Міхал Жданьскі Каманда бяспекі Red Hat, якая распрацоўвае аднайменны дыстрыбутыў Linux, выявіла крытычны недахоп у UNIX, сістэме, якая ляжыць у аснове як Linux, так і OS X. Крытычны недахоп у працэсары біць тэарэтычна гэта дазваляе зламысніку атрымаць поўны кантроль над узламаным кампутарам. Гэта не новая памылка, наадварот, яна існуе ў сістэмах UNIX ужо дваццаць гадоў.
Bash - гэта працэсар абалонкі, які выконвае каманды, уведзеныя ў камандным радку, асноўны інтэрфейс тэрмінала ў OS X і яго эквівалент у Linux. Каманды могуць уводзіцца карыстальнікам уручную, але некаторыя прыкладанні таксама могуць выкарыстоўваць працэсар. Атака не павінна быць накіравана непасрэдна на bash, але на любое прыкладанне, якое яго выкарыстоўвае. На думку экспертаў па бяспецы, гэтая памылка пад назвай Shellshock больш небяспечная, чым Памылка SSL бібліятэкі Heartbleed, што закранула вялікую частку Інтэрнэту.
Па словах Apple, карыстальнікі, якія выкарыстоўваюць сістэмныя налады па змаўчанні, павінны быць у бяспецы. Кампанія пракаментавала сервер iMore наступным чынам:
Вялікая частка карыстальнікаў OS X не пагражае нядаўна выяўленай уразлівасцю bash. У bash, камандным працэсары Unix і мове, уключанай у OS X, ёсць памылка, якая можа дазволіць несанкцыянаваным карыстальнікам атрымаць доступ для аддаленага кіравання ўразлівай сістэмай. Сістэмы OS X бяспечныя па змаўчанні і не ўразлівыя да аддаленых эксплойтаў памылкі bash, калі карыстальнік не настроіў дадатковыя службы Unix. Мы працуем над тым, каб як мага хутчэй забяспечыць абнаўленне праграмнага забеспячэння для нашых вопытных карыстальнікаў Unix.
На серверы StackExchange ён з'явіўся інструкцыі, як карыстальнікі могуць праверыць сваю сістэму на ўразлівасці і як уручную выправіць памылку праз тэрмінал. Вы таксама знойдзеце шырокае абмеркаванне з паведамленнем.
Уплыў Shellshock тэарэтычна вялікі. Вы можаце знайсці Unix не толькі ў OS X і ў кампутарах з адным з дыстрыбутываў Linux, але і ў значнай колькасці на серверах, сеткавых элементах і іншай электроніцы.
Цікавы артыкул. Дзякуй за інфармацыю
Хто-небудзь можа напісаць тут, калі Apple запячатала гэта? Памылка ўжо выпраўлена..
У Android выпадкова няма ядра Unix?
Гэтак жа, як iOS.
Аднак гэта праблема не ядраў unix, а bash
Памылка адразу ў назве. Гэта не Unix, які пакутуе ад памылкі, гэта bash. Unix не павінен уключаць bash, так што гэта не віна Unix.
Android - гэта Linux з Dalvik JVM. Такім чынам, ядро - гэта Linux, уключаючы такія ўтыліты, як Bash.
Але гэтая праблема некалькі раздутая. Гэта ў асноўным не ўплывае на OS X, гэта сур'ёзна толькі для сервераў Linux, якія выкарыстоўваюць Bash для запуску дэманаў, такіх як Apache і г.д.
Але нават гэта даволі незвычайна, напрыклад, у Debian і Ubuntu Bash не выкарыстоўваецца па змаўчанні для серверных службаў, а Dash, і гэта не ўплывае.
На розных маршрутызатарах, кропках доступу Wi-Fi і г.д. гэта відавочна малаверагодна, таму што яны, як правіла, маюць пазбаўленую версію Linux, дзе Bash не падыходзіць, замест Busybox або zsh выкарыстоўваецца і г.д.
Так што я думаю, што гэта крыху медыйная бурбалка.
Dalvik не з'яўляецца JVM.
«Ядро — гэта Linux, уключаючы ўтыліты» не мае сэнсу.
Android звычайна не ўключае bash або іншыя агульныя ўтыліты GNU.
Самае важнае (!): Праблема не ў тым, што Apache ці іншы сервер запускаецца bash, а ў тым, што bash працуе сам.
Не захапляйцеся Zsh, хутчэй за ўсё, ён будзе выкарыстоўвацца ў інтэрактыўным рэжыме.
Гэта не бурбалка.
Але ў астатнім вы цалкам маеце рацыю.
Абнаўленне выйшла