Michal Žďánsky Bezpečnostný tím spoločnosti Red Hat vyvíjajúci rovnomennú linuxovú distribúciu objavil závažnú chybu v UNIXe, systéme, ktorý je základom ako Linuxu, tak aj OS X. Kritická chyba v procesore tresnúť teoreticky umožňuje útočníkovi úplne prevziať kontrolu nad napadnutým počítačom. Nejedná sa pritom o novú chybu, naopak v UNIXových systémoch existuje už celých dvadsať rokov.
Bash je shellový procesor, ktorý vykonáva povely zadané v príkazovom riadku, základnom rozhraní Terminálu v OS X aj jeho obdoby v Linuxe. Príkazy môže používateľ zadávať ručne, ale procesor môžu využívať aj niektoré aplikácie. Útok teda nemusí smerovať priamo na bash, ale na akúkoľvek aplikáciu, ktorá ho využíva. Podľa bezpečnostných expertov je táto chyba s pomenovaním Shellshock viac nebezpečná ako chyba SSL knižnice Heartbleed, Ktorá postihla veľkú časť internetu.
Podľa Applu by mali byť používatelia využívajúci východiskové nastavenia systému v bezpečí. Spoločnosť sa vyjadrila pre server Imora nasledovne:
Veľká časť používateľov OS X nie je v ohrození nedávno objavenou zraniteľnosťou bash. V bashi, Unixovom príkazovom procesore a jazyku zahrnutom v OS X, je chyba, ktorá môže neoprávneným používateľom umožniť prístup k získaniu kontroly nad zraniteľným systémom na diaľku. Systémy OS X sú v predvolenom stave bezpečné a nie sú vystavené vzdialeným zneužitím chyby v bashi, ak používateľ nekonfiguroval pokročilé unixové služby. Pracujeme na tom, aby sme čo najskôr poskytli softvérovú aktualizáciu pre našich pokročilých používateľov Unixu.
Na serveri StackExchange sa objavil návod, ako môžu používatelia svoj systém na zraniteľnosť otestovať a tiež spôsob, akým chybu manuálne opraviť prostredníctvom terminálu. Pri príspevku nájdete aj rozsiahlu diskusiu.
Vplyv Shellshocku je teoreticky obrovský. Unix totiž nájdete nielen v OS X av počítačoch s niektorou z linuxových distribúcií, ale v nemalom počte aj na serveroch, sieťových prvkoch a ďalšej elektronike.
Zaujímavý článok. Vďaka za info
Môže tu potom niekto napísať, kedy to Apple zalepil? Chyba uz je opravená.
Nemá náhodou aj android unixové jadro?
Rovnako ako iOS.
Lenže toto nie je problém unixových jadier ale bash
Chyba hneď v nadpise. Chybou netrpia Unix, ale bash. Unix nemusí obsahovať bash a nie je to teda chyba Unixu.
Android je Linux s JVM Dalvik. Takže kernel je Linuxový, vrátane utiit ako je Bash.
Ale on ten problém je trochu nafúknutý. Na OS X to v podstate nemá vplyv, závažné to je len pre Linuxové servery, ktoré pomocou Bash spúšťa daemony ako je Apache atď.
Ale aj toto je pomerne neobvyklé, napríklad na Debian a Ubuntu sa štandardne pre serverové služby nepoužíva Bash, ale Dash, a ten nie je postihnutý.
Na rôznych routeroch, WiFI AP atp je to výslovne nepravdepodobné, pretože na nich býva stripovaná verzia Linuxu, kde sa Bash nezmestí, používa sa namiesto toho Busybox alebo zsh atď…
Takže si myslím, že to je trošku mediálna bublina.
Dalvik nie je JVM.
„Kernel je linuxový vrátane utilít“ nedáva zmysel.
Android obvykle bash neobsahuje, ani iné bežné GNU utility.
To najdôležitejšie(!): Problém nie je to, ak je Apache alebo iný server spúšťaný bashom ale pokiaľ sám bash spúšťa.
Zsh do toho veľmi neťahaj, je skôr používaný interaktívne.
Nie je to bublina.
Ale inak to máš celkom správne.
Update je vonku