Michal Ždanský Sigurnosni tim u Red Hat-u, koji razvija istoimenu distribuciju Linuxa, otkrio je kritičnu grešku u UNIX-u, sistemu koji je u osnovi Linuxa i OS X-a. Kritičan nedostatak u procesoru bash u teoriji, omogućava napadaču da preuzme potpunu kontrolu nad kompromitovanim računarom. Ovo nije nova greška, naprotiv, postoji u UNIX sistemima već dvadeset godina.
Bash je shell procesor koji izvršava naredbe unesene u komandnu liniju, osnovni terminalski interfejs u OS X i njegov ekvivalent u Linuxu. Komande korisnik može unijeti ručno, ali neke aplikacije mogu koristiti i procesor. Napad ne mora biti usmjeren direktno na bash, već na bilo koju aplikaciju koja ga koristi. Prema stručnjacima za sigurnost, ova greška pod nazivom Shellshock je opasnija od Greška SSL biblioteke Heartbleed, što je uticalo na veliki dio interneta.
Prema Appleu, korisnici koji koriste zadane sistemske postavke trebali bi biti sigurni. Kompanija je komentarisala za server iMore kao što slijedi:
Veliki dio korisnika OS X nije u opasnosti od nedavno otkrivene bash ranjivosti. Postoji greška u bash-u, Unix komandnom procesoru i jeziku uključenom u OS X, koja bi mogla omogućiti neovlaštenim korisnicima da dobiju pristup daljinskoj kontroli ranjivog sistema. OS X sistemi su sigurni po defaultu i nisu ranjivi na udaljene eksploatacije bash greške osim ako korisnik nije konfigurirao napredne Unix usluge. Radimo na pružanju ažuriranja softvera za naše napredne Unix korisnike što je prije moguće.
Na serveru StackExchange pojavio se instrukcije, kako korisnici mogu testirati svoj sistem na ranjivosti i kako ručno popraviti grešku putem terminala. Također ćete pronaći opsežnu diskusiju uz post.
Uticaj Shellshocka je teoretski ogroman. Unix možete pronaći ne samo u OS X-u i na računarima sa jednom od Linux distribucija, već iu velikom broju na serverima, mrežnim elementima i drugoj elektronici.
Zanimljiv članak. Hvala na informacijama
Može li neko napisati ovdje kada je Apple to zapečatio? Greška je već ispravljena..
Zar Android slučajno nema Unix kernel?
Baš kao iOS.
Međutim, ovo nije problem unix kernela, već bash-a
Greška tačno u naslovu. Nije Unix taj koji pati od greške, već bash. Unix ne mora uključivati bash, tako da nije Unixova greška.
Android je Linux sa Dalvik JVM. Dakle, kernel je Linux, uključujući uslužne programe kao što je Bash.
Ali taj problem je donekle naduvan. U osnovi nema utjecaja na OS X, ozbiljno je samo za Linux servere koji koriste Bash za pokretanje demona poput Apachea itd.
Ali čak je i ovo prilično neobično, na primjer, na Debianu i Ubuntuu, Bash se ne koristi prema zadanim postavkama za serverske usluge, već Dash, i na njega to ne utječe.
Na raznim ruterima, WiFi AP-ovima, itd., to je izričito malo vjerovatno, jer imaju tendenciju da imaju skinutu verziju Linuxa gdje Bash ne stane, umjesto toga koriste Busybox ili zsh, itd...
Tako da mislim da je to malo medijski balon.
Dalvik nije JVM.
"Kernel je Linux uključujući uslužne programe" nema smisla.
Android obično ne uključuje bash ili druge uobičajene GNU uslužne programe.
Najvažnija stvar(!): Problem nije u tome što je Apache ili neki drugi server pokrenut bash-om, već ako je sam bash pokrenut.
Nemojte se previše baviti Zsh-om, vjerovatnije je da će se koristiti interaktivno.
Nije balon.
Ali inače ste sasvim u pravu.
Ažuriranje je izašlo