Michał Żdanski Zespół ds. bezpieczeństwa firmy Red Hat, która rozwija dystrybucję Linuksa o tej samej nazwie, odkrył krytyczną wadę w systemie UNIX, systemie leżącym u podstaw zarówno Linuksa, jak i OS X. Krytyczna usterka w procesorze bash teoretycznie pozwala atakującemu przejąć pełną kontrolę nad zaatakowanym komputerem. Nie jest to błąd nowy, wręcz przeciwnie, występuje on w systemach UNIX od dwudziestu lat.
Bash to procesor powłoki, który wykonuje polecenia wprowadzane w wierszu poleceń, podstawowy interfejs terminala w systemie OS X i jego odpowiednik w systemie Linux. Polecenia mogą być wprowadzane ręcznie przez użytkownika, ale niektóre aplikacje mogą również korzystać z procesora. Atak nie musi być wymierzony bezpośrednio w bash, ale w dowolną aplikację, która go używa. Według ekspertów ds. bezpieczeństwa ten błąd o nazwie Shellshock jest bardziej niebezpieczny niż Błąd SSL biblioteki Heartbleed, co wpłynęło na znaczną część Internetu.
Według Apple użytkownicy korzystający z domyślnych ustawień systemowych powinni być bezpieczni. Firma skomentowała serwer iMore następująco:
Niedawno odkryta luka w bash nie jest zagrożona dla dużej części użytkowników OS X. W bash, uniksowym procesorze poleceń i języku zawartym w OS X, występuje błąd, który może pozwolić nieautoryzowanym użytkownikom na uzyskanie dostępu do zdalnego sterowania podatnym na ataki systemem. Systemy OS X są domyślnie bezpieczne i nie są podatne na zdalne exploity związane z błędem bash, chyba że użytkownik skonfigurował zaawansowane usługi uniksowe. Pracujemy nad jak najszybszym udostępnieniem aktualizacji oprogramowania naszym zaawansowanym użytkownikom systemu Unix.
Na serwerze StackExchange pojawił się instrukcje, w jaki sposób użytkownicy mogą testować swój system pod kątem luk w zabezpieczeniach i jak ręcznie naprawić błąd za pośrednictwem terminala. Pod postem znajdziesz także obszerną dyskusję.
Wpływ Shellshock jest teoretycznie ogromny. Unix można znaleźć nie tylko w OS X i komputerach z jedną z dystrybucji Linuksa, ale także w znacznej liczbie na serwerach, elementach sieciowych i innej elektronice.
Interesujący artykuł. Dzięki za informację
Czy ktoś może tu napisać, kiedy Apple to zapieczętowało? Błąd został już naprawiony..
Czy Android nie ma przypadkiem jądra Uniksa?
Podobnie jak iOS.
Nie jest to jednak problem jąder Uniksa, ale basha
Błąd już w tytule. To nie Unix cierpi z powodu błędu, tylko bash. Unix nie musi zawierać basha, więc nie jest to wina Uniksa.
Android to Linux z Dalvik JVM. Zatem jądrem jest Linux, łącznie z narzędziami takimi jak Bash.
Ale ten problem jest nieco wyolbrzymiony. Zasadniczo nie ma to wpływu na OS X, jest poważne tylko w przypadku serwerów Linux, które używają Bash do uruchamiania demonów takich jak Apache itp.
Ale nawet to jest dość nietypowe, na przykład w Debianie i Ubuntu Bash nie jest domyślnie używany dla usług serwerowych, ale Dash i nie ma to na to wpływu.
Na różnych routerach, punktach dostępowych WiFI itp. jest to wyraźnie mało prawdopodobne, ponieważ mają one zwykle okrojoną wersję Linuksa, w której Bash nie pasuje, zamiast tego używają Busybox lub Zsh itp.
Więc myślę, że to trochę bańka medialna.
Dalvik nie jest maszyną JVM.
„Jądro to Linux, w tym narzędzia” nie ma sensu.
Android zwykle nie zawiera basha ani innych popularnych narzędzi GNU.
Najważniejsza rzecz (!): Problem nie polega na tym, że Apache lub inny serwer jest uruchamiany przez bash, ale na tym, że sam bash jest uruchomiony.
Nie angażuj się zbytnio w Zsh, jest bardziej prawdopodobne, że będzie używany interaktywnie.
To nie jest bańka.
Ale poza tym masz całkowitą rację.
Aktualizacja wyszła