Michal Ždanský Sikkerhedsteamet hos Red Hat, som udvikler Linux-distributionen af samme navn, opdagede en kritisk fejl i UNIX, det system, der ligger til grund for både Linux og OS X. En kritisk fejl i processoren bash i teorien giver det hackeren mulighed for at tage fuldstændig kontrol over den kompromitterede computer. Dette er ikke en ny fejl, tværtimod har den eksisteret i UNIX-systemer i tyve år.
Bash er en shell-processor, der udfører kommandoer indtastet på kommandolinjen, den grundlæggende Terminal-grænseflade i OS X og dens ækvivalent i Linux. Kommandoer kan indtastes manuelt af brugeren, men nogle applikationer kan også bruge processoren. Angrebet behøver ikke at være rettet direkte mod bash, men mod enhver applikation, der bruger det. Ifølge sikkerhedseksperter er denne fejl ved navn Shellshock farligere end Heartbleed bibliotek SSL fejl, som påvirkede meget af internettet.
Ifølge Apple skal brugere, der bruger standardsystemindstillingerne, være sikre. Virksomheden kommenterede for serveren iMore som følger:
En stor del af OS X-brugere er ikke i fare for den nyligt opdagede bash-sårbarhed. Der er en fejl i bash, Unix-kommandoprocessoren og sprog inkluderet i OS X, som kan give uautoriserede brugere mulighed for at få adgang til at fjernstyre et sårbart system. OS X-systemer er sikre som standard og er ikke sårbare over for fjernudnyttelse af bash-fejlen, medmindre brugeren har konfigureret avancerede Unix-tjenester. Vi arbejder på at levere en softwareopdatering til vores avancerede Unix-brugere så hurtigt som muligt.
På serveren StackExchange han dukkede op instruktioner, hvordan brugere kan teste deres system for sårbarheder, og hvordan man manuelt retter fejlen gennem terminalen. Du finder også en omfattende diskussion med indlægget.
Virkningen af Shellshock er teoretisk enorm. Du kan finde Unix ikke kun i OS X og i computere med en af Linux-distributionerne, men også i et betydeligt antal på servere, netværkselementer og anden elektronik.
Interessant artikel. Tak for info
Kan nogen skrive her, hvornår Apple forseglede det? Fejlen er allerede rettet..
Har Android tilfældigvis ikke en Unix-kerne?
Ligesom iOS.
Dette er dog ikke et problem med unix-kerner, men om bash
Fejl lige i titlen. Det er ikke Unix, der lider af fejlen, det er bash. Unix behøver ikke at inkludere bash, så det er ikke Unix's skyld.
Android er Linux med Dalvik JVM. Så kernen er Linux, inklusive hjælpeprogrammer som Bash.
Men det problem er noget oppustet. Det har dybest set ingen indflydelse på OS X, det er kun alvorligt for Linux-servere, der bruger Bash til at køre dæmoner som Apache osv.
Men selv dette er ret usædvanligt, for eksempel på Debian og Ubuntu bruges Bash ikke som standard til servertjenester, men Dash, og det er ikke påvirket.
På forskellige routere, WiFI AP'er osv., er det udtrykkeligt usandsynligt, fordi de har tendens til at have en strippet version af Linux, hvor Bash ikke passer, ved at bruge Busybox eller zsh i stedet, osv...
Så jeg synes, det er lidt af en medieboble.
Dalvik er ikke et JVM.
"Kernel er Linux inklusive hjælpeprogrammer" giver ikke mening.
Android inkluderer normalt ikke bash eller andre almindelige GNU-værktøjer.
Det vigtigste(!): Problemet er ikke, om Apache eller en anden server startes af bash, men om bash selv kører.
Bliv ikke for involveret i Zsh, det er mere sandsynligt, at det bliver brugt interaktivt.
Det er ikke en boble.
Men ellers har du ganske ret.
Opdateringen er ude