Michal Ždanský Ekipi i sigurisë në Red Hat, i cili zhvillon shpërndarjen Linux me të njëjtin emër, zbuloi një defekt kritik në UNIX, sistemi që qëndron në themel të Linux dhe OS X. Një e metë kritike në procesor përplas në teori, ai i lejon sulmuesit të marrë kontrollin e plotë të kompjuterit të komprometuar. Ky nuk është një gabim i ri, përkundrazi, ai ekziston në sistemet UNIX për njëzet vjet.
Bash është një procesor guaskë që ekzekuton komandat e futura në vijën e komandës, ndërfaqen bazë të Terminalit në OS X dhe ekuivalentin e tij në Linux. Komandat mund të futen manualisht nga përdoruesi, por disa aplikacione mund të përdorin gjithashtu procesorin. Sulmi nuk duhet të synohet drejtpërdrejt në bash, por në çdo aplikacion që e përdor atë. Sipas ekspertëve të sigurisë, ky problem i quajtur Shellshock është më i rrezikshëm se Gabim SSL i bibliotekës Heartbleed, e cila preku pjesën më të madhe të internetit.
Sipas Apple, përdoruesit që përdorin cilësimet e parazgjedhura të sistemit duhet të jenë të sigurt. Kompania komentoi për serverin unë më shumë si në vazhdim:
Një pjesë e madhe e përdoruesve të OS X nuk janë në rrezik nga cenueshmëria bash e zbuluar së fundmi. Ekziston një gabim në bash, procesori i komandës Unix dhe gjuha e përfshirë në OS X, që mund të lejojë përdoruesit e paautorizuar të kenë akses për të kontrolluar nga distanca një sistem të cenueshëm. Sistemet OS X janë të sigurta si parazgjedhje dhe nuk janë të cenueshme ndaj shfrytëzimeve të largëta të gabimit bash përveç nëse përdoruesi ka konfiguruar shërbime të avancuara Unix. Ne po punojmë për të ofruar një përditësim të softuerit për përdoruesit tanë të avancuar të Unix sa më shpejt të jetë e mundur.
Në server StackExchange ai u shfaq udhëzimet, si përdoruesit mund të testojnë sistemin e tyre për dobësi dhe si ta rregullojnë manualisht defektin përmes terminalit. Do të gjeni gjithashtu një diskutim të gjerë me postimin.
Ndikimi i Shellshock është teorikisht i madh. Ju mund ta gjeni Unix jo vetëm në OS X dhe në kompjuterë me një nga shpërndarjet Linux, por edhe në një numër të konsiderueshëm në serverë, elementë rrjeti dhe pajisje të tjera elektronike.
Artikull interesant. Faleminderit për informacionin
A mund të shkruajë dikush këtu kur Apple e vulosi atë? Gabimi tashmë është rregulluar..
A nuk ka Android rastësisht një kernel Unix?
Ashtu si iOS.
Megjithatë, ky nuk është një problem i bërthamave unix, por i bash
Gabim pikërisht në titull. Nuk është Unix që vuan nga gabimi, është bash. Unix nuk duhet të përfshijë bash, kështu që nuk është faji i Unix.
Android është Linux me Dalvik JVM. Pra, kerneli është Linux, duke përfshirë shërbimet si Bash.
Por ky problem është disi i fryrë. Në thelb nuk ka asnjë ndikim në OS X, është serioz vetëm për serverët Linux që përdorin Bash për të ekzekutuar demonë si Apache, etj.
Por edhe kjo është mjaft e pazakontë, për shembull në Debian dhe Ubuntu, Bash nuk përdoret si parazgjedhje për shërbimet e serverit, por Dash, dhe nuk ndikohet.
Në ruterë të ndryshëm, WiFI AP, etj, është qartësisht e pamundur, sepse ata priren të kenë një version të zhveshur të Linux-it ku Bash nuk do të përshtatet, duke përdorur Busybox ose zsh në vend të tyre, etj...
Kështu që unë mendoj se është paksa një flluskë mediatike.
Dalvik nuk është një JVM.
"Kernel është Linux duke përfshirë shërbimet" nuk ka kuptim.
Android zakonisht nuk përfshin bash, ose shërbime të tjera të zakonshme GNU.
Gjëja më e rëndësishme(!): Problemi nuk është nëse Apache ose një server tjetër niset nga bash, por nëse vetë bash po funksionon.
Mos u përfshini shumë me Zsh, ka më shumë gjasa të përdoret në mënyrë interaktive.
Nuk është flluskë.
Por përndryshe keni shumë të drejtë.
Përditësimi ka dalë