Michal Ždanský Sigurnosni tim Red Hata, koji razvija istoimenu distribuciju Linuxa, otkrio je kritičnu grešku u UNIX-u, sustavu koji je u osnovi i Linuxa i OS X-a. Kritična greška u procesoru udariti u teoriji, omogućuje napadaču preuzimanje potpune kontrole nad kompromitiranim računalom. Ovo nije nova greška, naprotiv, u UNIX sustavima postoji već dvadeset godina.
Bash je procesor ljuske koji izvršava naredbe unesene u naredbeni redak, osnovno terminalsko sučelje u OS X i njegov ekvivalent u Linuxu. Naredbe korisnik može unijeti ručno, ali neke aplikacije mogu koristiti i procesor. Napad ne mora biti usmjeren izravno na bash, već na bilo koju aplikaciju koja ga koristi. Prema sigurnosnim stručnjacima, ovaj bug nazvan Shellshock je opasniji od SSL pogreška knjižnice Heartbleed, što je utjecalo na velik dio interneta.
Prema Appleu, korisnici koji koriste zadane postavke sustava trebali bi biti sigurni. Tvrtka je komentirala za poslužitelj iMore kako slijedi:
Velik dio korisnika OS X nije u opasnosti od nedavno otkrivene bash ranjivosti. Postoji greška u bashu, Unix naredbenom procesoru i jeziku uključenom u OS X, koja bi neovlaštenim korisnicima mogla omogućiti pristup daljinskom upravljanju ranjivim sustavom. OS X sustavi sigurni su prema zadanim postavkama i nisu ranjivi na daljinsko iskorištavanje bash buga osim ako korisnik nije konfigurirao napredne Unix usluge. Radimo na pružanju ažuriranja softvera za naše napredne Unix korisnike što je prije moguće.
Na poslužitelju StackExchange on se pojavio upute, kako korisnici mogu testirati svoj sustav na ranjivosti i kako ručno popraviti grešku putem terminala. Uz post ćete pronaći i opsežnu raspravu.
Utjecaj Shellshocka je teoretski ogroman. Unix možete pronaći ne samo u OS X-u iu računalima s nekom od distribucija Linuxa, već iu znatnom broju na poslužiteljima, mrežnim elementima i ostaloj elektronici.
Zanimljiv članak. Hvala na informaciji
Može li netko ovdje napisati kada ga je Apple zapečatio? Greška je već ispravljena..
Da Android slučajno nema Unix kernel?
Baš kao iOS.
Međutim, to nije problem unix kernela, već basha
Greška odmah u naslovu. Nije Unix taj koji pati od buga, nego bash. Unix ne mora uključivati bash, tako da to nije Unixova greška.
Android je Linux s Dalvik JVM. Dakle, kernel je Linux, uključujući pomoćne programe poput Basha.
Ali taj problem je donekle prenapuhan. U osnovi nema utjecaja na OS X, ozbiljno je samo za Linux poslužitelje koji koriste Bash za pokretanje demona poput Apachea itd.
Ali čak i ovo je prilično neobično, na primjer na Debianu i Ubuntuu, Bash se ne koristi prema zadanim postavkama za usluge poslužitelja, već Dash, i to nema utjecaja.
Na raznim usmjerivačima, WiFI AP-ovima, itd., to je izričito malo vjerojatno, jer imaju tendenciju da imaju ogoljenu verziju Linuxa gdje Bash ne odgovara, koristeći Busybox ili zsh umjesto toga, itd...
Tako da mislim da je to medijski balon.
Dalvik nije JVM.
"Kernel je Linux uključujući pomoćne programe" nema smisla.
Android obično ne uključuje bash ili druge uobičajene GNU pomoćne programe.
Najvažnija stvar (!): Problem nije ako je Apache ili neki drugi poslužitelj pokrenut bashom, već ako je sam bash pokrenut.
Nemojte se previše baviti Zshom, vjerojatnije je da će se koristiti interaktivno.
To nije mjehurić.
Ali inače si sasvim u pravu.
Ažuriranje je izašlo