автосим
    «Racing: Фактор скорости»
    , более известный как
    rFactor
    — оба проекта поступят в магазины 31 октября. «Новый Диск» сообщает о переносе релиза шутера
    Shellshock 2: Blood Trails
    на февраль 2009 года. «Акелла» приступила к локализации экономической стратегии
    Hotel Giant 2
    . Завершение работ планируется на 1 квартал следующего года.

    Автор: SerGEAnt, 22 октября 2008 20:56 Прокомментировать
    «Новый Диск» анонсировал скорый выход русской версии шутера ShellShock 2: Blood Trails

    . Игра, релиз которой на Западе панируется на следующий год, в России выйдет уже в ноябре. Snowball Interactive выпустит в начале следующего года русскую версию классической РПГ
    Divine Divinity
    . Глава компании
    Сергей Климов
    в своем блоге на DTF.ru подчеркнул, что над переводом будет один из лучших сотрудников студии. Кроме того, Snowball вместе с «1С» отправил в печать локализованный вариант
    Majesty: The Fantasy Kingdom Sim
    напару с
    Majesty: The Northern Expansion
    — в продаже ищите с 26 сентября под названием
    «Majesty. Золотое издание»
    .

    Автор: SerGEAnt, 15 сентября 2008 21:52 3 комментария
    Поиск информации, относящейся к ShellShock 2: Blood Trails →
    Zone of Games

    © 2003–2020

    | Наша команда

    |
    Our Team
    Реклама на сайте | For advertisers

    Страницы сайта могут содержать информацию, запрещенную для просмотра посетителям младше 18 лет.

    Shellshock 2: Blood Trails не запускается. Ошибка при запуске. Решение

    Shellshock 2: Blood Trails установилась, но попросту отказывается работать. Как быть?

    Выдает ли Shellshock 2: какую-нибудь ошибку после вылета? Если да, то какой у нее текст? Возможно, она не поддерживает вашу видеокарту или какое-то другое оборудование? Или ей не хватает оперативной памяти?

    Помните, что разработчики сами заинтересованы в том, чтобы встроить в игры систему описания ошибки при сбое. Им это нужно, чтобы понять, почему их проект не запускается при тестировании.

    Обязательно запишите текст ошибки. Если вы не владеете иностранным языком, то обратитесь на официальный форум разработчиков Shellshock 2: Blood Trails. Также будет полезно заглянуть в крупные игровые сообщества и, конечно, в наш FAQ.

    Если Shellshock 2: не запускается, мы рекомендуем вам попробовать отключить ваш антивирус или поставить игру в исключения антивируса, а также еще раз проверить соответствие системным требованиям и если что-то из вашей сборки не соответствует, то по возможности улучшить свой ПК, докупив более мощные комплектующие.

    В Shellshock 2: Blood Trails черный экран, белый экран, цветной экран. Решение

    Проблемы с экранами разных цветов можно условно разделить на 2 категории.

    Во-первых, они часто связаны с использованием сразу двух видеокарт. Например, если ваша материнская плата имеет встроенную видеокарту, но играете вы на дискретной, то Shellshock 2: может в первый раз запускаться на встроенной, при этом самой игры вы не увидите, ведь монитор подключен к дискретной видеокарте.

    Во-вторых, цветные экраны бывают при проблемах с выводом изображения на экран. Это может происходить по разным причинам. Например, Shellshock 2: Blood Trails не может наладить работу через устаревший драйвер или не поддерживает видеокарту. Также черный/белый экран может выводиться при работе на разрешениях, которые не поддерживаются игрой.

    Shellshock 2: вылетает. В определенный или случайный момент. Решение

    Играете вы себе, играете и тут — бац! — все гаснет, и вот уже перед вами рабочий стол без какого-либо намека на игру. Почему так происходит? Для решения проблемы стоит попробовать разобраться, какой характер имеет проблема.

