Michal Ždanský Red Hatin tietoturvatiimi, joka kehittää samannimistä Linux-jakelua, havaitsi kriittisen puutteen UNIXissa, järjestelmässä, joka on sekä Linuxin että OS X:n taustalla. Kriittinen virhe prosessorissa kemut teoriassa sen avulla hyökkääjä voi ottaa täysin hallintaansa vaarantuneen tietokoneen. Tämä ei ole uusi bugi, päinvastoin, se on ollut olemassa UNIX-järjestelmissä kaksikymmentä vuotta.
Bash on shell-prosessori, joka suorittaa komentoriville syötetyt komennot, OS X:n terminaalin perusrajapinta ja vastaavat Linuxissa. Käyttäjä voi syöttää komennot manuaalisesti, mutta jotkut sovellukset voivat myös käyttää prosessoria. Hyökkäyksen ei tarvitse kohdistua suoraan bashiin, vaan mihin tahansa sitä käyttävään sovellukseen. Tietoturvaasiantuntijoiden mukaan tämä Shellshock-niminen bugi on vaarallisempi kuin Heartbleed-kirjaston SSL-virhe, joka vaikutti suureen osaan Internetiä.
Applen mukaan järjestelmän oletusasetuksia käyttävien käyttäjien tulisi olla turvallisia. Yritys kommentoi palvelinta iMore seuraavasti:
Suuri osa OS X -käyttäjistä ei ole äskettäin löydetyn bash-haavoittuvuuden vaarassa. Bashissa, Unix-komentoprosessorissa ja OS X:n kielessä on virhe, jonka ansiosta luvattomat käyttäjät voivat päästä etäohjaamaan haavoittuvaa järjestelmää. OS X -järjestelmät ovat oletuksena suojattuja, eivätkä ne ole alttiina bash-virheen etäkäytölle, ellei käyttäjä ole määrittänyt edistyneitä Unix-palveluita. Pyrimme tarjoamaan ohjelmistopäivityksen kokeneille Unix-käyttäjillemme mahdollisimman pian.
Palvelimella StackExchange hän ilmestyi ohjeet, kuinka käyttäjät voivat testata järjestelmäänsä haavoittuvuuksien varalta ja kuinka korjata virhe manuaalisesti päätteen kautta. Löydät myös laajan keskustelun postauksesta.
Shellshockin vaikutus on teoriassa valtava. Unixia löytyy paitsi OS X:stä ja tietokoneista, joissa on jokin Linux-jakelu, myös huomattava määrä palvelimia, verkkoelementtejä ja muuta elektroniikkaa.
Mielenkiintoinen artikkeli. Kiitos tiedosta
Voiko joku kirjoittaa tänne, kun Apple sinetöi sen? Vika on jo korjattu..
Eikö Androidissa ole sattumalta Unix-ydintä?
Aivan kuten iOS.
Tämä ei kuitenkaan ole unix-ytimien, vaan bashin ongelma
Virhe heti otsikossa. Se ei ole Unix, joka kärsii virheestä, se on bash. Unixin ei tarvitse sisältää bashia, joten se ei ole Unixin vika.
Android on Linux ja Dalvik JVM. Ydin on siis Linux, mukaan lukien Bashin kaltaiset apuohjelmat.
Mutta tämä ongelma on hieman liioiteltu. Sillä ei periaatteessa ole vaikutusta OS X:ään, se on vakavaa vain Linux-palvelimille, jotka käyttävät Bashia ajaakseen demoneita, kuten Apache jne.
Mutta tämä on myös melko epätavallista, esimerkiksi Debianissa ja Ubuntussa Bashia ei käytetä oletuksena palvelinpalveluissa, vaan Dashia, eikä se vaikuta siihen.
Eri reitittimillä, Wi-Fi-tukipisteillä jne. se on nimenomaisesti epätodennäköistä, koska niillä on yleensä riisuttu Linux-versio, johon Bash ei sovi, käyttämällä Busyboxia tai zsh: tä jne.
Joten mielestäni se on vähän mediakupla.
Dalvik ei ole JVM.
"Ydin on Linux sisältäen apuohjelmat" ei ole järkevää.
Android ei yleensä sisällä bashia tai muita yleisiä GNU-apuohjelmia.
Tärkein asia(!): Ongelma ei ole siinä, että Apache tai jokin muu palvelin on käynnistänyt bashilla, vaan jos itse bash on käynnissä.
Älä sekaannu liikaa Zsh:iin, sitä käytetään todennäköisemmin interaktiivisesti.
Se ei ole kupla.
Mutta muuten olet aivan oikeassa.
Päivitys on ulkona