Michal Ždanský Varnostna ekipa pri Red Hatu, ki razvija istoimensko distribucijo Linuxa, je odkrila kritično napako v UNIX-u, sistemu, ki je podlaga za Linux in OS X. Kritična napaka v procesorju bash teoretično omogoča napadalcu, da prevzame popoln nadzor nad ogroženim računalnikom. To ni nova napaka, nasprotno, v sistemih UNIX obstaja že dvajset let.
Bash je lupinski procesor, ki izvaja ukaze, vnesene v ukazno vrstico, osnovni terminalski vmesnik v OS X in njegov ekvivalent v Linuxu. Ukaze lahko uporabnik vnaša ročno, nekatere aplikacije pa lahko uporabljajo tudi procesor. Ni nujno, da je napad usmerjen neposredno na bash, ampak na katero koli aplikacijo, ki ga uporablja. Po mnenju varnostnih strokovnjakov je ta hrošč z imenom Shellshock nevarnejši od Napaka SSL knjižnice Heartbleed, kar je vplivalo na velik del interneta.
Po mnenju Applea bi morali biti uporabniki, ki uporabljajo privzete sistemske nastavitve, varni. Podjetje je komentiralo strežnik iMore kot sledi:
Velik del uporabnikov OS X ni ogrožen zaradi nedavno odkrite ranljivosti bash. V bash, ukaznem procesorju Unix in jeziku, vključenem v OS X, je napaka, ki lahko nepooblaščenim uporabnikom omogoči dostop do oddaljenega nadzora ranljivega sistema. Sistemi OS X so privzeto varni in niso ranljivi za oddaljene napade hrošča bash, razen če je uporabnik konfiguriral napredne storitve Unix. Prizadevamo si čim prej zagotoviti posodobitev programske opreme za naše napredne uporabnike Unixa.
Na strežniku StackExchange pojavil se je navodila, kako lahko uporabniki preizkusijo svoj sistem glede ranljivosti in kako ročno odpraviti napako prek terminala. Z objavo boste našli tudi obsežno razpravo.
Vpliv Shellshocka je teoretično ogromen. Unix ne najdemo samo v OS X in v računalnikih z eno od distribucij Linuxa, temveč v precejšnjem številu tudi na strežnikih, omrežnih elementih in drugi elektroniki.
Zanimiv članek. Hvala za informacije
Lahko kdo tukaj napiše, kdaj ga je Apple zapečatil? Napaka je že odpravljena..
Ali slučajno nima Android jedra Unix?
Tako kot iOS.
Vendar to ni problem jeder unix, ampak bash
Napaka že v naslovu. Ni Unix tisti, ki trpi zaradi napake, ampak bash. Ni treba, da Unix vključuje bash, zato Unix ni kriv.
Android je Linux z Dalvik JVM. Jedro je torej Linux, vključno s pripomočki, kot je Bash.
Toda ta problem je nekoliko napihnjen. V bistvu nima vpliva na OS X, resno je samo za strežnike Linux, ki uporabljajo Bash za zagon demonov, kot je Apache itd.
Toda tudi to je precej nenavadno, na primer v Debianu in Ubuntuju se za strežniške storitve privzeto ne uporablja Bash, ampak Dash, in to ne vpliva.
Na različnih usmerjevalnikih, dostopnih točkah WiFI itd. je to izrecno malo verjetno, ker imajo ponavadi odstranjeno različico Linuxa, kjer Bash ne ustreza, namesto tega uporabljajo Busybox ali zsh itd.
Zato mislim, da gre za medijski balon.
Dalvik ni JVM.
"Jedro je Linux, vključno s pripomočki" nima smisla.
Android običajno ne vključuje bash ali drugih običajnih pripomočkov GNU.
Najpomembnejša stvar (!): Težava ni, če Apache ali drug strežnik zažene bash, ampak če se sam izvaja bash.
Ne zapletajte se preveč v Zsh, bolj verjetno se bo uporabljal interaktivno.
To ni mehurček.
Sicer pa imaš čisto prav.
Posodobitev je izšla