Michal Ždanský Red Hati turvameeskond, kes arendab samanimelist Linuxi distributsiooni, avastas nii Linuxi kui ka OS X aluseks olevas süsteemis UNIX kriitilise vea. Kriitiline viga protsessoris sisse lööma teoreetiliselt võimaldab see ründajal võtta ohustatud arvuti üle täielik kontroll. See pole uus viga, vastupidi, see on UNIX-süsteemides eksisteerinud juba paarkümmend aastat.
Bash on shell-protsessor, mis täidab käsureale sisestatud käske, põhiline terminali liides OS X-is ja selle ekvivalent Linuxis. Käske saab kasutaja sisestada käsitsi, kuid mõned rakendused võivad kasutada ka protsessorit. Rünnak ei pea olema suunatud otse bashile, vaid mis tahes rakendusele, mis seda kasutab. Turvaekspertide sõnul on see Shellshocki nimeline viga ohtlikum kui Heartbleedi teegi SSL-i viga, mis mõjutas suurt osa Internetist.
Apple'i sõnul peaksid süsteemi vaikesätteid kasutavad kasutajad olema turvalised. Ettevõte kommenteeris serveri jaoks iMore järgnevalt:
Suurt osa OS X-i kasutajatest ei ohusta hiljuti avastatud bashi haavatavus. OS X-is sisalduvas bashis, Unixi käsuprotsessoris ja keeles on viga, mis võib lubada volitamata kasutajatel pääseda ligi haavatava süsteemi kaugjuhtimiseks. OS X süsteemid on vaikimisi turvalised ega ole kaitsetud bash-vea kaugkasutamise suhtes, välja arvatud juhul, kui kasutaja on konfigureerinud täiustatud Unixi teenuseid. Töötame selle nimel, et pakkuda oma edasijõudnud Unixi kasutajatele võimalikult kiiresti tarkvarauuendust.
Serveris StackExchange ta ilmus juhiseid, kuidas kasutajad saavad oma süsteemi turvaaukude suhtes testida ja kuidas viga terminali kaudu käsitsi parandada. Postitusest leiab ka põhjaliku arutelu.
Shellshocki mõju on teoreetiliselt tohutu. Unixi leiate mitte ainult OS X-ist ja ühe Linuxi distributsiooniga arvutitest, vaid ka märkimisväärsel hulgal serveritest, võrguelementidest ja muust elektroonikast.
Huvitav artikkel. Tänan info eest
Kas keegi oskab siia kirjutada, millal Apple selle pitseeris? Viga on juba parandatud..
Kas Androidil pole juhuslikult Unixi tuuma?
Täpselt nagu iOS.
See pole aga unixi tuumade, vaid bashi probleem
Viga kohe pealkirjas. Selle vea all ei kannata mitte Unix, vaid bash. Unix ei pea sisaldama bashi, seega pole see Unixi süü.
Android on Linux koos Dalvik JVM-iga. Seega on kernel Linux, sealhulgas utiliidid nagu Bash.
Kuid see probleem on mõnevõrra ülepaisutatud. Põhimõtteliselt ei mõjuta see OS X-i, see on tõsine ainult Linuxi serverite jaoks, mis kasutavad Bashi deemonite, nagu Apache jne, käitamiseks.
Kuid isegi see on üsna ebatavaline, näiteks Debiani ja Ubuntu puhul ei kasutata serveriteenuste jaoks vaikimisi Bashi, vaid Dashi ja seda see ei mõjuta.
Erinevate ruuterite, WiFi AP-de jms puhul on see ebatõenäoline, kuna neil on tavaliselt Linuxi eemaldatud versioon, kuhu Bash ei mahu, kasutades selle asemel Busyboxi või zsh-d jne...
Nii et ma arvan, et see on natuke meediamull.
Dalvik ei ole JVM.
"Kernel on Linux, sealhulgas utiliidid" ei ole mõttekas.
Android ei sisalda tavaliselt bashi ega muid levinud GNU utiliite.
Kõige tähtsam(!): Probleem pole selles, et Apache või mõni muu server käivitatakse bashiga, vaid selles, et bash ise töötab.
Ärge sekkuge Zsh-iga liiga palju, see on tõenäolisem, et seda kasutatakse interaktiivselt.
See ei ole mull.
Aga muidu on sul täiesti õigus.
Värskendus on väljas