Михал Ждански Екипът по сигурността на Red Hat, който разработва едноименната Linux дистрибуция, откри критичен пропуск в UNIX, системата, която е в основата както на Linux, така и на OS X. Критичен пропуск в процесора тряскам на теория позволява на атакуващия да поеме пълен контрол върху компрометирания компютър. Това не е нов бъг, напротив, той съществува в UNIX системите от двадесет години.
Bash е шел процесор, който изпълнява команди, въведени в командния ред, основния терминален интерфейс в OS X и неговия еквивалент в Linux. Командите могат да се въвеждат ръчно от потребителя, но някои приложения могат да използват и процесора. Атаката не трябва да е насочена директно към bash, а към всяко приложение, което го използва. Според експерти по сигурността този бъг, наречен Shellshock, е по-опасен от SSL грешка на библиотеката Heartbleed, което засегна голяма част от интернет.
Според Apple потребителите, използващи системните настройки по подразбиране, трябва да са в безопасност. Компанията коментира за сървъра iMore както следва:
Голяма част от потребителите на OS X не са изложени на риск от наскоро откритата bash уязвимост. Има грешка в bash, командния процесор на Unix и езика, включени в OS X, която може да позволи на неоторизирани потребители да получат достъп за дистанционно управление на уязвима система. OS X системите са защитени по подразбиране и не са уязвими към отдалечени експлойти на грешката bash, освен ако потребителят не е конфигурирал разширени Unix услуги. Работим, за да предоставим софтуерна актуализация за нашите напреднали потребители на Unix възможно най-скоро.
На сървъра StackExchange той се появи инструкция, как потребителите могат да тестват системата си за уязвимости и как ръчно да коригират грешката през терминала. Ще намерите и обширна дискусия с публикацията.
Въздействието на Shellshock е теоретично огромно. Можете да намерите Unix не само в OS X и в компютри с една от дистрибуциите на Linux, но и в значителен брой сървъри, мрежови елементи и друга електроника.
Интересна статия. Благодаря за информацията
Може ли някой да напише тук кога Apple са го запечатали? Грешката вече е отстранена..
Случайно Android да няма Unix ядро?
Точно като iOS.
Това обаче не е проблем на unix ядрата, а на bash
Грешка точно в заглавието. Не Unix страда от грешката, а bash. Unix не трябва да включва bash, така че това не е вина на Unix.
Android е Linux с Dalvik JVM. Така че ядрото е Linux, включително помощни програми като Bash.
Но този проблем е малко раздут. По принцип няма влияние върху OS X, сериозно е само за Linux сървъри, които използват Bash за стартиране на демони като Apache и т.н.
Но дори и това е доста необичайно, например в Debian и Ubuntu Bash не се използва по подразбиране за сървърни услуги, а Dash и не е засегнат.
На различни рутери, WiFI точки за достъп и т.н. това е изрично малко вероятно, защото те обикновено имат оголена версия на Linux, където Bash няма да се побере, вместо това използват Busybox или zsh и т.н.
Така че мисля, че това е малко медиен балон.
Dalvik не е JVM.
„Ядрото е Linux, включително помощни програми“ няма смисъл.
Android обикновено не включва bash или други общи помощни програми на GNU.
Най-важното (!): Проблемът не е дали Apache или друг сървър се стартира от bash, а ако самият bash работи.
Не се занимавайте твърде много със Zsh, по-вероятно е да се използва интерактивно.
Това не е балон.
Но иначе си много прав.
Актуализацията е излязла