    Если вылет происходит в случайный момент времени без какой-то закономерности, то с вероятностью в 99% можно сказать, что это ошибка самой игры. В таком случае исправить что-то очень трудно, и лучше всего просто отложить Shellshock 2: в сторону и дождаться патча.

    Однако если вы точно знаете, в какие моменты происходит вылет, то можно и продолжить игру, избегая ситуаций, которые провоцируют сбой.

    Однако если вы точно знаете, в какие моменты происходит вылет, то можно и продолжить игру, избегая ситуаций, которые провоцируют сбой. Кроме того, можно скачать сохранение Shellshock 2: в нашем файловом архиве и обойти место вылета.

    Shellshock 2: Blood Trails зависает. Картинка застывает. Решение

    Ситуация примерно такая же, как и с вылетами: многие зависания напрямую связаны с самой игрой, а вернее с ошибкой разработчика при ее создании. Впрочем, нередко застывшая картинка может стать отправной точкой для расследования плачевного состояния видеокарты или процессора.

    Так что если картинка в Shellshock 2: застывает, то воспользуйтесь программами для вывода статистики по загрузке комплектующих. Быть может, ваша видеокарта уже давно исчерпала свой рабочий ресурс или процессор греется до опасных температур?

    Проверить загрузку и температуры для видеокарты и процессоров проще всего в программе MSI Afterburner. При желании можно даже выводить эти и многие другие параметры поверх картинки Shellshock 2: Blood Trails.

    Какие температуры опасны? Процессоры и видеокарты имеют разные рабочие температуры. У видеокарт они обычно составляют 60-80 градусов по Цельсию. У процессоров немного ниже — 40-70 градусов. Если температура процессора выше, то следует проверить состояние термопасты. Возможно, она уже высохла и требует замены.

    Если греется видеокарта, то стоит воспользоваться драйвером или официальной утилитой от производителя. Нужно увеличить количество оборотов кулеров и проверить, снизится ли рабочая температура.

    Shellshock 2: Blood Trails тормозит. Низкий FPS. Просадки частоты кадров. Решение

    При тормозах и низкой частоте кадров в Shellshock 2: первым делом стоит снизить настройки графики. Разумеется, их много, поэтому прежде чем снижать все подряд, стоит узнать, как именно те или иные настройки влияют на производительность.

    Разрешение экрана

    . Если кратко, то это количество точек, из которого складывается картинка игры. Чем больше разрешение, тем выше нагрузка на видеокарту. Впрочем, повышение нагрузки незначительное, поэтому снижать разрешение экрана следует только в самую последнюю очередь, когда все остальное уже не помогает.

    Качество текстур

    . Как правило, этот параметр определяет разрешение файлов текстур. Снизить качество текстур следует в случае если видеокарта обладает небольшим запасом видеопамяти (меньше 4 ГБ) или если используется очень старый жесткий диск, скорость оборотов шпинделя у которого меньше 7200.

    Качество моделей

    (иногда просто детализация). Эта настройка определяет, какой набор 3D-моделей будет использоваться в игре. Чем выше качество, тем больше полигонов. Соответственно, высокополигональные модели требуют большей вычислительной мощности видекарты (не путать с объемом видеопамяти!), а значит снижать этот параметр следует на видеокартах с низкой частотой ядра или памяти.

    Тени

    . Бывают реализованы по-разному. В одних играх тени создаются динамически, то есть они просчитываются в реальном времени в каждую секунду игры. Такие динамические тени загружают и процессор, и видеокарту. В целях оптимизации разработчики часто отказываются от полноценного рендера и добавляют в игру пре-рендер теней. Они статичные, потому как по сути это просто текстуры, накладывающиеся поверх основных текстур, а значит загружают они память, а не ядро видеокарты.

    Нередко разработчики добавляют дополнительные настройки, связанные с тенями:

    • Разрешение теней — определяет, насколько детальной будет тень, отбрасываемая объектом. Если в игре динамические тени, то загружает ядро видеокарты, а если используется заранее созданный рендер, то «ест» видеопамять.
    • Мягкие тени — сглаживание неровностей на самих тенях, обычно эта опция дается вместе с динамическими тенями. Вне зависимости от типа теней нагружает видеокарту в реальном времени.

