Mihals Ždanskis Red Hat drošības komanda, kas izstrādā tāda paša nosaukuma Linux izplatīšanu, atklāja būtisku trūkumu UNIX — sistēmā, kas ir gan Linux, gan OS X pamatā. Kritiska nepilnība procesorā. stipri iesist teorētiski tas ļauj uzbrucējam pilnībā kontrolēt apdraudēto datoru. Tā nav jauna kļūda, gluži otrādi, UNIX sistēmās tā pastāv jau divdesmit gadus.
Bash ir čaulas procesors, kas izpilda komandrindā ievadītās komandas, pamata termināļa interfeisu operētājsistēmā OS X un tā ekvivalentu operētājsistēmā Linux. Lietotājs komandas var ievadīt manuāli, taču dažas lietojumprogrammas var izmantot arī procesoru. Uzbrukumam nav jābūt vērstam tieši pret bash, bet gan uz jebkuru lietojumprogrammu, kas to izmanto. Pēc drošības ekspertu domām, šī kļūda ar nosaukumu Shellshock ir bīstamāka nekā Heartbleed bibliotēkas SSL kļūda, kas ietekmēja lielu interneta daļu.
Pēc Apple domām, lietotājiem, kuri izmanto noklusējuma sistēmas iestatījumus, jābūt drošiem. Uzņēmums komentēja serveri iMore sekojoši:
Lielu daļu OS X lietotāju neapdraud nesen atklātā bash ievainojamība. Programmā bash, Unix komandu procesors un OS X iekļautā valoda ir kļūda, kas var ļaut neautorizētiem lietotājiem piekļūt, lai attālināti vadītu neaizsargātu sistēmu. OS X sistēmas pēc noklusējuma ir drošas un nav neaizsargātas pret bash kļūdas attāliem izmantošanas veidiem, ja vien lietotājs nav konfigurējis uzlabotus Unix pakalpojumus. Mēs strādājam, lai pēc iespējas ātrāk nodrošinātu programmatūras atjauninājumu mūsu pieredzējušiem Unix lietotājiem.
Uz servera StackExchange viņš parādījās instrukcijas, kā lietotāji var pārbaudīt savas sistēmas ievainojamības un kā manuāli novērst kļūdu, izmantojot termināli. Jūs varat arī atrast plašu diskusiju ar ziņu.
Shellshock ietekme teorētiski ir milzīga. Unix var atrast ne tikai operētājsistēmā OS X un datoros ar kādu no Linux izplatījumiem, bet arī ievērojamā skaitā serveros, tīkla elementos un citā elektronikā.
Interesants raksts. Paldies par informāciju
Vai kāds var šeit uzrakstīt, kad Apple to aizzīmogoja? Kļūda jau ir novērsta..
Vai Android nejauši nav Unix kodola?
Tāpat kā iOS.
Tomēr tā nav unix kodolu problēma, bet gan bash
Kļūda tieši virsrakstā. Tas nav Unix, kas cieš no kļūdas, tas ir bash. Unix nav jāiekļauj bash, tāpēc tā nav Unix vaina.
Android ir Linux ar Dalvik JVM. Tātad kodols ir Linux, ieskaitot tādas utilītas kā Bash.
Bet šī problēma ir nedaudz uzpūsta. Tas būtībā neietekmē operētājsistēmu OS X, tas ir nopietni tikai Linux serveriem, kas izmanto Bash, lai palaistu tādus dēmonus kā Apache utt.
Bet pat tas ir diezgan neparasti, piemēram, Debian un Ubuntu servera pakalpojumiem pēc noklusējuma netiek izmantots Bash, bet gan Dash, un tas netiek ietekmēts.
Dažādos maršrutētājos, WiFI AP utt., tas ir nepārprotami maz ticams, jo tiem parasti ir atdalīta Linux versija, kurā Bash neder, tā vietā tiek izmantots Busybox vai zsh utt.
Tāpēc es domāju, ka tas ir tāds mediju burbulis.
Dalvik nav JVM.
"Kodols ir Linux, ieskaitot utilītas" nav jēgas.
Android parasti neietver bash vai citas izplatītas GNU utilītas.
Vissvarīgākais(!): Problēma nav tad, ja Apache vai cits serveris startē bash, bet gan tad, ja darbojas pats bash.
Neiesaistieties pārāk ar Zsh, visticamāk, tas tiks izmantots interaktīvi.
Tas nav burbulis.
Bet citādi tev ir pilnīga taisnība.
Atjauninājums ir iznācis