Michal Ždanský Η ομάδα ασφαλείας της Red Hat, η οποία αναπτύσσει την ομώνυμη διανομή Linux, ανακάλυψε ένα κρίσιμο ελάττωμα στο UNIX, το σύστημα στο οποίο βασίζεται τόσο το Linux όσο και το OS X. Ένα κρίσιμο ελάττωμα στον επεξεργαστή βίαιο χτύπημα θεωρητικά, επιτρέπει στον εισβολέα να αναλάβει τον πλήρη έλεγχο του παραβιασμένου υπολογιστή. Αυτό δεν είναι νέο bug, αντίθετα, υπάρχει στα συστήματα UNIX εδώ και είκοσι χρόνια.
Το Bash είναι ένας επεξεργαστής φλοιού που εκτελεί εντολές που εισάγονται στη γραμμή εντολών, τη βασική διεπαφή τερματικού στο OS X και το αντίστοιχο στο Linux. Οι εντολές μπορούν να εισαχθούν χειροκίνητα από τον χρήστη, αλλά ορισμένες εφαρμογές μπορούν επίσης να χρησιμοποιήσουν τον επεξεργαστή. Η επίθεση δεν χρειάζεται να στοχεύει απευθείας στο bash, αλλά σε οποιαδήποτε εφαρμογή που τη χρησιμοποιεί. Σύμφωνα με ειδικούς ασφαλείας, αυτό το σφάλμα που ονομάζεται Shellshock είναι πιο επικίνδυνο από Σφάλμα SSL βιβλιοθήκης Heartbleed, που επηρέασε μεγάλο μέρος του Διαδικτύου.
Σύμφωνα με την Apple, οι χρήστες που χρησιμοποιούν τις προεπιλεγμένες ρυθμίσεις συστήματος θα πρέπει να είναι ασφαλείς. Η εταιρεία σχολίασε για τον διακομιστή iMore ως εξής:
Ένα μεγάλο μέρος των χρηστών του OS X δεν κινδυνεύει από την ευπάθεια του bash που ανακαλύφθηκε πρόσφατα. Υπάρχει ένα σφάλμα στο bash, ο επεξεργαστής εντολών Unix και η γλώσσα που περιλαμβάνονται στο OS X, που θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους χρήστες να αποκτήσουν πρόσβαση για τον απομακρυσμένο έλεγχο ενός ευάλωτου συστήματος. Τα συστήματα OS X είναι ασφαλή από προεπιλογή και δεν είναι ευάλωτα σε απομακρυσμένες εκμεταλλεύσεις του σφάλματος bash εκτός εάν ο χρήστης έχει διαμορφώσει προηγμένες υπηρεσίες Unix. Εργαζόμαστε για να παρέχουμε μια ενημέρωση λογισμικού για τους προχωρημένους χρήστες Unix το συντομότερο δυνατό.
Στον διακομιστή StackExchange εμφανίστηκε οδηγίες, πώς οι χρήστες μπορούν να δοκιμάσουν το σύστημά τους για τρωτά σημεία και πώς να διορθώσουν με μη αυτόματο τρόπο το σφάλμα μέσω του τερματικού. Θα βρείτε επίσης μια εκτενή συζήτηση με την ανάρτηση.
Ο αντίκτυπος του Shellshock είναι θεωρητικά τεράστιος. Μπορείτε να βρείτε το Unix όχι μόνο στο OS X και σε υπολογιστές με μία από τις διανομές Linux, αλλά και σε σημαντικό αριθμό σε διακομιστές, στοιχεία δικτύου και άλλα ηλεκτρονικά.
Ενδιαφέρον άρθρο. Ευχαριστώ για τις πληροφορίες
Μπορεί κάποιος να γράψει εδώ όταν το σφράγισε η Apple; Το σφάλμα έχει ήδη διορθωθεί..
Το Android δεν έχει πυρήνα Unix τυχαία;
Ακριβώς όπως το iOS.
Ωστόσο, αυτό δεν είναι πρόβλημα πυρήνων unix, αλλά bash
Σφάλμα δεξιά στον τίτλο. Δεν είναι το Unix που υποφέρει από το bug, είναι το bash. Το Unix δεν χρειάζεται να περιλαμβάνει bash, επομένως δεν φταίει το Unix.
Το Android είναι Linux με Dalvik JVM. Έτσι, ο πυρήνας είναι Linux, συμπεριλαμβανομένων των βοηθητικών προγραμμάτων όπως το Bash.
Αλλά αυτό το πρόβλημα είναι κάπως διογκωμένο. Βασικά δεν έχει καμία επίδραση στο OS X, είναι σοβαρό μόνο για διακομιστές Linux που χρησιμοποιούν το Bash για να τρέξουν δαίμονες όπως ο Apache κ.λπ.
Αλλά ακόμη και αυτό είναι αρκετά ασυνήθιστο, για παράδειγμα στο Debian και στο Ubuntu, το Bash δεν χρησιμοποιείται από προεπιλογή για υπηρεσίες διακομιστή, αλλά το Dash και δεν επηρεάζεται.
Σε διάφορους δρομολογητές, WiFI AP, κ.λπ., είναι ρητά απίθανο, επειδή τείνουν να έχουν μια απογυμνωμένη έκδοση Linux όπου το Bash δεν ταιριάζει, χρησιμοποιώντας Busybox ή zsh αντ' αυτού, κ.λπ.
Οπότε νομίζω ότι είναι μια φούσκα στα μέσα ενημέρωσης.
Ο Dalvik δεν είναι JVM.
Το "Kernel is Linux συμπεριλαμβανομένων των βοηθητικών προγραμμάτων" δεν έχει νόημα.
Το Android συνήθως δεν περιλαμβάνει bash ή άλλα κοινά βοηθητικά προγράμματα GNU.
Το πιο σημαντικό πράγμα(!): Το πρόβλημα δεν είναι αν ο Apache ή κάποιος άλλος διακομιστής ξεκινά από το bash, αλλά εάν το ίδιο το bash εκτελείται.
Μην εμπλακείτε πολύ με το Zsh, είναι πιο πιθανό να χρησιμοποιηθεί διαδραστικά.
Δεν είναι φούσκα.
Αλλά κατά τα άλλα έχεις απόλυτο δίκιο.
Η ενημέρωση έληξε