    Сглаживание

    . Позволяет избавиться от некрасивых углов на краях объектов за счет использования специального алгоритма, суть которого обычно сводится к тому, чтобы генерировать сразу несколько изображений и сопоставлять их, высчитывая наиболее «гладкую» картинку. Существует много разных алгоритмов сглаживания, которые отличаются по уровню влияния на быстродействие Shellshock 2: Blood Trails.

    Например, MSAA работает «в лоб», создавая сразу 2, 4 или 8 рендеров, поэтому частота кадров снижается соответственно в 2, 4 или 8 раз. Такие алгоритмы как FXAA и TAA действуют немного иначе, добиваясь сглаженной картинки путем высчитывания исключительно краев и с помощью некоторых других ухищрений. Благодаря этому они не так сильно снижают производительность.

    Освещение

    . Как и в случае со сглаживанием, существуют разные алгоритмы эффектов освещения: SSAO, HBAO, HDAO. Все они используют ресурсы видеокарты, но делают это по-разному в зависимости от самой видеокарты. Дело в том, что алгоритм HBAO продвигался в основном на видеокартах от Nvidia (линейка GeForce), поэтому лучше всего работает именно на «зеленых». HDAO же, наоборот, оптимизирован под видеокарты от AMD. SSAO — это наиболее простой тип освещения, он потребляет меньше всего ресурсов, поэтому в случае тормозов в Shellshock 2: Blood Trails стоит переключиться него.

    Что снижать в первую очередь? Как правило, наибольшую нагрузку вызывают тени, сглаживание и эффекты освещения, так что лучше начать именно с них.

    Часто геймерам самим приходится заниматься оптимизацией Shellshock 2: . Практически по всем крупным релизам есть различные соответствующие и форумы, где пользователи делятся своими способами повышения производительности.

    Один из них — специальная программа под названием Advanced System Optimizer. Она сделана специально для тех, кто не хочет вручную вычищать компьютер от разных временных файлов, удалять ненужные записи реестра и редактировать список автозагрузки. Advanced System Optimizer сама сделает это, а также проанализирует компьютер, чтобы выявить, как можно улучшить производительность в приложениях и играх.

    Shellshock 2: Blood Trails лагает. Большая задержка при игре. Решение

    Многие путают «тормоза» с «лагами», но эти проблемы имеют совершенно разные причины. Shellshock 2: Blood Trails тормозит, когда снижается частота кадров, с которой картинка выводится на монитор, и лагает, когда задержка при обращении к серверу или любому другому хосту слишком высокая.

    Именно поэтому «лаги» могут быть только в сетевых играх. Причины разные: плохой сетевой код, физическая удаленность от серверов, загруженность сети, неправильно настроенный роутер, низкая скорость интернет-соединения.

    Впрочем, последнее бывает реже всего. В онлайн-играх общение клиента и сервера происходит путем обмена относительно короткими сообщениями, поэтому даже 10 Мб в секунду должно хватить за глаза.

