Михал Ждански Тимот за безбедност во Red Hat, кој ја развива истоимената дистрибуција на Linux, откри критичен пропуст во UNIX, системот што лежи во основата и на Linux и на OS X. Критичен пропуст во процесорот баш во теорија, тоа му овозможува на напаѓачот да преземе целосна контрола над компромитираниот компјутер. Ова не е нов баг, напротив, постои во UNIX системите веќе дваесет години.
Bash е процесор на школка кој ги извршува командите внесени во командната линија, основниот терминален интерфејс во OS X и неговиот еквивалент во Linux. Командите може рачно да ги внесе корисникот, но некои апликации можат да го користат и процесорот. Нападот не мора да биде директно насочен кон bash, туку кон која било апликација што го користи. Според безбедносните експерти, оваа бубачка наречена Shellshock е поопасна од Грешка SSL во библиотеката Heartbleed, што влијаеше на голем дел од интернетот.
Според Apple, корисниците кои ги користат стандардните системски поставки треба да бидат безбедни. Компанијата коментираше за серверот iMore како што следи:
Голем дел од корисниците на OS X не се изложени на ризик од неодамна откриената ранливост на bash. Има грешка во bash, Unix командниот процесор и јазикот вклучени во OS X, што може да им овозможи на неовластени корисници да добијат пристап за далечинско управување со ранливиот систем. Системите OS X се стандардно безбедни и не се ранливи на далечински експлоатирања на баг-башот, освен ако корисникот не конфигурирал напредни Unix услуги. Работиме да обезбедиме ажурирање на софтверот за нашите напредни корисници на Unix што е можно поскоро.
На серверот StackExchange тој се појави инструкции, како корисниците можат да го тестираат својот систем за пропусти и како рачно да ја поправат грешката преку терминалот. Ќе најдете и опширна дискусија со објавата.
Влијанието на Shellshock е теоретски огромно. Можете да најдете Unix не само во OS X и во компјутери со една од дистрибуциите на Linux, туку и во значителен број на сервери, мрежни елементи и друга електроника.
Интересна статија. Фала за информацијата
Може ли некој да напише овде кога Apple го запечати? Грешката е веќе поправена..
Зарем Андроид случајно нема Unix кернел?
Исто како iOS.
Сепак, ова не е проблем на Unix кернелите, туку на bash
Грешка точно во насловот. Не е Unix тој што страда од бубачката, тоа е баш. Unix не мора да вклучува баш, па затоа не е виновен Unix.
Андроид е Linux со Dalvik JVM. Значи, кернелот е Линукс, вклучувајќи ги и комуналните услуги како Bash.
Но, тој проблем е донекаде надуен. Во основа нема никакво влијание врз OS X, сериозно е само за серверите на Линукс кои користат Bash за да стартуваат демони како Apache, итн.
Но, дури и ова е сосема невообичаено, на пример на Debian и Ubuntu, Bash не се користи стандардно за серверски услуги, туку Dash, и не е засегнат.
На различни рутери, АП за WiFI, итн, тоа е експлицитно малку веројатно, бидејќи тие имаат тенденција да имаат соголена верзија на Linux каде што Bash нема да се вклопи, користејќи Busybox или zsh наместо тоа, итн...
Така што мислам дека тоа е малку медиумски балон.
Далвик не е JVM.
„Кернелот е Линукс вклучувајќи ги и комуналните услуги“ нема смисла.
Андроид обично не вклучува баш или други вообичаени GNU алатки.
Најважното нешто(!): Проблемот не е дали Apache или друг сервер се стартува со bash, туку ако самиот bash работи.
Не се мешај премногу со Zsh, поверојатно е да се користи интерактивно.
Тоа не е балон.
Ама инаку си сосема во право.
Ажурирањето е надвор