Michal Ždanský Sikkerhetsteamet hos Red Hat, som utvikler Linux-distribusjonen med samme navn, oppdaget en kritisk feil i UNIX, systemet som ligger til grunn for både Linux og OS X. En kritisk feil i prosessoren bash i teorien lar det angriperen ta fullstendig kontroll over den kompromitterte datamaskinen. Dette er ikke en ny feil, tvert imot, den har eksistert i UNIX-systemer i tjue år.
Bash er en shell-prosessor som utfører kommandoer som legges inn på kommandolinjen, det grunnleggende Terminal-grensesnittet i OS X og tilsvarende i Linux. Kommandoer kan legges inn manuelt av brukeren, men noen applikasjoner kan også bruke prosessoren. Angrepet trenger ikke å være rettet direkte mot bash, men mot alle programmer som bruker det. Ifølge sikkerhetseksperter er denne feilen ved navn Shellshock farligere enn Heartbleed-bibliotek SSL-feil, som påvirket mye av internett.
Ifølge Apple skal brukere som bruker standard systeminnstillinger være trygge. Selskapet kommenterte for serveren iMore følgende:
En stor del av OS X-brukere er ikke utsatt for den nylig oppdagede bash-sårbarheten. Det er en feil i bash, Unix-kommandoprosessoren og språket inkludert i OS X, som kan tillate uautoriserte brukere å få tilgang til å fjernstyre et sårbart system. OS X-systemer er sikre som standard og er ikke sårbare for ekstern utnyttelse av bash-feilen med mindre brukeren har konfigurert avanserte Unix-tjenester. Vi jobber med å tilby en programvareoppdatering for våre avanserte Unix-brukere så snart som mulig.
På serveren StackExchange han dukket opp bruksanvisning, hvordan brukere kan teste systemet sitt for sårbarheter, og hvordan man manuelt fikser feilen gjennom terminalen. Du finner også en omfattende diskusjon med innlegget.
Virkningen av Shellshock er teoretisk enorm. Du finner Unix ikke bare i OS X og på datamaskiner med en av Linux-distribusjonene, men også i et betydelig antall på servere, nettverkselementer og annen elektronikk.
Interessant artikkel. Takk for infoen
Kan noen skrive her når Apple forseglet det? Feilen er allerede rettet..
Har ikke Android en Unix-kjerne tilfeldigvis?
Akkurat som iOS.
Dette er imidlertid ikke et problem med unix-kjerner, men med bash
Feil rett i tittelen. Det er ikke Unix som lider av feilen, det er bash. Unix trenger ikke å inkludere bash, så det er ikke Unix sin feil.
Android er Linux med Dalvik JVM. Så kjernen er Linux, inkludert verktøy som Bash.
Men det problemet er noe oppblåst. Det har i utgangspunktet ingen innvirkning på OS X, det er bare alvorlig for Linux-servere som bruker Bash til å kjøre demoner som Apache, etc.
Men selv dette er ganske uvanlig, for eksempel på Debian og Ubuntu, Bash brukes ikke som standard for servertjenester, men Dash, og det påvirkes ikke.
På forskjellige rutere, WiFI AP-er, etc, er det eksplisitt usannsynlig, fordi de pleier å ha en strippet versjon av Linux der Bash ikke passer, bruker Busybox eller zsh i stedet, osv...
Så jeg tror det er litt av en medieboble.
Dalvik er ikke et JVM.
"Kernel er Linux inkludert verktøy" gir ikke mening.
Android inkluderer vanligvis ikke bash eller andre vanlige GNU-verktøy.
Det viktigste(!): Problemet er ikke om Apache eller en annen server startes av bash, men om bash selv kjører.
Ikke bli for involvert med Zsh, det er mer sannsynlig at den brukes interaktivt.
Det er ikke en boble.
Men ellers har du helt rett.
Oppdateringen er ute