    Примечания

    1. 12345Perlroth, Nicole
      . Security Experts Expect ‘Shellshock’ Software Bug in Bash to Be Significant,
      New York Times
      (25 September 2014). Дата обращения 25 сентября 2014.
    2. Staff.
      What does the «Shellshock» bug affect?
      (неопр.)
      .
      The Safe Mac
      (25 September 2014). Дата обращения 27 сентября 2014.
    3. 12345
      The Laws of Vulnerabilities
      (неопр.)
      (недоступная ссылка). Дата обращения 26 сентября 2014. Архивировано 6 октября 2014 года.
    4. 12Leyden, John
      Patch Bash NOW: ‘Shell Shock’ bug blasts OS X, Linux systems wide open
      (неопр.)
      .
      The Register
      (24 September 2014). Дата обращения 25 сентября 2014.
    5. oss-security — Re: CVE-2014-6271: remote code execution through bash (неопр.)
      . Дата обращения 26 сентября 2014.
    6. bash — When was the shellshock (CVE-2014-6271/7169) bug introduced, and what is the patch that fully fixes it? — Unix & Linux Stack Exchange
    7. 12Saarinen, Juha
      . First Shellshock botnet attacks Akamai, US DoD networks,
      iTnews
      (26 Septemberr 2014). Дата обращения 26 сентября 2014.
    8. 12
      Hackers Are Already Using the Shellshock Bug to Launch Botnet Attacks
      (неопр.)
      .
      Wired
      (25 September 2014). Дата обращения 28 сентября 2014.
    9. На сотнях миллионов компьютеров найдена опаснейшая уязвимость, РГ (25.09.2014). Дата обращения 29 сентября 2014.
    10. Ошибка в оболочке Bash поставила под угрозу компьютеры на Linux и OS X, РБК (25 сентября 2014). Дата обращения 29 сентября 2014.
    11. Open Group Base Specification: exec
    12. Bash Reference Manual: Shell functions
    13. Bash Reference Manual: Bourne Shell Builtins
    14. 12
      Bash 4.3 source code, file variables.c, lines 315—388
    15. Steven J. Vaughan-Nichols
      . Shellshock: Better ‘bash’ patches now available (англ.), ZDNet (27 September 2014). Дата обращения 29 сентября 2014.
    16. Ubuntu (неопр.)
      . Дата обращения 26 сентября 2014.
    17. Red Hat (неопр.)
      . Дата обращения 26 сентября 2014.
    18. Red Hat 2 (неопр.)
      . Дата обращения 26 сентября 2014.
    19. CentOS 5.10 (неопр.)
      . Дата обращения 26 сентября 2014.
    20. CentOS 7 (неопр.)
      . Дата обращения 26 сентября 2014.
    21. FAQShellshock (неопр.)
      (26 September 2014). Дата обращения 26 сентября 2014.
    22. FAQShellshock2 (неопр.)
      (26 September 2014). Дата обращения 26 сентября 2014.
    23. ‘whack-a-mole’ — популярный игровой автомат, в переносном смысле — повторяющаяся безвыигрышная задача
    24. Gallagher, Sean
      Still more vulnerabilities in bash? Shellshock becomes whack-a-mole
      (неопр.)
      . Arstechnica (26 September 2014). Дата обращения 26 сентября 2014.
    25. 1234Saarinen, Juha
      Further flaws render Shellshock patch ineffective
      (неопр.)
      .
      iTnews
      (29 September 2014). Дата обращения 29 сентября 2014.
    26. 12lcamtuf.
      Bash bug: apply Florian’s patch now (CVE-2014-6277 and CVE-2014-6278)
      (неопр.)
      .
      lcamtuf’s blog
      (27 September 2014). Дата обращения 29 сентября 2014.
    27. 123Staff.
      Shellshock, Part 3: Three more security problems in Bash (in german)
      (неопр.)
      .
      Heise Online
      (28 September 2014). Дата обращения 28 сентября 2014.
    28. NVD — Detail
    29. Bash specially-crafted environment variables code injection attack | Red Hat Security
    30. Staff.
      National Cyber Awareness System Vulnerability Summary for CVE-2014-6277
      (неопр.)
      .
      National Institute of Standards and Technology
      (27 September 2014). Дата обращения 28 сентября 2014.
    31. Staff.
      CVE Report — CVE-2014-6278
      (неопр.)
      .
      Common Vulnerabilities and Exposures
      (09 September 2014). Дата обращения 29 сентября 2014.
    32. Are You Open to Being Shell-Shocked? (неопр.)
      (недоступная ссылка). HOST. Дата обращения 26 сентября 2014. Архивировано 9 октября 2014 года.
    33. 12
      Non-upstream patches for bash
      (неопр.)
      .
      oss-security mailing lists
      . Openwall. — «Internal analysis revealed two out-of-bounds array accesses in the bash parser. This was also independently and privately reported by Todd Sabin .». Дата обращения 27 сентября 2014.
    34. Various.
      Shellshock Updates: BASHLITE C&Cs Seen, Shellshock Exploit Attempts in Brazil
      (неопр.)
      .
      Trend Micro
      (26 September 2014). Дата обращения 26 сентября 2014.
    35. Various.
      Web attacks build on Shellshock bug
      (неопр.)
      .
      BBC
      (26 September 2014). Дата обращения 26 сентября 2014.
    36. Various.
      CVE-2014-6271 : Remote code execution through bash
      (неопр.)
      .
      Reddit
      (24 September 2014). Дата обращения 26 сентября 2014.
    37. Apache HTTP Server 2.2 Documentation: Security Tips
    38. Bash Vulnerability Exploits Dropping DDoS Bots | Threatpost | The first stop for security news
    39. Website Security — Bash «Shell Shock» Vulnerability Impacts CPANEL Users | Sucuri Blog
    40. «Shellshock DHCP RCE Proof of Concept» Архивная копия от 25 сентября 2014 на Wayback Machine, Geoff Walton, TrustedSec
    41. Эксплоит Shellshock для DHCP-сервера, Xakep.ru (26 сентября 2014). Дата обращения 30 сентября 2014.
    42. «Collection of various attacks», Daniel Fox Franke, Akamai

