Michal Ždanský „Red Hat“ saugos komanda, kurianti to paties pavadinimo „Linux“ platinimą, aptiko kritinį UNIX, sistemos, kuri yra ir Linux, ir OS X pagrindas, trūkumą. Kritinis procesoriaus trūkumas. bash teoriškai tai leidžia užpuolikui visiškai kontroliuoti pažeistą kompiuterį. Tai nėra nauja klaida, priešingai – UNIX sistemose ji egzistuoja jau dvidešimt metų.
„Bash“ yra apvalkalo procesorius, kuris vykdo komandas, įvestas komandinėje eilutėje, pagrindinėje terminalo sąsajoje OS X ir jos atitikmenyje „Linux“. Vartotojas gali įvesti komandas rankiniu būdu, tačiau kai kurios programos taip pat gali naudoti procesorių. Ataka turi būti nukreipta ne tiesiai į bash, bet į bet kurią ją naudojančią programą. Saugumo ekspertų teigimu, ši klaida, pavadinta „Shellshock“, yra pavojingesnė nei „Heartbleed“ bibliotekos SSL klaida, kuris paveikė didžiąją dalį interneto.
„Apple“ teigimu, vartotojai, naudojantys numatytuosius sistemos nustatymus, turėtų būti saugūs. Bendrovė komentavo serverį aš daugiau taip:
Didžiajai daliai OS X vartotojų negresia neseniai aptiktas bash pažeidžiamumas. „Bash“, „Unix“ komandų procesoriaus ir kalbos, įtrauktos į OS X, klaida, kuri gali leisti neteisėtiems vartotojams gauti prieigą nuotoliniu būdu valdyti pažeidžiamą sistemą. Pagal numatytuosius nustatymus OS X sistemos yra saugios ir nėra pažeidžiamos nuotoliniu bash klaidos išnaudojimu, nebent vartotojas sukonfigūravo pažangių Unix paslaugų. Stengiamės kuo greičiau pateikti programinės įrangos naujinį pažengusiems Unix naudotojams.
Serveryje „StackExchange“ jis pasirodė nurodymus, kaip vartotojai gali išbandyti savo sistemą, ar nėra pažeidžiamumų, ir kaip rankiniu būdu ištaisyti klaidą per terminalą. Taip pat įraše rasite plačią diskusiją.
„Shellshock“ poveikis teoriškai yra didžiulis. Unix galite rasti ne tik OS X ir kompiuteriuose su vienu iš Linux platinimų, bet ir nemažai serverių, tinklo elementų ir kitos elektronikos.
Įdomus straipsnis. Ačiū už informaciją
Ar kas nors gali čia parašyti, kada Apple jį užantspaudavo? Klaida jau ištaisyta..
Ar „Android“ neatsitiktinai neturi „Unix“ branduolio?
Visai kaip iOS.
Tačiau tai ne unix branduolių, o bash problema
Klaida tiesiai pavadinime. Dėl klaidų kenčia ne „Unix“, o „bash“. Unix neturi įtraukti bash, todėl tai nėra Unix kaltė.
Android yra Linux su Dalvik JVM. Taigi branduolys yra „Linux“, įskaitant tokias paslaugas kaip „Bash“.
Tačiau ši problema yra šiek tiek išpūsta. Tai iš esmės neturi jokios įtakos OS X, tai yra rimta tik Linux serveriams, kurie naudoja Bash demonams, tokiems kaip Apache, ir pan.
Bet tai taip pat gana neįprasta, pavyzdžiui, „Debian“ ir „Ubuntu“ serverio paslaugoms pagal numatytuosius nustatymus naudojamas ne „Bash“, o „Dash“, ir tai neturi įtakos.
Įvairiuose maršrutizatoriuose, „WiFi AP“ ir tt tai yra visiškai mažai tikėtina, nes jie paprastai turi nuimtą „Linux“ versiją, kuriai „Bash“ netinka, vietoj jų naudojama „Busybox“ arba „zsh“ ir pan.
Taigi manau, kad tai šioks toks žiniasklaidos burbulas.
Dalvik nėra JVM.
„Branduolis yra Linux, įskaitant komunalines paslaugas“ nėra prasmės.
„Android“ paprastai neapima „bash“ ar kitų įprastų GNU paslaugų.
Svarbiausias dalykas(!): Problema kyla ne dėl to, kad „Apache“ ar kitas serveris paleistas naudojant bash, o jei veikia pats „bash“.
Per daug nesijaudinkite su Zsh, labiau tikėtina, kad jis bus naudojamas interaktyviai.
Tai ne burbulas.
Bet šiaip tu esi visiškai teisus.
Atnaujinimas išleistas