Michal Ždanský Az azonos nevű Linux disztribúciót fejlesztő Red Hat biztonsági csapata kritikus hibára bukkant a UNIX-ban, a Linux és az OS X alapjául szolgáló rendszerben. Kritikus hiba a processzorban. horpadás elméletileg lehetővé teszi a támadó számára, hogy teljes mértékben átvegye az irányítást a feltört számítógép felett. Ez nem új hiba, ellenkezőleg, húsz éve létezik a UNIX rendszerekben.
A Bash egy shell processzor, amely végrehajtja a parancssorban beírt parancsokat, az OS X alapvető terminál interfészét és a megfelelőjét Linuxban. A parancsokat a felhasználó manuálisan is beírhatja, de egyes alkalmazások használhatják a processzort is. A támadásnak nem közvetlenül a bash-re kell irányulnia, hanem bármely alkalmazásra, amely ezt használja. Biztonsági szakértők szerint ez a Shellshock nevű hiba veszélyesebb, mint Heartbleed könyvtár SSL hiba, ami az internet nagy részét érintette.
Az Apple szerint az alapértelmezett rendszerbeállításokat használó felhasználóknak biztonságban kell lenniük. A cég megjegyzést fűzött a szerverhez Én több alábbiak szerint:
Az OS X felhasználók nagy részét nem fenyegeti a nemrég felfedezett bash sebezhetőség. A bash, a Unix parancsfeldolgozó és az OS X-ben található nyelv hiba van, amely lehetővé teheti az illetéktelen felhasználók számára, hogy távolról vezérelhessék a sebezhető rendszert. Az OS X rendszerek alapértelmezés szerint biztonságosak, és nem sebezhetők a bash hiba távoli kihasználásával szemben, hacsak a felhasználó nem konfigurálta a fejlett Unix szolgáltatásokat. Dolgozunk azon, hogy a lehető leghamarabb szoftverfrissítést biztosítsunk haladó Unix-felhasználóink számára.
A szerveren StackExchange megjelent utasítás, hogyan tesztelhetik a felhasználók rendszerüket sebezhetőségek szempontjából, és hogyan javíthatják ki manuálisan a hibát a terminálon keresztül. A bejegyzés mellett kiterjedt vitát is találhat.
A Shellshock hatása elméletileg óriási. A Unix nemcsak OS X-ben és valamelyik Linux disztribúcióval rendelkező számítógépen található, hanem szervereken, hálózati elemeken és egyéb elektronikai eszközökön is jelentős számban.
Érdekes cikk. Köszi az infót
Valaki le tudná ide írni, hogy mikor zárta le az Apple? A hibát már javították..
Az Androidon véletlenül nincs Unix kernel?
Akárcsak az iOS.
Ez azonban nem a unix kernelek, hanem a bash problémája
Hiba pont a címben. Nem a Unix szenved a hibától, hanem a bash. A Unixnak nem kell tartalmaznia a bash-t, tehát ez nem a Unix hibája.
Az Android Linux és Dalvik JVM. Tehát a kernel Linux, beleértve a Bash-hoz hasonló segédprogramokat.
De ez a probléma kissé felfújt. Alapvetően nincs hatással az OS X-re, csak olyan Linux szervereknél komoly, amelyek Bash-t használnak olyan démonok futtatására, mint az Apache stb.
De még ez is elég szokatlan, például Debianon és Ubuntun a szerverszolgáltatásokhoz alapból nem a Bash-t használják, hanem a Dash-t, és ez nincs hatással.
Különféle útválasztókon, WiFI hozzáférési pontokon stb. ez kifejezetten valószínűtlen, mert általában van egy lecsupaszított Linux-verziójuk, ahol a Bash nem fér el, helyette Busybox vagy zsh stb.
Szóval szerintem ez egy kis médiabuborék.
Dalvik nem JVM.
A "Kernel Linux, beleértve a segédprogramokat" értelmetlen.
Az Android rendszerint nem tartalmazza a bash-t vagy más általános GNU segédprogramokat.
A legfontosabb(!): Nem az a baj, ha az Apache-t vagy egy másik szervert a bash indítja el, hanem az, hogy maga a bash fut.
Ne foglalkozz túl a Zsh-val, valószínűbb, hogy interaktívan használják.
Ez nem egy buborék.
De egyébként teljesen igazad van.
Megjelent a frissítés