    В Shellshock 2: Blood Trails нет звука. Ничего не слышно. Решение

    Shellshock 2: Blood Trails работает, но почему-то не звучит — это еще одна проблема, с которой сталкиваются геймеры. Конечно, можно играть и так, но все-таки лучше разобраться, в чем дело.

    Сначала нужно определить масштаб проблемы. Где именно нет звука — только в игре или вообще на компьютере? Если только в игре, то, возможно, это обусловлено тем, что звуковая карта очень старая и не поддерживает DirectX.

    Если же звука нет вообще, то дело однозначно в настройке компьютера. Возможно, неправильно установлены драйвера звуковой карты, а может быть звука нет из-за какой-то специфической ошибки нашей любимой ОС Windows.

    Shellshock 2: , скачанная с торрента не работает. Решение

    Если дистрибутив игры был загружен через торрент, то никаких гарантий работы быть в принципе не может. Торренты и репаки практически никогда не обновляются через официальные приложения и не работают по сети, потому что по ходу взлома хакеры вырезают из игр все сетевые функции, которые часто используются для проверки лицензии.
    Такие версии игр использовать не просто неудобно, а даже опасно, ведь очень часто в них изменены многие файлы. Например, для обхода защиты пираты модифицируют EXE-файл. При этом никто не знает, что они еще с ним делают. Быть может, они встраивают само-исполняющееся программное обеспечение. Например, майнер, который при первом запуске игры встроится в систему и будет использовать ее ресурсы для обеспечения благосостояния хакеров. Или вирус, дающий доступ к компьютеру третьим лицам. Тут никаких гарантий нет и быть не может.

    К тому же использование пиратских версий — это, по мнению нашего издания, воровство. Разработчики потратили много времени на создание игры, вкладывали свои собственные средства в надежде на то, что их детище окупится. А каждый труд должен быть оплачен.

    Поэтому при возникновении каких-либо проблем с играми, скачанными с торрентов или же взломанных с помощью тех или иных средств, следует сразу же удалить «пиратку», почистить компьютер при помощи антивируса и приобрести лицензионную копию игры. Это не только убережет от сомнительного ПО, но и позволит скачивать обновления для игры и получать официальную поддержку от ее создателей.

    Последующие эпизоды эксплуатирования bash

    В тот же день, когда была опубликована информация об оригинальной уязвимости и патчи, исправляющие её, Tavis Ormandy обнаружил новую родственную ошибку CVE-2014-7169

    [3]. Обновлённые исправления стали доступны 26 сентября[3][16][17][18][19][20].

    Во время работы над исправлением оригинальной ошибки Shellshock, исследователь компании Red Hat, Florian Weimer обнаружил ещё две ошибки: CVE-2014-7186

    и
    CVE-2014-7187
    [21][22].

    26 сентября 2014 два разработчика open-source, David A. Wheeler и Norihiro Tanaka заметили, что существуют дополнительные проблемы, всё ещё не исправленные патчами, доступными на тот момент. В своём электронном письме в почтовые списки рассылок «oss-sec» и «bash bug» Wheeler писал:

    Этот патч лишь продолжает работы типа «прибей крота» (whac-a-mole)[23] по исправлению различных ошибок разбора, начатый первым патчем. Парсер bash конечно же содержит много много много других уязвимостей.

    Оригинальный текст (англ.)

    This patch just continues the ‘whack-a-mole’ job of fixing parsing errors that began with the first patch. Bash’s parser is certain [to] have many many many other vulnerabilities

    — [24]

    27 сентября 2014, Michal Zalewski анонсировал, что обнаружил несколько других ошибок в bash[25][26], одна из которых использует то, что bash часто компилируется без использования техники защиты ASLR (Address Space Layout Randomization)[27]. Zalewski также призвал срочно применить патч от Florian Weimer[25][26][27].

    Shellshock 2: Blood Trails выдает ошибку об отсутствии DLL-файла. Решение

    Как правило, проблемы, связанные с отсутствием DLL-библиотек, возникают при запуске Shellshock 2: Blood Trails, однако иногда игра может обращаться к определенным DLL в процессе и, не найдя их, вылетать самым наглым образом.

    Чтобы исправить эту ошибку, нужно найти необходимую библиотеку DLL и установить ее в систему. Проще всего сделать это с помощью программы DLL-fixer

    , которая сканирует систему и помогает быстро найти недостающие библиотеки.

    Если ваша проблема оказалась более специфической или же способ, изложенный в данной статье, не помог, то вы можете спросить у других пользователей в нашей рубрике «Вопросы и ответы». Они оперативно помогут вам!

    Благодарим за внимание!

    Описание

    Уязвимость Shellshock (bashdoor) относится к программе bash (разрабатывается в рамках проекта GNU), используемой во множестве Unix-подобных операционных систем и дистрибутивов в качестве интерпретатора командной строки и для исполнения командных скриптов. Часто устанавливается в качестве системного интерпретатора по умолчанию.

    В Unix-подобных и других поддерживаемых bash операционных системах каждая программа имеет список пар имя-значение, называемый переменными среды (англ. environment variable). Когда одна программа запускает другую, то также передается изначальный список переменных среды[11]. Кроме переменных среды, bash также поддерживает внутренний список функций — именованных скриптов, которые могут вызываться из исполняемого скрипта bash[12]. При запуске новых экземпляров bash из существующего bash возможна передача (экспортирование, export

    ) значений существующих переменных окружения и определений функций в порождаемый процесс[13]. Определения функций экспортируются путём кодирования их в виде новых переменных окружения специального формата, начинающегося с пустых скобок «()», за которыми следует определение функции в виде строки. Новые экземпляры bash при своем запуске сканируют все переменные среды, детектируя данный формат и преобразовывая его обратно в определение внутренней функции[14]. Данное преобразование проводится путём создания фрагмента bash-кода на базе значения переменной среды и его исполнения, то есть «на лету» (‘on-the-fly’). Подверженные уязвимости версии bash не производят проверок, что исполняемый фрагмент содержит лишь определение функции[14]. Таким образом, если злоумышленник имеет возможность подать произвольную переменную среды в запуск bash, то появляется возможность исполнения произвольных команд.

    27 сентября был опубликован качественный патч, который добавляет ко всем экспортируемым и импортируемым функциям специальный префикс при их преобразовании в переменные окружения и обратно[15].

    Рейтинг
    ( 1 оценка, среднее 5 из 5 )
    Понравилась статья? Поделиться с друзьями: